UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE A IMPORTÂNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL NA GESTÃO EMPRESARIAL Por: Ana Claudia Sobral de Sousa Orientador Profª. Ana Claudia Morrissy Rio de Janeiro Janeiro/2011

2 2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE A IMPORTÂNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL NA GESTÃO EMPRESARIAL Apresentação de monografia à Universidade Candido Mendes como requisito parcial para obtenção do grau de especialista em Finanças e Gestão Corporativa. Por: Ana Claudia Sobral de Sousa.

3 3 AGRADECIMENTOS... aos meus pais, José Alberto e Ascenção da Conceição, pela dedicação intensa, pela boa educação e pelo apoio incondicional. A minha professora Ana Claudia Morrissy, pela orientação, apoio e preocupação com a formação dos alunos. A todos aqueles professores, amigos e funcionários que, de alguma maneira, contribuíram para minha formação.

4 4 DEDICATÓRIA...dedico este trabalho a minha querida filha Amanda e meu amado companheiro Amin, pela compreensão nos momentos que me fiz ausente e por serem meus companheiros de todas as horas.

5 5 RESUMO O presente Trabalho de Conclusão de Curso tem como objetivo apresentar um estudo sobre a Gestão de Riscos, com foco principalmente no Risco Operacional, evidenciando a sua importância, sendo esta uma das ferramentas que se tornou indispensável na gestão empresarial, independente do segmento da organização. Diante do elevado grau de importância que o processo de Gerenciamento de Riscos tem dentro da Gestão de uma Organização, esta pesquisa apresentará as principais atividades que envolvem este Gerenciamento, bem como o seu impacto nas organizações. Assim sendo, para alcançar tal objetivo, procurou-se caracterizar o elemento risco, bem como ressaltar seus principais tipos, e abordar as normas, padrões e procedimentos de medidas preventivas e contingenciais que melhor atendem a necessidade de minimizar os prováveis resultados negativos, descrevendo seu planejamento, seus programas, as opções de controles, e, por último, destacar a influência do gerenciamento do risco operacional na gestão empresarial. A partir desse estudo, foi possível identificar a função da gestão do risco operacional. Esta, por sua vez, quando claramente definida, é de fundamental importância dentro da organização, a fim de diminuir o potencial de perdas. PALAVRAS - CHAVE: Risco, Risco Operacional e Gerenciamento de Riscos.

6 6 METODOLOGIA A metodologia utilizada no desenvolvimento deste trabalho foi principalmente através de pesquisa bibliográfica tanto em livros quanto em revistas acadêmicas da área, além de textos e artigos disponíveis na internet. Com base em estudos bibliográficos e de pesquisa que apontaram a necessidade cada vez maior em aprimorar as etapas como identificar, classificar, mensurar, mitigar, acompanhar e gerir os riscos inerentes as empresas independente do seu porte, percebemos o aumento significativo da sua importância ao longo destes últimos anos, conforme apresentado no material do estudo citado, principalmente dos autores BRASILIANO, Antonio Celso Ribeiro e ZAMITH, José Luis Cardoso, HOPE, Jeremy.

7 7 SUMÁRIO INTRODUÇÃO 08 CAPÍTULO I - Conceito de Risco 10 CAPÍTULO II - Definição dos Principais Tipos de Risco 12 CAPÍTULO III - A Importância de Gerenciar Riscos 20 CAPÍTULO IV CAPÍTULO V - Os Objetivos Estratégicos, As Fases e/ou Etapas e As Normas acerca da Gestão de Riscos 23 - A Influência do Gerenciamento do Risco Operacional na Gestão Empresarial 37 CONCLUSÃO 44 BIBLIOGRAFIA 46 ÍNDICE 47

8 8 INTRODUÇÃO É perdoável ser derrotado, mas nunca surpreendido!! (FREDERICO, O Grande) O Risco, por ser um elemento de incerteza, é a condição que cria ou aumenta o potencial de perdas, representando, portanto, uma forte ameaça a qualquer Empresa, fazendo com que o processo de seu Gerenciamento tenha um elevado grau de importância na Gestão de uma Organização. O conhecimento dos riscos e um sistema de controles internos eficaz são componentes de extrema importância para o sucesso de qualquer organização. Há riscos relacionados com os negócios recorrentes e com as novas oportunidades de negócios, no ambiente empresarial, como o lançamento de um produto, com geração de custos sem a certeza de retorno adequado, ou a entrada em novos mercados sem familiaridade com as estruturas política, econômica e empresarial que lhe são inerentes (ANTUNES, 1998). Riscos relacionados a questões operacionais, de conformidade e de outra natureza, com implicações diferenciadas, também existem no ambiente empresarial. É importante que a relevância dos riscos de natureza estratégica na alocação de recursos para seu gerenciamento (em geral, escassos) seja conhecida. Problemas de conformidade, como por exemplo, com a legislação; ou operacionais, como por exemplo, uma falha no processo produtivo por problemas de sistemas ou de logística; podem colocar em risco o sucesso de uma área estratégica e, consequentemente, o sucesso de uma corporação (ANTUNES, 1998). Ciente deste cenário de potencial de perdas, a direção das organizações de todos os segmentos de mercado, sabem da importância em mitigar riscos corporativos, bem como admite-se a impossibilidade de controlar eventos adversos, tais como riscos inerentes ao negócio. Por isso, medidas preventivas e

9 9 contingenciais são fundamentais para suportá-los a fim de minimizar os prováveis resultados negativos decorrentes do seu impacto nos negócios. O Processo de Gerenciamento de Riscos também é tido como investimento em Prevenção de Perdas para uma empresa, e em um mercado competitivo resultado da grande expansão do comércio globalizado as empresas necessitam cada vez mais deste investimento, que elimina e reduz, efetivamente, a maioria dos riscos acidentais. Sabendo-se que, quando adequadamente identificados e gerenciados, através de pesquisas e suporte especializado, os riscos de o empreendimento não ser bem-sucedido podem ser reduzidos significativamente, e o sucesso não somente ocorrer, mas gerar, ainda, substancial vantagem competitiva. Todavia, há riscos que simplesmente não devem ser assumidos quando não totalmente gerenciáveis ou se não houver recursos para tanto. Como por exemplo, construir ou operar uma planta industrial com risco de explosão de 50%, ou até menos, é inadmissível. O resultado da divulgação desse fato gera imagem negativa, risco de perda de funcionários e interdição legal, com conseqüentes efeitos adversos na reputação e nos negócios (ANTUNES, 1998). A implementação do gerenciamento de risco, na opinião de Zamith, deve ser uma decisão de quem efetivamente detêm o poder decisório na instituição. Esta é uma necessidade de forma a obter resultados que tenham impacto imediato, como influência máxima na rotina diária da instituição. Isto porque esta implementação pode envolver mudanças internas de percepção de qualidade e lucratividade, e, portanto requer comprometimento total da diretoria. Uma vez estabelecido o gerenciamento de risco, os envolvidos com este devem estabelecer e aprovar controles que garantam a saúde financeira da instituição, até mesmo em situações catastróficas.

10 10 CAPÍTULO I CONCEITO DE RISCO Risco difere de perigo. Perigo é a origem da perda. Exemplo: incêndio é um perigo, o risco são as condições de armazenagem, carga de incêndio, cultura de funcionários, entre outras. A violência urbana é um perigo, a concretização dela depende das condições. Para melhor compreender o que é risco precisamos estabelecer a distinção entre incerteza e risco. Sempre que não sabemos ao certo o que vai ocorrer no futuro temos incerteza. O risco é a parcela de incerteza para qual damos importância, porque afeta o bem-estar das pessoas. O conceito de risco permite abordagens em diversas dimensões, como por exemplo, o simples fato de uma atividade existir, abre a possibilidade da ocorrência de eventos ou combinação deles, cujas consequências constituem oportunidades para obter vantagens ou então ameaças ao sucesso. Pretende-se neste capítulo alcançar uma consistência de conceito de risco sobre o ponto de vista de uma organização, bem como sua caracterização e a exposição a ele. O Risco pode ser conceituado como uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo, ou até mesmo, como uma medida da incerteza associada aos retornos esperados de investimentos. Ainda assim, o Risco não é ruim por definição, na verdade ele é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado. 1.1 Caracterização de Risco Uma empresa está sujeita a uma grande diversidade de riscos durante a condução de seus negócios e conhecê-los é fundamental, já que aqueles aos quais está exposta e que não sabe reconhecer são os que se revelam mais contundentes. O risco pode ser definido como a combinação entre a probabilidade de ocorrência de um evento e suas consequências.

11 11 Em qualquer tipo de empreendimento há a possibilidade de eventos e consequências que se constituem em oportunidades de benefícios ou em ameaças ao sucesso. A gestão de risco está cada vez mais relacionada tanto aos aspectos positivos quanto negativos do risco. Portanto, esse padrão considera essas duas perspectivas do risco. Geralmente, se considera que as consequências são apenas negativas e que, portanto, a gestão de um risco deve estar focada na prevenção e mitigação desse dano. 1.2 Exposição ao Risco As mudanças no ambiente financeiro mundial, tais como a integração entre os mercados por meio do processo de globalização, o surgimento de novas transações e produtos, o aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades e os processos financeiros e seus riscos cada vez mais complexos. Adicionalmente, as lições originadas dos desastres financeiros, contribuíram para a evidenciação da necessidade principal de gestão de riscos na indústria mundial. Esses fatores influenciaram para que os órgãos reguladores e as instituições financeiras investissem na gestão dos riscos, visando o fortalecimento da saúde financeira dos bancos e a prevenção contra os efeitos prejudiciais ao sistema financeiro. Para ficar alinhado a essa perspectiva, se faz necessário o investimento no aperfeiçoamento contínuo do processo e das práticas de gestão de riscos, em consonância com os referenciais internacionais de mercado e com as Normas mais recentes, tanto no Mercado Financeiro quanto em todos os Mercados dos demais segmentos.

12 12 CAPÍTULO II DEFINIÇÃO DOS PRINCIPAIS TIPOS DE RISCO Uma organização, seja de qual ramo for, estará sempre exposta a algum tipo de risco, enquanto corre pela busca de resultados, porém, a sua habilidade em atrair estes resultados positivos, são determinados pela qualidade da gestão desse risco. A seguir, identificaremos os principais tipos de risco relacionados ao estudo da mensuração e gestão de risco: de mercado, de liquidez, de crédito, País, operacional, legal e de imagem. 2.1 Risco de Mercado O risco de mercado é o potencial de oscilação dos valores de um ativo durante um período de tempo. É representado pelos desvios volatilidade em relação ao resultado esperado. Os riscos de mercado surgem porque as empresas mantêm no mercado, posições ativas e passivas que nem sempre coincidem em termos de vencimento, indexadores e moedas. As mudanças de preços dos ativos e dos passivos financeiros, que oscilam por natureza, uns mais, outros menos, impactam o risco de mercado. 2.2 Risco de Liquidez O risco de liquidez decorre da possibilidade de ocorrer incapacidade de honrar os compromissos assumidos, resultante de desequilíbrio de caixa gerado pelo descasamento dos prazos de vencimentos das operações ativas e passivas. Uma instituição é considerada sem liquidez se os seus passivos tornarem-se exigíveis antes da realização de ativos ou da obtenção de funding¹ suficiente para ¹ Recursos ou financiamento.

13 13 suprir as necessidades financeiras, seja por má administração dos prazos, seja por inadimplência de devedores. Os riscos de liquidez podem ser dividos em: risco de liquidez de mercado/produto e risco de liquidez de fluxo de caixa/obtenção de recursos Risco de Liquidez de Mercado/Produto Surge quando uma operação não pode ser conduzida pelos preços de mercado prevalecentes, devido à atividade insuficiente no mercado. O volume negociado é muito importante. Teoricamente, qualquer mercado pode assimilar qualquer negociação, dependendo apenas do nível de preço. Este risco de liquidez pode ser difícil de ser quantificado, podendo variar de acordo com as condições de mercado, e pode ser administrado por meio do estabelecimento de limites em determinados mercados ou produtos e também por meio de diversificação Risco de Liquidez de Fluxo de Caixa/Obtenção de Recursos É a impossibilidade de cumprir as obrigações relativas ao fluxo de caixa que pode forçar a liquidação antecipada de contratos, transformando as perdas escriturais em perdas reais. O risco de obtenção de recursos pode ser controlado através do planejamento adequado das necessidades, que podem ser administradas pela limitação dos intervalos entre os fluxos de caixa e também por meio de diversificação. Estudar o volume negociado em cada mercado ao qual estamos expostos irá dizer até quanto podemos comprar ou vender de um artigo ou contrato, sem causar um forte movimentode preço.

14 Risco de Crédito Medida numérica da incerteza relacionada ao recebimento de um valor contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor de um título, descontadas as expectativas de recuperação e realização de garantias. Decorre das possibilidades de perdas resultantes das operações que geram desembolso temporário de recursos ou das operações que geram recursos a serem recebidos em datas futuras. Esse tipo de risco refere-se ao possível não recebimento dos recursos a que se tem direito ou ao seu recebimento fora do prazo e/ou das condições pactuadas. 2.4 Risco País Consiste no grau de confiança que o mercado mundial deposita em um determinado país em relação à sua capacidade de honrar seus compromissos externos. É utilizado para avaliação de países e representado pela circunstância de o país devedor ficar impossibilitado de honrar seus compromissos na moeda em que a transação foi originada. Esse risco ocorre quando o governo ou autoridade dominante impossibilita a liberação, transferência, conversibilidade ou qualquer outra forma de câmbio ou troca de moeda local por outra moeda que tenha curso livre nos principais mercados mundiais. As agências de rating² realizam a medição do risco país. São internacionalmente reconhecidas e aceitas pela comunidade mundial de negócios. Empregam técnicas de avaliação modernas e atuais, sendo que seu julgamento é sólido e desprovido de quaisquer conflitos de interesses, representando uma ferramenta de análise fundamental e necessária aos investidores. ² Avaliação em termos de qualidade

15 Risco Operacional O risco operacional pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição caso seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, no processamento ou controle das operações, danos à infra estrutura de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a situações adversas de mercado. Esse tipo de risco resulta em perda inesperada para a organização ou para seu cliente. As principais sub-áreas do risco operacional são: Risco de Overload Este pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, etc. Exemplos: 1) Sistemas não operacionais em agências bancárias por acúmulo de informação nos canais de comunicação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas Risco de Obsolescência Este pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas computacionais desenvolvidos em versões de software diferentes Risco de Presteza e Confiabilidade

16 16 Este pode ser definido como o risco de perdas pelo fato de informações não poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações onde informações consolidadas sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento em batch Risco de Equipamento Este pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de dados, telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) Telefonia não operacional por falta de reparos Risco de Erro Não Intencional Este pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no mercado contrário ao especificado pelo Comitê de Investimentos Risco de Fraudes Este pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Exemplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de incentivos de clientes para conceder crédito em valores mais elevados Risco de Qualificação

17 17 Este pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos sem conhecimento por parte do operador das limitações desta; 2) Iniciar operações em mercados sofisticados sem contar com equipes devidamente preparadas Risco de Produtos & Serviços Este pode ser definido como o risco de perdas em decorrência da venda de produtos ou prestação de serviços ocorrer de forma indevida ou sem atender às necessidades e demandas de clientes. Exemplos são dados por: 1) Envio de cartões de crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados diante de um bom desempenho no passado recente destes mesmos fundos Risco de Regulamentação Este pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para controles internos ou externos Risco de Modelagem Este pode ser definido como o risco de perdas pelo desenvolvimento, utilização ou interpretação incorreta dos resultados fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros sem conhecimento de suas limitações; 2) Utilizar modelos matemáticos sem conhecimento de suas hipóteses simplificadoras Risco de Concentração (operacional)

18 18 Este pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplos: 1) Bancos que só operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.) Risco de Catástrofe Este pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchentes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomunicações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de aviões, etc.), incêndios, etc Risco de Segurança Este pode ser definido como o risco de perdas devido a problemas de segurança patrimonial e empresarial. Exemplos: Assalto; Seqüestros; Sabotagem. 2.6 Risco Legal Decorre do potencial de questionamento jurídico sobre a execução dos contratos, processos judiciais ou sentenças contrárias ou adversas que possam causar perdas que afetem os processos operacionais na organização. Configuram riscos legais: insuficiência de documentação; falta de capacidade ou de autoridade da contraparte; incerteza legal; incapacidade de se implementar uma cobrança devido à quebra ou insolvência na contraparte.

19 Risco de Imagem É o risco de perdas em decorrência de alterações da reputação junto a clientes, concorrentes, órgãos governamentais. Uma das causas que mais influencia esse tipo de risco consiste na publicidade negativa, verídica ou não, em relação à condução dos negócios da organização. São exemplos de risco de imagem: os boatos sobre a saúde de uma instituição financeira, desencadeando corrida para saques; negociações de investimento alavancadas com perdas elevadas durante períodos de crise; envolvimento da organização em processos de lavagem de dinheiro e remessas de divisas ilegais.

20 20 CAPÍTULO III A IMPORTÂNCIA DE GERENCIAR RISCOS A idéia revolucionária que define a fronteira entre os tempos modernos e o passado é o domínio do risco: a noção de que o futuro é mais do que um capricho dos deuses e de que homens e mulheres não são passivo ante a natureza. Até seres humanos descobrirem como transpor essa fronteira, o futuro era um espelho do passado ou o domínio obscuro de oráculos e adivinhos que detinham o monopólio sobre o conhecimento dos eventos previstos. (BERNSTEIN, 1997, p.1). A administração das empresas deve identificar os eventos em potencial que, caso ocorram, afetarão a organização. Devem também determinar se esses representam oportunidades ou se podem ter algum efeito adverso, na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos. Eventos de impacto negativo representam riscos que exigem avaliação e resposta da administração. Os eventos de impacto positivo representam oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos objetivos. Ao identificar eventos, a administração considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização. Uma infinidade de fatores externos e internos impulsiona os eventos, que afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte do gerenciamento de riscos corporativos, a administração deve reconhecer a importância de compreender esses fatores e o tipo de evento que pode emanar deles. A gerência de riscos têm se tornado um assunto de suma importância no meio empresarial, pois a conscientização da administração dos riscos potenciais é hoje uma questão de competitividade e sobrevivência, além disso, a gerência de riscos é também vista como peça fundamental para que a instituição possa navegar

21 21 em mares mais tranquilos, pode ser definida como sendo a função, dentro do contexto empresarial, que visa a proteção dos recursos humanos, materiais e financeiros desta, quer através da eliminação, redução ou financiamento dos riscos, conforme seja financeiramente mais viável.. A percepção de que as consequências irreversíveis podem afetar o meio ambiente, que os recursos não são ilimitados e que, do ponto de vista financeiro, o impacto pelas perdas das vidas e bens tangíveis e intangíveis da empresa, nunca mais se recuperam, tem exigido maior preocupação e responsabilidade dos gestores. A administração eficaz de riscos direciona as ações no sentido de eliminar riscos desnecessários. Os vários instrumentos disponíveis são utilizados visando um gerenciamento com níveis mais adequados de confiança. Quando dirige uma organização, independente do tamanho, o gestor deve estar preocupado em gerenciar bem os assuntos mais importantes. O gestor pode assegurar-se contra certos riscos atribuindo procedimentos de controle para o risco não virar realidade. É possível que a implantação de controles não seja a única resposta da administração aos riscos. Depois de identificados certos riscos, pode decidir por não tomar nenhuma ação específica considerando os possíveis efeitos desses riscos como aceitáveis. Outros, o gestor não irá aceitar. Então deverá adotar medidas para minimizar/ mitigar o risco. Existem outros riscos que, mesmo adotados todos os procedimentos que podem ser aplicados, ainda vão continuar existindo: risco residual. Importante então, é concentrar os esforços na redução desses riscos, ou seja, minimizá-los ao máximo controlando adequadamente as causas e reduzindo a possibilidade de que se materializem, evitando, os seus efeitos (ATTIE, 2000; BOCAYÚVA, 1999; ALMEIDA, 2003). Portanto, o risco é entendido como um potencial de perda, ou seja, o grande objetivo de se avaliar os riscos é ser pró-ativo e preventivo, o que não quer dizer que os riscos serão completamente exterminados (ATTIE, 2000; BOCAYÚVA, 1999; ALMEIDA, 2003). Quando se administra e gerencia riscos, o retorno pode ser definido como o aumento do capital investido ou aplicado. As incertezas quanto a esses retornos podem ser mensuradas por meio de estimativas de probabilidades de eventos futuros.

22 22 Uma eficiente e eficaz gestão de riscos corporativos tem por finalidade garantir a sustentabilidade no presente e futuro dos negócios e necessita de sólida estrutura de políticas de Gestão de Riscos. Dentro deste enfoque, o entendimento de risco corporativo começou a tomar um outro corpo dentro das organizações. Embora o risco acompanhe o homem e seja inerente à sua natureza, as organizações começaram a observar e sentir que nem todos os riscos são iguais. O que existe quando se faz uma viagem de avião, não é igual à realidade de uma dona de casa nas suas tarefas domésticas, nem à situação de um navegante solitário que cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial convive com a imprevisibilidade e com a ambigüidade; sendo que um dos elementos principais dessa convivência é ter que tomar decisões baseadas em informações incompletas e/ou em constante mudança. Num cenário onde as mudanças são velozes, as instabilidades permanentes e a imprevisibilidade alta, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção e análise.

23 23 CAPÍTULO IV OS OBJETIVOS ESTRATÉGICOS, AS FASES E/OU ETAPAS E AS NORMAS ACERCA DA GESTÃO DE RISCOS 4.1 Os Objetivos Estratégicos da Gestão de Riscos A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de riscos corporativos, segundo as premissas da Metodologia COSO são: Alinhar o apetite a risco com a estratégia adotada os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. Fortalecer as decisões em resposta aos riscos o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos como evitar, reduzir, compartilhar e aceitar os riscos. Reduzir as surpresas e prejuízos operacionais as organizações adquirem melhor capacidade para identificar eventos em potencial e

24 24 estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados. Identificar e administrar riscos múltiplos e entre empreendimentos toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter relacionados e, também, respostas integradas aos diversos riscos. Aproveitar oportunidades pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa. O Otimizar o capital a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital. Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os administradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas conseqüências. Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso Eventos Riscos e Oportunidades Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de

25 25 elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes Definição de Gerenciamento de Riscos Corporativos O gerenciamento de riscos corporativos trata de riscos e oportunidades que afetam a criação ou a preservação de valor, sendo definido da seguinte forma: O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos é: um processo contínuo e que flui através da organização; conduzido pelos profissionais em todos os níveis da organização; aplicado à definição das estratégias; aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta; formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos de acordo com seu apetite a risco; capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização; orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o

26 26 cumprimento dos objetivos estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos Realização de Objetivos Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização. Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos de uma organização e são classificados em quatro categorias: Estratégicos metas gerais, alinhadas com o que suportem à sua missão. O Operações utilização eficaz e eficiente dos recursos. Comunicação confiabilidade de relatórios. Conformidade cumprimento de leis e regulamentos aplicáveis. Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizações, também é descrita. Em razão do fato dos objetivos relacionados com a confiabilidade e relatórios e o cumprimento de leis e regulamentos estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos corporativos forneça uma garantia razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria executiva e o conselho de administração, na função

27 27 de supervisão, serão informados, no momento adequado, o quanto a organização está avançando na direção do atendimento dos objetivos Componentes do Gerenciamento de Riscos Corporativos O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, pela qual a administração gerência a organização, e estão integrados com o processo de gestão. Esses componentes são as fases e/ou etapas da Gestão de Riscos descritas no próximo subcapítulo. 4.2 As Fases e/ou Etapas da Gestão de Riscos Ambiente Interno O ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão Fixação de Objetivos Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos Identificação de Eventos

28 28 Os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos Avaliação de Riscos Os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais. A análise de riscos estruturada possui dois parâmetros claros a serem estudados: saber qual a chance, a probabilidade, dos perigos virem a acontecer, frente a condição existente risco; calcular o impacto, seja ele operacional como financeiro. Com estes dois critérios bem definidos podemos calcular a Perda Esperada, que é a probabilidade do risco vir a acontecer versus seu impacto financeiro. A perda esperada é a fotografia de cada risco nas matrizes de monitoramento, pois representa o patamar máximo de investimento a ser realizado pela empresa na mitigação de seu risco. Os métodos de análise de riscos podem ser divididos em duas categorias: métodos objetivos (quantitativos) e métodos subjetivos (qualitativos). Avaliação de Risco Quantitativa - O objetivo das avaliações de risco quantitativas é tentar calcular valores numéricos objetivos para cada um dos componentes coletados durante as fases de análise de custo/benefício e de avaliação de risco. Por exemplo, você pode estimar o valor real de cada ativo de negócios em termos do custo de substituição, do custo associado à perda de produtividade, do custo representado pela reputação da marca e outros valores comerciais diretos ou indiretos. Você deverá usar a mesma objetividade ao calcular

29 29 o custo de exposição do ativo, o custo dos controles e todos os outros valores identificados durante o processo de gerenciamento de riscos. Avaliação de Risco Qualitativa - A diferença entre a avaliação de risco qualitativa e a avaliação de risco quantitativa é que, na avaliação qualitativa, você não tenta atribuir valores financeiros fixos aos ativos, às perdas esperadas e ao custo de controles. Em vez disso, você tenta calcular valores relativos. A análise de risco é geralmente conduzida utilizando uma combinação de questionários e workshops colaborativos envolvendo pessoas de diversos grupos na organização, como especialistas em segurança, gerentes e gestores das áreas da empresa e usuários de ativos de negócios. Em seguida, tentam reconhecer as ameaças enfrentadas por cada ativo, e tentam imaginar quais tipos de vulnerabilidades poderiam ser explorados por tais ameaças no futuro. Por fim, os resultados são apresentados à gerência para serem levados em conta durante a análise de custo/benefício. A Microsoft, em seu Guia de Gerenciamento de Riscos, enfatiza que deve haver uma declaração estruturada do risco, também sob os dois aspectos: Impacto e Probabilidade.Conforme diagrama abaixo: Impacto Probabilidade Declaração de riscos bem estruturada Resposta a Risco A administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.

30 Atividades de Controle Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia Informações e Comunicações As informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização Monitoramento A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas. A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros. Relacionamento entre Objetivos e Componentes: Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo.

31 31 As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos. A determinação do grau de eficácia do gerenciamento de riscos corporativos de uma organização corresponde ao julgamento decorrente da avaliação da presença e da eficácia do funcionamento dos oito componentes. Desse modo, os componentes também são critérios para o gerenciamento eficaz de riscos corporativos. Para que os componentes possam estar presentes e funcionar adequadamente, não poderá haver fraquezas significantes, e os riscos necessitam ser enquadrados no apetite a risco da organização. Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma das quatro categorias de objetivos, isso significa que o conselho de administração e a diretoria executiva terão garantia razoável de que entenderam até que ponto, os objetivos estratégicos e operacionais não estão realmente sendo alcançados, o sistema de comunicação da empresa é confiável, e todas as leis e regulamentos cabíveis estão sendo observados. Os oito componentes não funcionarão de forma idêntica em todas as organizações. A sua aplicação em organizações de pequeno e médio portes, por

32 32 exemplo, poderá ser menos formal e menos estruturada. Não obstante, as pequenas organizações podem apresentar um gerenciamento de riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando adequadamente. O processo de avaliação de riscos compreende uma metodologia a ser aplicada para a percepção do risco inerente a cada operação. Considerando a necessidade de aperfeiçoamento contínuo desses critérios, haverá uma melhora na compreensão relativa da vulnerabilidade correspondente a cada processo além de propiciar a oportunidade de melhoria nos controles internos e a anulação ou redução do risco identificado. O Método Avançado de análise e Resposta aos Riscos Corporativos é formado por elementos alinhados com a Futura Norma ISO Os elementos principais do processo estão integrados no ciclo do PDCA (Plan, Do, Check e Action). 4.3 As Normas da Gestão de Riscos

33 33 Neste subcapítulo iremos estudar das Normas que foram criadas especificamente para atender as necessidades da Gestão de Riscos. São elas as normas COSO e a ISO O objetivo do COSO³ (Comittee of Sponsoring Organizations of the Treadway Commission), norma criada em 1992, é o controle interno, ou seja, elaborar um processo para garantir, com razoável certeza, que sejam atingidos os objetivos das empresas. Para gerar uma norma universal que englobasse os diferentes conceitos de gestão de riscos, foi criada, em 2009, a norma ISO General Guidelines for principles and implementation of risk management 4. A partir de sua criação foi possível generalizar a gestão de risco independentemente do tipo, tamanho e área de atuação da organização. Seu o objetivo é lidar com a incerteza que pode afetar os objetivos empresariais. Quando falamos em COSO estamos falando de Controle Interno, que compreende o plano da organização e o conjunto coordenado de métodos e medidas, adotados pela empresa, para: proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão à política traçada pela administração. Um dos objetivos é buscar através da norma, a eficiência e eficácia operacional. Aqui esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como a segurança e qualidade dos ativos. Outro ponto da norma é a confiança nos registros contábeis e financeiros, pois, toda transações devem ser registradas e todos os registros devem refletir transações reais, consignadas pelos valores e enquadramento corretos. A empresa, também, deve buscar a conformidade com as leis e normativos aplicáveis à entidade e sua área de atuação. Pelo COSO, o Controle Interno é um processo constituído de componentes, que estão inter-relacionados e presentes em si. Já a norma ISO foi criada com o objetivo de ser uma norma genérica de gerenciamento de riscos, aplicável em qualquer tipo de organização ³ Comitê das Organizações Patrocinadoras. independente do tamanho e ramo de atividade. Sua metodologia visa identificar e 4 Diretrizes Gerais para os Princípios e Implementação da Gestão de Risco. analisar os riscos e os cenários que serão enfrentados. A norma pode ser aplicada a vários tipos de riscos, por exemplo: financeiro, operacional, de saúde, de projeto, de

34 34 meio ambiente, de informação, de segurança empresarial, entre outros. A norma serve para fazer com que as empresas não tratem os riscos de forma isolada, de modo que possa haver um estudo de impactos cruzados entre as diversas áreas da organização. Assim sendo, a norma visa estabelecer uma linguagem comum e padronizar as melhores práticas, para assim, criar a convergência, ou seja, a norma visa a criação de uma gestão integrada dos riscos das diferentes áreas de uma organização. Cada risco levantado deve se atrelar ao fator de risco - onde a ferramenta acaba sendo escolhida pela empresa. Enquanto o processo de gestão de riscos segundo a norma COSO é constituído de 8 componentes, já descritos anteriormente, o processo de gestão de riscos da norma é dividido em sete etapas: Comunicação e consulta: é importante desenvolver um plano de comunicação com as partes internas e externas envolvidas, logo no primeiro estágio do processo. A comunicação envolve diálogo entre as partes, tendo como foco a consulta e não somente a comunicação de via única. A comunicação, interna e externa, eficaz é importante para que os responsáveis pela implementação da gestão de riscos e os investidores compreendam quais são as decisões tomadas e por que determinadas ações são necessárias; Contexto: é o ambiente no qual a organização está inserida, compreendendo os tipos: estratégico; organizacional; de gestão de riscos; de critérios (qual metodologia será utilizada); de estrutura e de variáveis incontroláveis; Identificação dos riscos e perigos: para se ter uma visão efetiva dos riscos e de seus fatores, existe a necessidade de se realizar uma avaliação das condições de segurança da empresa. Após conhecer o contexto em que a organização está inserida, é possível definir quais os riscos que devem ser estudados. A identificação deve incluir todos os perigos, estejam ou não sob o controle da Unidade de egócio. O objetivo é gerar uma lista abrangente de eventos que possam afetar a organização. Após identificar os riscos, a organização deve identificar quais são seus fatores de risco;

35 35 Análise de riscos: verifica o grau de criticidade dos riscos através de sua probabilidade de ocorrência e impacto na organização. Aqui usamos critérios prospectivos, pois os critérios projetivos não levam em conta o contexto atual em que a organização está inserida; Avaliação de riscos: calculamos o grau de probabilidade através da fórmula GP= fator de riscos (FR) x exposição (E). Após obtermos o Grau de Probabilidade e seu impacto é possível criar uma matriz de vulnerabilidade para cada risco; Tratamento dos riscos: dependendo do risco, a organização poderá, através de sua avaliação e análise, reter, reduzir, transferir, explorar ou até mesmo evitar orisco. Assim, a organização cria planos de ação com o objetivo de propor soluções possíveis para mitigar os riscos e reduzir suas consequências; Monitoramento: serve para acompanhar se as medidas do Plano de Ação estão surtindo o efeito desejado e para verificar o nível de riscos identificados através de seus fatores de riscos. Levando em conta o framework de cada norma: Apesar de existirem semelhanças entre as normas ISO e COSO - como a identificação de riscos x identificação de eventos, análise de riscos x avaliação de riscos, monitoramento e comunicação -, o foco de cada uma é diferente. A norma tem um processo com foco principal no risco que afeta a empresa, com o objetivo de mitigá-los, assumi-los ou evitá-los. Já a norma COSO

36 36 tem um processo com foco principal no controle, para garantir a eficiência e eficácia do monitoramento das atividades que irão tratar os riscos. A ISO busca integrar todo o processo de gestão de riscos da empresa, mudando os conceitos tradicionais que prevêem a atuação independente de cada área. Em seu framework, a norma recomenda que todas as áreas da empresa interajam com um mesmo objetivo. Para isso, traz uma linguagem comum, ou seja, a definição de uma metodologia igual para todas as áreas. Além de abordar uma visão diferenciada, a norma terá aplicabilidade em diversos tipos de riscos. Ela também insere em seu contexto as oportunidades para o negócio. Outro ponto relevante na ISO é a recomendação em considerar sempre os fatores humanos.

37 37 CAPÍTULO V A INFLUÊNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL NA GESTÃO EMPRESARIAL As vantagens do Gerenciamento dos Riscos estão na redução dos custos e riscos trabalhistas, na participação intensa da continuidade dos negócios organizacionais (presente/futuro). Através de avaliações periódicas, o Gerenciamento de Riscos participa efetivamente da melhoria da qualidade organizacional da empresa, minimizando situações de não conformidade (descumprimento de especificações fixadas em normas e manuais da qualidade e visa aperfeiçoar as práticas (processos e resultados) assegurando assim metas e resultados planejados e ainda obtém total segurança quanto ao sigilo das informações. Mais do que mitigar riscos (internos ou externos) e buscar a redução de danos à organização em situação de incidentes, sejam de ordem econômica, natural ou até um incêndio, os executivos devem pensar em caminhos e ações que garantam a continuidade de operação da corporação. As iniciativas de desenvolvimento de políticas estruturadas e eficazes de gestão de riscos devem atender toda a empresa e possibilitar a criação de diretrizes mais claras sobre quais medidas a companhia adotará. A importância de uma política de gerenciamento de riscos permanente, que fiscalize todas as áreas de negócios da organização se dá como um processo de conhecimento e reconhecimento da alma da corporação. 5.1 A Importância da Realização de Testes do PCN: Fator Crítico de Sucesso O universo corporativo possui inúmeras necessidades que devem ser supridas constantemente. Entre elas está o desenvolvimento preventivo de um conjunto de estratégias e planos de ações, a fim de garantir que os serviços

38 38 essenciais - frente à ocorrência de um evento de grande magnitude -, sejam devidamente identificados, preservados e, principalmente, mantidos operacionais. Isso, até que a situação se estabilize e o funcionamento da organização seja normalizado dentro de seu contexto de negócio, considerando duas variáveis essenciais: os componentes e os processos. Para isso há o Plano de Continuidade de Negócios (PCN), também conhecido como Business Continuity Plan (BCP). Pesquisas realizadas em grandes organizações de diversos segmentos constataram que apenas 8% das organizações que não têm um PCN sobrevivem após um grande incidente. Tais pesquisas revelaram que o risco mais temido pelas corporações é o de danos à reputação da empresa, seguido pelo de interrupção de negócios e em terceiro lugar pelo de responsabilidade civil, potencializado pela globalização. Os testes de PCN são um ponto de gargalo da Gestão de Continuidade de Negócio (GCN), por isso, desenvolve com sua metodologia e abordagem pró-ativa uma estratégia que permite de forma clara e prática a aplicabilidade dos mesmos, objetivando constatar se o plano de resposta da organização é factível. A realização de testes no PCN é considerada um fator crítico de sucesso a medida que permite a verificação pela organização da exequibilidade do conteúdo do seu plano. Validar a operacionalidade das ações descritas por meio da realização de testes é condição essencial para que o plano não seja apenas um documento para cumprir protocolo, e sim para ser efetivo, eficiente e eficaz, atendendo a necessidade para o qual foi desenvolvido. O importante nos testes é executar os procedimentos previstos e torná-los de conhecimento do maior número de colaboradores, para que em possível situação de contingência, as ações necessárias e programadas sejam executadas naturalmente, sem transtornos. Um segundo produto que se obtém dos testes é a depuração do plano. (Antonio Celso Ribeiro Brasiliano). Cabe ressaltar que para obter a certificação de sua GCN, uma organização deve atender aos quinze aspectos da norma ABNT NBR Dentre esses

39 39 aspectos estão os testes, que deverão ser documentados, através de sua formalização e registro. Os testes devem ser de conhecimento do maior número de colaboradores, para que as ações programadas sejam executadas naturalmente e sem transtornos frente a um evento inesperado. Um plano de testes pode ser executado para um único procedimento operacional ou para um conjunto deles. Deve contemplar cenários e locais para execução e, principalmente, as atividades que deverão ser validadas por uma equipe de inspeção e acompanhamento durante a realização dos testes. Os testes de PCN podem ser divididos para abranger as chamadas camadas estratégicas (Figura 1), que são: áreas operacionais, áreas suporte e comitê de gerenciamento de crise. Figura 1 Primeira Camada Estratégica (Áreas Operacionais): Diz respeito a sensibilização e conscientização dos gestores e colaboradores das áreas de negócio para que possam praticar seus processos críticos em situações anormais, em situações de contingência com efetivo reduzido cerca de 30%. Segunda e Terceira Camada Estratégica (Áreas de Suporte e Comitê de Crise): Diz respeito ao treinamento dos componentes do Grupo de Respostas a Contingência, ou seja, são as áreas responsáveis por dar suporte operacional no caso de uma contingência. Neste caso específico para a EMPRESA, esse grupo será