implementaÇÃo do gerenciamento de riscos …tede.mackenzie.br/jspui/bitstream/tede/3169/5/wilson...
TRANSCRIPT
UNIVERSIDADE PRESBITERIANA MACKENZIE
Centro de Ciências Sociais e Aplicadas
Programa de Pós-Graduação em Ciências Contábeis
IMPLEMENTAÇÃO DO GERENCIAMENTO DE RISCOS
OPERACIONAIS NA ÁREA DE RECEBIMENTO
INTEGRADO: UMA ABORDAGEM INTERVENCIONISTA
EM UMA EDITORA NACIONAL
Wilson de Moraes
São Paulo
2017
Wilson de Moraes
Implementação do gerenciamento de riscos operacionais na área de
Recebimento Integrado: Uma abordagem intervencionista em uma Editora
Nacional
Dissertação de Mestrado apresentada ao
Programa de Pós-Graduação em Ciências
Contábeis da Universidade Presbiteriana
Mackenzie como requisito parcial para
obtenção do título de Mestre em
Controladoria Empresarial.
Orientadora: Prof. Dra. Liliane Cristina Segura
São Paulo
2017
M827i Moraes, Wilson de Implementação do gerenciamento de riscos operacionais na área de
recebimento integrado: uma abordagem intervencionista em uma editora nacional / Wilson de Moraes - 2017.
93 f. : il. ; 30 cm
Dissertação (Mestrado em Controladoria Empresarial) Universidade Presbiteriana Mackenzie, São Paulo, 2017.
Orientação: Profª. Drª. Liliane Cristina Segura
Bibliografia: f. 82-91
1. Gerenciamento de riscos operacionais. 2. COSO. 3. Control Self Assessment (CSA). 4. Abordagem intervencionista. I. Título.
CDD 658.4012
Reitor da Universidade Presbiteriana Mackenzie
Prof. Dr. Benedito Guimarães Aguiar Neto
Pró-Reitora de Pesquisa e Pós-Graduação
Profa. Dra. Helena Bonito Couto Pereira
Diretor do Centro de Ciências Sociais e Aplicadas
Prof. Dr. Adilson Aderito da Silva
Coordenador do Programa de Pós-Graduação em Ciências Contábeis
Prof. Dr. Henrique Formigoni
WILSON DE MORAES
IMPLEMENTAÇÃO DO GERENCIAMENTO DE RISCOS
OPERACIONAIS NA ÁREA DE RECEBIMENTO INTEGRADO: UMA
ABORDAGEM INTERVENCIONISTA EM UMA EDITORA NACIONAL
Dissertação de Mestrado apresentada ao
Programa de Pós-Graduação em Ciências
Contábeis da Universidade Presbiteriana
Mackenzie como requisito parcial para
obtenção do título de Mestre em Controladoria
Empresarial.
Orientadora: Prof. Dra. Liliane Cristina Segura
Aprovada em
BANCA EXAMINADORA
Prof.ª Dr.ª Liliane Cristina Segura
Universidade Presbiteriana Mackenzie
Prof.ª Dr.ª Cecilia Moraes Santostaso Geron
Universidade Presbiteriana Mackenzie
Prof. Dr. Joshua Onome Imoniana
Universidade de São Paulo
À minha esposa Simone, pelo constante
incentivo e apoio em todos os momentos
difíceis.
Ao meu filho Guilherme, pela parceria,
compreensão e carinho.
AGRADECIMENTOS
Aos meus pais Walter Moacyr de Moraes (in memoriam) e Neusa Uvo de Moraes,
pelo amor e carinho ofertados durante minha formação e ao longo da minha vida, que se
refletem no ser humano que sou.
A minha orientadora, Prof.ª Dr.ª Liliane Cristina Segura, que durante todo o
processo me auxiliou não apenas com conhecimentos técnicos e científicos, mas também me
incentivando e apoiando em diversos momentos.
Aos Professores Doutores Cecilia Moraes Santostaso Geron e Joshua Onome
Imoniana, participantes da banca examinadora, cujas sugestões possibilitaram significativas
melhorias no presente trabalho.
Aos Professores Doutores José Carlos Tiomatsu Oyadomari e Henrique Formigoni,
pela disponibilidade, pelo apoio e pelas sugestões ao longo do trabalho.
Aos professores da Universidade Presbiteriana Mackenzie, mesmo aqueles com os
quais não cursei disciplinas complementares, por se prontificarem sempre a colaborar com este
projeto.
Ao Professor Doutor Ivan Carlos Alcântara de Oliveira, um primo dedicado e
prestativo que sempre me auxiliou e colaborou com a execução deste trabalho.
Aos gestores e funcionários da Editora Nacional, empresa objeto deste trabalho,
sem o empenho dos quais não teria sido possível coletar as informações necessárias e concluir
este projeto.
Aos meus amigos e a minha família, pessoas especiais em minha vida. E a Deus,
que me deu saúde, força e perseverança, permanecendo ao meu lado em todo o percurso dessa
caminhada.
Embora ninguém possa voltar atrás e fazer um
novo começo, qualquer um pode começar
agora e fazer um novo fim.
(Francisco Cândido Xavier)
RESUMO
A gestão de riscos é um dos mais importantes recursos para a sobrevivência das
organizações. Em um cenário de demanda por transparência e confiabilidade nas
demonstrações financeiras, o adequado gerenciamento de riscos operacionais é preocupação
cada vez mais presente. Em razão disso, a gestão de riscos torna-se um instrumento de extrema
importância para minimizar as ocorrências de perdas nas organizações. Porém, a literatura sobre
o assunto aborda, principalmente, empresas do setor financeiro, havendo uma carência de dados
para organizações pertencentes aos demais setores do mercado. É nesse contexto que o presente
estudo teve como objetivo principal a implementação do gerenciamento de riscos operacionais
na área de Recebimento Integrado (RI) de uma Editora Nacional. As análises deste trabalho
tiveram por base os conceitos da metodologia COSO (Committee of Sponsoring Organizations
of the Treadway Commission) e foram viabilizadas com a utilização da metodologia CSA
(Control Self Assessment) e da abordagem intervencionista. A metodologia CSA estabelece a
identificação dos riscos pelos gestores da área em análise, porém, nesse trabalho, com o intuito
de se obter contribuição para a teoria, foram apurados dados referentes a todos os funcionários
da área de RI. Posteriormente ao levantamento de dados, as implementações das ações
corretivas necessárias foram discutidas e negociadas junto ao gerente da área. O resultado
apurado demonstrou sucesso no processo de implementação, destacando que a participação de
todos os funcionários da área para apuração de fragilidades é benéfica e salutar para o negócio.
O principal ganho verificado foi a disseminação da cultura de riscos entre os participantes deste
trabalho e uma melhoria no ambiente de controle para a empresa. Os resultados devem ser
analisados considerando-se as limitações deste trabalho, que estudou uma empresa em um setor
específico. Para tanto, como sugestão de pesquisas futuras, há a necessidade de se ampliar o
número de empresas e áreas internas a serem estudadas, comparando-se as conclusões com as
do presente trabalho.
Palavras-chave: Gerenciamento de riscos operacionais. COSO. CSA. Abordagem
intervencionista.
ABSTRACT
Risk management is one of the most important features for the survival of
organizations. In a background in which transparency and reliability are fundamental
cornerstones in financial statements, appropriate management of operational risks is a growing
concern. As a result, risk management is increasingly necessary and a vital tool to reduce the
opportunities for deviations from the route plan. However, the literature on the subject
addresses, mainly, companies in the financial sector, showing a lack of data for organizations
in other industries. Within this context, this study aims to present the implementation of
operational risk management in the Integrated Receiving (IR) area of a National Publisher. The
analysis of this study was based on the concepts of COSO (Committee of Sponsoring
Organizations of the Treadway Commission) methodology and made possible using Control
Self Assessment (CSA) methodology, in addition to the interventionist approach. CSA
methodology provides the identification of risks by managers of the area under analysis.
However, in order to develop a theoretical contribution, this study analyzed data referring to
employees in IR area. After data were collected, the implementations of the necessary
corrective actions were discussed and negotiated with the concerned manager. The result was
a success throughout the whole process of implementation; in addition, the participation of all
employees were beneficial and constructive for the company in order to determine weaknesses
of the area. The main benefit observed was the dissemination of the risk culture among the
participants of this work and an improvement in the control environment for the company.
Results should be analyzed considering the limitations of this work, as the company studied
belongs to a specific sector. Therefore, as a suggestion for future research, there is a need to
expand the number of companies and internal areas to be studied, comparing the conclusions
with those of this study.
Key words: Operational risk management. COSO. CSA. Interventionist approach.
LISTA DE TABELAS
Tabela 1 Técnicas de Medição de Riscos.......................................................................... 37
Tabela 2 Pesquisas Realizadas no Portal CAPES.............................................................. 43
Tabela 3 Cargos que Compõem a Área de RI................................................................... 50
Tabela 4 Divisão dos Funcionários de RI por Localidade de Trabalho............................ 59
Tabela 5 Funcionários de RI que Participaram do Workshop........................................... 61
Tabela 6 Quantidade de Riscos Informados pelos Funcionários de RI............................. 64
Tabela 7 Riscos Novos Informados pelos Funcionários de RI após Entrevista
Estruturada......................................................................................................... 67
Tabela 8 Alteração da Classificação de Riscos após Entrevista Estruturada.................... 67
Tabela 9 Riscos Informados pelos Funcionários de RI após Entrevista........................... 67
Tabela 10 Consolidação de Riscos por Processo – Área de RI........................................... 69
Tabela 11 Classe e Avaliação dos Riscos Apontados......................................................... 74
Tabela 12 Resposta aos Riscos de Alta Relevância............................................................ 74
Tabela 13 Resposta aos Riscos de Média Relevância......................................................... 75
Tabela 14 Quantidade de Processos Mencionados no Levantamento de Riscos................. 77
Tabela 15 Quantidade de Funcionários que Identificou Riscos em Cada Processo............ 78
LISTA DE FIGURAS
Figura 1 Fatores de Risco Operacional................................................................................ 23
Figura 2 Conceito de Risco Operacional............................................................................. 24
Figura 3 Guia de Princípios para Mensuração de Riscos Operacionais.............................. 32
Figura 4 Processo de Mensuração dos Riscos Operacionais............................................... 34
Figura 5 Matriz Probabilidade × Impacto....................................................................... 39
Figura 6 Decisões de Mitigação / Controle de Risco Operacional...................................... 39
Figura 7 Representação do Processo de Pesquisa Intervencionista.................................... 47
Figura 8 Etapas do Projeto de Pesquisa.............................................................................. 56
Figura 9 Planilha de Levantamento de Riscos da Área de RI............................................. 63
Figura 10 Matriz Probabilidade × Impacto dos Riscos Consolidados da Área de RI.......... 71
LISTA DE ILUSTRAÇÕES
Gráfico 1 Classificação dos Riscos de RI............................................................................. 70
Gráfico 2 Classes dos Riscos Identificados pelos Funcionários de RI................................. 72
LISTA DE ABREVIATURAS
AAC Autoaavaliação de Controles
ADR American Depositary Receipts
AmCham American Chamber of Commerce
ARUM Automated Risk and Utility
Capes Comissão de Aperfeiçoamento de Pessoal do Nível Superior
COSO Committee of Sponsoring Organizations of the Treadway Commission
CSA Control Self Assessment
ERM Enterprise Risk Management
ERP Enterprise Resource Planning
FMEA Failure Mode and Effect Analysis
IBGC Instituto Brasileiro de Governança Corporativa
IBGE Instituto Brasileiro de Geografia e Estatística
IIA Instituto dos Auditores Internos
IPEA Instituto de Pesquisa Econômica Aplicada
ISO International Organization for Standardization
ISRAM Information Security Risk Analysis Method
PCAOB Public Company Accounting Oversight Board
PNAD Pesquisa Nacional por Amostra de Domicílios
RI Recebimento Integrado
SEC Securities and Exchange Commission
SOX Sarbanes-Oxley Act
SUMÁRIO
1. INTRODUÇÃO.................................................................................................... 15
1.1. JUSTIFICATIVAS E CONTRIBUIÇÕES............................................................. 18
2. FUNDAMENTAÇÃO TEÓRICA....................................................................... 20
2.1. RISCOS.................................................................................................................. 20
2.1.1. Riscos Operacionais............................................................................................. 22
2.1.1.1. Sarbanes-Oxley Act (SOX) ................................................................................... 25
2.1.1.2. Lei Anticorrupção.................................................................................................. 26
2.1.2. Gestão de Riscos Operacionais........................................................................... 27
2.1.2.1. Identificação dos Riscos Operacionais.................................................................. 30
2.1.2.2. Medição dos Riscos Operacionais......................................................................... 31
2.1.2.3. Avaliação dos Riscos Operacionais....................................................................... 38
2.1.2.4. Mitigação dos Riscos Operacionais – Autoavaliação dos Controles..................... 40
2.2. PESQUISAS ACADÊMICAS SOBRE O TEMA PROPOSTO............................ 42
3. METODOLOGIA................................................................................................ 45
3.1. TIPO DE PESQUISA............................................................................................. 45
3.1.1. Pesquisa Intervencionista.................................................................................... 46
3.2. INSTITUIÇÃO ANALISADA.............................................................................. 48
3.2.1. Situação Identificada........................................................................................... 48
3.2.2. Situação Atual da Área de RI............................................................................. 50
3.3. PROCEDIMENTOS DE COLETA DE DADOS.................................................. 51
3.3.1. Utilização de Questionário................................................................................... 52
3.3.1.1. Preparação do Questionário................................................................................... 53
4. ETAPAS DO PROJETO..................................................................................... 56
4.1. CRIAÇÃO E COMPARTILHAMENTO DO CONHECIMENTO....................... 57
4.1.1. Desenho dos Fluxos Operacionais....................................................................... 57
4.1.2. Workshop de Gerenciamento de Riscos Operacionais...................................... 58
4.1.2.1. Planejamento do Workshop.................................................................................... 58
4.1.2.2. Realização do Workshop.......................................................................................... 60
4.1.3. Identificação dos Riscos Operacionais pelos Funcionários de RI.................... 64
4.1.4. Entrevista Estruturada com os Funcionários de RI.......................................... 65
4.1.4.1. Consolidação dos Riscos Apontados pelos Funcionários de RI após Entrevista.... 68
5. APRESENTAÇÃO E ANÁLISE DOS RESULTADOS.................................... 70
5.1. TRATAMENTO DOS RISCOS............................................................................. 70
5.1.1. Avaliação dos Riscos............................................................................................. 70
5.1.2. Mitigação dos Riscos............................................................................................. 73
5.2. IMPLEMENTAÇÃO E MONITORAMENTO DAS AÇÕES CORRETIVAS.... 76
5.3. OUTRAS CONCLUSÕES IDENTIFICADAS APÓS IMPLEMENTAÇÃO DO
PROJETO ............................................................................................................... 76
5.3.1. Mudança em Relação à Percepção da Importância da Área pelos
Funcionários de RI................................................................................................ 76
5.3.2. Comprovação do Nível de Conhecimento dos Funcionários de RI quanto
aos Procedimentos Operacionais sob a Responsabilidade da Área.................. 77
5.3.3. Implementação do Projeto “Gerenciamento de Riscos Operacionais”
em Outras Áreas da Editora Nacional................................................................ 78
6. CONSIDERAÇÕES FINAIS............................................................................... 79
7. REFERÊNCIAS.................................................................................................... 82
ANEXO................................................................................................................................ 92
15
1. INTRODUÇÃO
A gestão de riscos vem sendo tratada como fator de grande importância pelas
empresas atualmente. Porém, essa preocupação não tem seu início na época atual. Segundo
Bernstein (1997, p. 3), “[...] o estudo mais aprofundado sobre riscos inicia-se no Renascimento,
quando as pessoas se libertaram das restrições do passado e desafiaram abertamente as crenças
consagradas”.
O risco está sempre presente no nosso dia a dia , no simples ato de atravessar a rua,
na decisão de onde devemos aplicar nossas economias, ao decidir por um novo emprego e até
mesmo ao segurarmos uma criança no colo. Para todas as nossas ações geramos uma reação,
que pode ser favorável ou não. Este fato não é diferente para as empresas, onde o risco está
atrelado a toda a sua operação, desde fatos administrativos até ações operacionais. Bernstein
(1997, p. 8) menciona que “[...] risco deriva do italiano antigo risicare, que significa ousar.
Neste sentido, o risco é uma opção, e não um destino”.
Neste contexto, as empresas devem avaliar os riscos a que estão expostas em suas
operações, em relação às exigências do mercado, atentando para normas e regulamentações a
seguir e implantando controles internos capazes de assegurar o mais eficiente processo
operacional.
Porém, a evolução dos negócios e a alta competição entre as empresas começou a
expor fragilidades, culminando em escândalos financeiros internacionais famosos, como
Bankers Trust (1994), Credit Lyonnais (1993), Barings Bank (1995), Sumitomo Company
(1996), Enron (2001), WorldCom (2002), entre outros. Surgiu então a necessidade de mercados
mais regulados e com mecanismos que proporcionariam mais estabilidade e transparência nas
transações.
Este cenário gerou novas regulamentações em relação ao mercado financeiro, como
o acordo firmado entre os bancos centrais de diversas nações – Acordo de Capitais da Basileia
– e, para as companhias abertas listadas nas bolsas americanas, houve a promulgação do
Sarbanes-Oxley Act (2002), também conhecida por SOX. Essas medidas tiveram por objetivo
desenvolver mecanismos para proporcionar maior estabilidade e dar mais transparência ao
mercado, dando maior destaque ao processo de gerenciamento de riscos corporativos nas
empresas nacionais e internacionais.
No Brasil, o crescimento da importância da gestão de riscos fica mais destacado
com a Resolução nº 3.380/2006 do Banco Central do Brasil, que define em seu artigo 1º
16
“Determinar às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco
Central do Brasil a implementação de estrutura de gerenciamento do risco operacional”
(BANCO CENTRAL DO BRASIL, 2006), o que deveria ocorrer a partir do ano de 2007.
Outro fator relevante foi a promulgação da Lei nº 12.846/2013, pela Presidência da
República Federativa do Brasil, que dispõe sobre a responsabilização administrativa e civil de
pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira.
A referida lei exige das empresas a necessidade de implementação de controles internos
operacionais para garantir que a relação entre entidades públicas e privadas seja transparente e
não tendenciosa à corrupção, fato este punido com pesadas multas, além de retratação pública
(BRASIL, 2013).
Com isso, o nível de expertise dos responsáveis pela gestão de riscos culminou em
uma sensível melhora, sendo atualmente “[...] improvável encontrar um tomador de decisões
que não tenha, pelo menos, noção dos estragos que possam ser causados em decorrência de um
tratamento inadequado de situações [...]” (SANTOS, 2010, p. 11).
Essas novas exigências e determinações passam pelo controle dos riscos
operacionais que, segundo Chorafas (2004), estão presentes em empresas com negócios
regulados ou não, que possuem administração centralizada ou descentralizada, com alta ou
baixa tecnologia, tendo sua base em território nacional ou internacional, com produtos
complexos ou simples em seu portfólio.
Em pesquisa realizada em julho de 2012 pela Câmara Americana de Comércio –
American Chamber of Commerce – AmCham, com executivos de 140 empresas, podemos
entender a relevância do assunto, pois o tipo de risco considerado de maior relevância foi o
Risco Operacional (25,7% dos respondentes). Adicionalmente, 33% das empresas responderam
ter uma área exclusiva para o controle das perdas potenciais, e outras 24% responderam que a
área responsável por esse controle na empresa não se dedicava exclusivamente a isso, mas está
relacionada ao tema, como a Auditoria Interna.
Apesar do grau de importância mencionado na pesquisa, verificou-se que 43% das
empresas ainda não possuem um processo efetivo de controle dos riscos operacionais; 22,5%
responderam que não realizam ações de controle, e outros 20,5% dizem que apenas ações
pontuais de gerenciamento dos riscos são realizadas pelas áreas de negócios.
Considerando a relevância do tema, tanto nacional como internacional, o autor deste
estudo analisou a situação da Editora Nacional1 e concluiu pela necessidade de implementação
1 O nome da Editora Nacional foi alterado para preservar o sigilo da empresa.
17
do processo de controle de riscos na empresa. Essa conclusão foi baseada no fato de que
recentemente a empresa em questão, motivada pela atual crise econômica vivenciada pelo
Brasil, teve de realizar ajustes internos, ocasionando a diminuição do quadro de funcionários.
Como consequência, a área de Auditoria Interna identificou uma sensível
diminuição do nível de controles internos que suportam a operação.
O autor, como proposta de ação, levou ao conhecimento da Diretoria da Editora
Nacional os fatos que qualificavam a importância desse projeto na empresa, apresentando o
tema, as justificativas e expectativas do projeto.
Após ser apresentada a importância do estudo e verificada a necessidade de
implantação do gerenciamento de riscos operacionais na empresa, os executivos aprovaram a
solicitação e ofereceram o apoio necessário para o sucesso do projeto, deixando sob a
responsabilidade do autor a realização da pesquisa e a respectiva implementação do projeto.
Ao assumir essa responsabilidade, o autor deste estudo decidiu realizar uma
pesquisa intervencionista na Editora Nacional, com o objetivo de iniciar o projeto
“Implementação de Gestão de Riscos Operacionais” pelo departamento de Recebimento
Integrado (RI).
Como ferramenta de suporte, foi utilizada a metodologia de Control Self
Assessment (CSA), também conhecida por Autoavaliação de Controles (AAC). Segundo
Almeida (2006), “a Autoavaliação de Controle consiste na colaboração interativa entre
auditores e outros facilitadores e a organização, que está sendo objeto do processo de
Autoavaliação de Controle”. Porém, neste estudo, diferentemente do que prevê a metodologia
CSA, o autor utilizou maior participação dos funcionários em comparação com a dos executivos
na apuração dos riscos da área. Essa ação visou avaliar as definições previstas na metodologia
CSA, gerando fator colaborativo para aprendizagem e contribuição teórica.
Diante desse contexto, este trabalho teve como objetivo desenvolver a
implementação do gerenciamento de riscos operacionais na área de Recebimento Integrado (RI)
da Editora Nacional.
E, como objetivo específico, será preparado um framework a ser utilizado para a
implementação desse processo nas demais áreas da empresa. Além disso, foi verificado o nível
de importância de uma maior participação dos funcionários operacionais na metodologia CSA.
18
1.1. JUSTIFICATIVAS E CONTRIBUIÇÕES
A gestão de riscos operacionais ou ERM (Enterprise Risk Management) busca
medidas estratégicas que possibilitam mitigar os efeitos gerados pelos riscos organizacionais,
de pessoal e de operações internas, assim como aumentar a lucratividade por meio do seu
gerenciamento de forma sistemática e estratégica (WEBER, 2014).
Com expectativa de geração de benefícios para a empresa na implementação deste
projeto, o autor deste estudo optou pela área de RI como piloto para implantar a gestão de riscos
operacionais, devido à importância da área para o processo operacional e administrativo da
empresa.
Atualmente, a área de RI possui 18 funcionários e está subordinada à Diretoria
Financeira da Editora Nacional, tendo entre suas principais funções:
Receber documento fiscal tendo como sacador/pagador empresas do grupo da
Editora Nacional.
Conferir se o documento possui incorreções quanto a dados fiscais e
recolhimentos de impostos.
Acessar o sistema ERP (Enterprise Resource Planning) e inserir os dados do
documento fiscal para gerar pagamento do fornecedor e cálculo de pagamento
dos impostos.
Controlar as notas fiscais de produtos da Editora Nacional em poder de
terceiros.
Controlar as notas fiscais de produtos de terceiros em poder da Editora
Nacional.
Cadastrar fornecedores no sistema ERP.
Gerenciar e arquivar os documentos fiscais pelos prazos legais.
Este estudo justifica-se com base na contribuição para a Editora Nacional quanto a
desenvolver, nos funcionários operacionais, a habilidade de identificar riscos, classificá-los
quanto a sua relevância e sugerir ações corretivas cabíveis; gerar economia para o negócio, pois
a empresa será capaz de identificar com maior precisão os riscos envolvidos em um processo,
a sua relevância e os custos a serem investidos para a mitigação; apresentar maior clareza na
tomada de decisão para a realização de investimentos em controles internos no negócio;
identificar, com maior rapidez, fraudes que podem ocorrer/estar ocorrendo no processo
19
operacional; gerar maior confiabilidade e transparência nas informações fornecidas interna e
externamente, devido ao melhor detalhamento em relação ao nível de controle da empresa;
demonstrar ao mercado e acionistas o grau de comprometimento da empresa com a melhoria
contínua da Governança Corporativa.
Além disso, o resultado deste estudo terá relevância para a teoria, visto que irá
contribuir para o entendimento da metodologia Control Self Assessment – CSA (Autoavaliação
de Controle) quanto à utilização de todos os funcionários operacionais da área analisada, na
identificação e graduação dos riscos da área de Recebimento Integrado.
Segundo Nogueira et al. (2004, p. 4), pelo atual conhecimento da metodologia, “As
reuniões [de CSA] ocorrem com a participação do gestor do processo, seus principais
colaboradores [...]”. Porém, nesta pesquisa intervencionista, o autor irá requisitar a participação
de todos os colaboradores da área, além do gestor do processo, objetivando maior identificação
dos riscos operacionais e melhora no detalhamento das informações.
20
2. FUNDAMENTAÇÃO TEÓRICA
2.1. RISCOS
Todos os dias, ao acordarmos, nos deparamos com situações que são comuns e
cotidianas para nós, mas que podem nos expor a riscos, tais como dirigirmos até o nosso
trabalho, atravessarmos uma rua, nos alimentarmos, fazermos nossos exercícios regulares, entre
outros. Segundo Coimbra (2007, p. 25), “O conceito de risco não é novo”, sempre existiu e
sempre irá existir. Porém, a sua definição não é consenso entre os autores, mas está relacionada
com perdas na operacionalização dos negócios.
Conforme o dicionário Michaelis, a palavra “risco” vem do italiano rischio e tem o
significado de “possibilidade de perigo, incerto mas previsível, que ameaça de dano a pessoa
ou a coisa” (MICHAELIS, 2012). Porém, Bernstein (1997, p. 8) menciona que “[...] risco deriva
do italiano antigo risicare [...], que significa ‘ousar’. Neste sentido, o risco é uma opção, e não
um destino”.
Segundo Coimbra (2007, p. 25), “O risco existe quando há probabilidade de
ocorrência de resultados diferentes do esperado, ou seja, pode haver resultados melhores ou
piores do que os planejados, embora a tendência seja em focar as chances de resultados
negativos”.
Para Marshall (2002, p. 19), “risco pode ser definido, de forma abrangente, como o
potencial de eventos ou tendências continuadas causarem perdas ou flutuações em receitas
futuras”. Jorion (2003, p. 3) conceitua risco “como a volatilidade de resultados inesperados,
normalmente relacionada ao valor de ativos ou passivos de interesses”.
Com o objetivo de alinhar o conceito de risco entre os diversos autores, foi
publicada, em 2009, pela International Organization for Standardization (ISO), a Norma
Internacional 31000 – Gestão de Riscos. ISO é uma organização internacional fundada em 1947
com o intuito de desenvolver normas e padrões. Já publicou mais de 19.000 normas de
padronização, com temas relacionados a aspectos de tecnologia e negócio. Possui membros em
162 países e sua sede está situada na cidade de Genebra, na Suíça.
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e
frameworks publicados anteriormente e que, de alguma forma, estão relacionados com a gestão
de riscos (BRASILIANO, 2009). Esta norma defende a tese de que risco é o efeito da incerteza
nos objetivos, e efeito é um desvio em relação ao esperado – positivo e/ou negativo.
21
Para Jorion (2003), os riscos podem ser originados por fontes diversas, sejam elas
naturais (terremotos, inundações etc.) ou criadas pelo próprio ser humano (ciclos de negócios,
inflação etc.). Segundo ele, “o risco e a vontade de assumi-lo são essenciais para o crescimento
da economia” (JORION, 2003, p. 8).
Em uma definição atrelada ao mercado financeiro, “risco é definido em termos da
variabilidade dos retornos observados de um investimento em comparação com o retorno
esperado do investimento, mesmo quando esses retornos representam resultados positivos”
(DAMODARAN, 2009, p. 24).
Diante dos conceitos expostos, pode ser observado que o risco está presente onde
eventos futuros ocorrem com uma probabilidade mensurável (KENETT; RAANAN, 2011),
além de ser elemento fundamental que influencia o comportamento financeiro (CROUHY;
GALAI; MARK, 2001).
Neste contexto, cabe mencionar a preocupação de separar claramente os
significados de “risco” e “incerteza”, visto que influenciam altamente no processo de tomada
de decisões. Segundo Knight (1921 apud KENETT; RAANAN, 2011), esta diferença é uma
questão de conhecimento, pois riscos descrevem situações nas quais probabilidades são
avaliadas, enquanto incertezas referem-se a situações em que a informação é muito imprecisa
para ser colocada como probabilidade.
De acordo com Crouhy, Galai e Mark (2001), os riscos podem ser divididos de
acordo com o tipo de exposição, sendo categorizados da seguinte maneira:
Risco de Mercado: risco que surge com as mudanças nas condições financeiras
de mercado, incluindo taxa de juros, taxa de câmbio, liquidez etc. Pode causar
perdas financeiras ou impedir a empresa de cumprir suas obrigações.
Risco de Crédito: risco gerado pelo não cumprimento de obrigações financeiras
por parte dos devedores, resultando em perdas financeiras.
Risco de liquidez: compreende a capacidade de a empresa captar dinheiro para
quitar suas dívidas, mas não poder honrar o compromisso no momento do
vencimento dessa transação.
Risco Operacional: possibilidade de perdas que são resultados de sistemas
inadequados, falhas de gerenciamento, falhas nos controles internos, fraudes e
erros humanos.
Risco Legal e Regulatório: risco relacionado a contestações judiciais motivadas
por divergências de pontos de vista entre as partes que estão se relacionando
22
(Risco Legal) e alterações de normas ou leis que podem impactar diretamente as
operações (Risco Regulatório).
Risco Fator Humano: está relacionado diretamente com os riscos operacionais,
referindo-se a perdas ocasionadas por erros humanos, como apertar um botão
indevido no computador, destruir um arquivo inadvertidamente, entre outros.
As empresas, ao atuarem em qualquer tipo de economia de mercado, deverão estar
atentas aos riscos existentes, tais como: consequência das decisões dos gestores, mudanças de
governos, legislações e alterações no cenário econômico. Todos esses fatores podem afetar a
continuidade das operações. Contudo, devem trabalhar a sua eficiência, mas com a noção de
que não conseguem escapar da máxima que diz “quanto maior o retorno esperado, maiores são
os riscos”. Controlar e trabalhar os riscos estão entre os principais fatores para a sobrevivência
de qualquer empresa (TRAPP; CORRAR, 2005). Conforme Bernstein (1997, p. 205), “A
essência da administração do risco está em maximizar as áreas onde temos certo controle sobre
o resultado, enquanto minimizamos as áreas onde não temos absolutamente nenhum controle
sobre o resultado e onde o vínculo entre efeito e causa está oculto de nós”.
Neste trabalho, faremos uma análise mais detalhada do Risco Operacional, visto ser
o pilar para os estudos aqui propostos.
2.1.1. Riscos Operacionais
Apesar de não haver um consenso sobre o conceito de Risco Operacional,
utilizaremos as definições de alguns autores que serão importantes para o reforço e a aplicação
dos conceitos estudados neste trabalho. Como veremos, todas são abrangentes e sem uma
indicação clara e agrupada de quais processos estão envolvidos, dificultando a sua mitigação.
Contudo, são de suma importância a correta classificação e o entendimento deste tipo de risco,
com o objetivo de aumentar a conscientização de todos os envolvidos e diminuir a exposição a
ele.
Segundo Jorion (2003), riscos operacionais são os casos que têm origem em erros
humanos, de sistemas ou de acidentes, podendo ser incluídos os casos de fraudes, falhas da
gestão e controles e procedimentos inadequados.
De acordo com Crouhy, Galai e Mark (2001), riscos operacionais referem-se ao
potencial de perdas resultante de sistemas inadequados, falha de gerenciamento, falha nos
controles internos, fraude e erros humanos.
23
Duarte Jr. (2005) define risco operacional como uma forma de mediar as potenciais
perdas, no caso de seus sistemas operacionais, práticas e controles internos não serem capazes
de identificar a falhas humanas ou de equipamentos.
Já Coimbra (2007) afirma que todos os fatores operacionais estão intrinsecamente
ligados, desde os Processos, Eventos Externos, Tecnologia até as Pessoas, conforme verificado
na Figura 1. Esta relação determina que qualquer fator ocorrido irá afetar diretamente o
processo de controle de riscos operacionais.
Figura 1 – Fatores de Risco Operacional
Fonte: Adaptado de Coimbra (2007).
Segundo Chorafas, conceitua-se Riscos Operacionais como:
Riscos Operacionais estão presentes se o negócio é regulado ou não, centralizado ou
descentralizado, de tecnologia antiga ou alta tecnologia, base nacional ou
internacional, caracterizado por produtos simples ou por produtos complexos,
negociação através de um único canal ou vários canais (CHORAFAS, 2004, p. 4).
Lima (2007) assevera que o risco operacional acontece originado de eventos únicos
iniciando desde uma negociação incorreta, fraude, até forças da natureza (acidentes, terremoto,
tempestade, etc.). As diversas formas de eventos que originam esse tipo de risco tornam difícil
uma definição precisa.
Huber e Imfeld (2009) mencionam que o risco operacional pode causar perdas
diretas ou indiretas, via riscos de mercado, crédito ou risco do negócio. Conforme pode ser
observado na Figura 2, esses três tipos de riscos estão diretamente ligados ao resultado
operacional e à receita do negócio, além da liquidez da operação. A representação dessas
24
relações existentes inclui as perdas indiretas ocorridas na operação, as quais podem acarretar
grandes prejuízos para a empresa.
Figura 2 – Conceito de Risco Operacional
Fonte: Adaptado de Huber e Imfeld (2009).
Entre os escândalos financeiros ocorridos em um passado recente, podemos
observar a materialização dos riscos operacionais, que gera grandes perdas para as
organizações, dentre as quais destacamos:
Bankers Trust (Estados Unidos, 1994);
Credit Lyonnais (França, 1993);
Sumitomo Company (Japão, 1996);
Enron (Estados Unidos, 2001);
WorldCom (Estados Unidos, 2002).
Os exemplos mencionados, como em outros casos, apresentam relação entre
combinação de risco de crédito/mercado e falhas nos controles internos, envolvendo o conceito
de riscos operacionais. Dentre os riscos que envolvem essas operações, o maior deles são as
operações não autorizadas (JORION, 2003).
Porém, para que o mercado se tornasse mais seguro e transparente nas informações
aos investidores, algumas Normas e Regulamentações foram implementadas, as quais afetaram
25
diretamente o controle das empresas quanto ao risco operacional. Neste trabalho, iremos
analisar o impacto das principais alterações nos processos das empresas.
2.1.1.1. Sarbanes-Oxley Act (SOX)
O Sarbanes-Oxley Act (SOX) foi uma resposta do governo norte-americano a uma
série de escândalos contábeis ocorridos em grandes empresas dos Estados Unidos, com o
objetivo de recuperar a confiança dos investidores e evitar uma descapitalização das empresas
daquele país (SILVA e MACHADO, 2008). Esta lei entrou em vigor no ano de 2002 e resultou
em alterações importantes no processo de governança corporativa. Criada pelo senador Paul
Sarbanes e pelo representante Michael Oxley, ela também definiu uma série de prazos para o
cumprimento de suas exigências.
A lei Sarbanes-Oxley aplica-se a companhias abertas listadas em bolsas americanas,
independentemente de terem ou não sede nos Estados Unidos. Bancos ou empresas brasileiras
com American Depositary Receipts (ADRs) na bolsa de Nova Iorque, subsidiárias brasileiras
de empresas/bancos americanos ou de outra nacionalidade com atuação nos Estados Unidos
estarão sujeitos às exigências da Lei Sarbanes-Oxley (COIMBRA, 2007).
Esta lei determina regras para a criação de comitês encarregados de supervisionar
as atividades e operações das empresas, formados em grande parte por membros independentes.
Tem o intuito explícito de evitar a ocorrência de fraudes e criar meios de identificá-las quando
ocorrem, além de reduzir os riscos operacionais nos negócios e garantir a transparência na
gestão.
Os principais artigos da lei estão divididos nas seguintes categorias:
Criação do Public Company Accounting Oversight Board (PCAOB) – é uma
entidade sem fins lucrativos para fiscalizar auditores e, consequentemente,
proteger os interesses dos investidores.
Independência do auditor.
Responsabilidades da empresa.
Aprimoramento das divulgações financeiras.
Responsabilidade por fraude corporativa ou criminal.
Aumento das penalidades para crimes de colarinho branco.
26
Entre as penalidades previstas, as empresas que não estiverem em conformidade
poderão receber sanções pecuniárias de US$ 1 milhão a US$ 5 milhões e/ou penas de dez a
vinte anos de reclusão para os envolvidos.
2.1.1.2. Lei Anticorrupção
Devido ao crescente noticiário de processos de corrupção envolvendo empresas e o
poder público brasileiro (BORTOLINI, 2015), foi sancionada, em agosto de 2013, pela
Presidência da República, a Lei nº 12.846, também conhecida por Lei Anticorrupção, que
dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos
contra a administração pública, nacional ou estrangeira (BRASIL, 2013).
A referida lei é aplicada a sociedades empresárias e sociedades simples,
personificadas ou não, independentemente da forma de organização ou do modelo societário
adotado, bem como a quaisquer fundações, associações de entidades ou pessoas, ou sociedades
estrangeiras que tenham sede, filial ou representação no território brasileiro, constituídas de fato
ou de direito, ainda que temporariamente.
A Lei nº 12.846/2013 não obriga as empresas a estabelecer sistemas preventivos de
anticorrupção no controle interno de suas atividades que geram elevados riscos às organizações,
mas impõe a elas a necessidade de se precaverem. Primeiro, no sentido de prevenir a ocorrência
de desvios. Segundo, caso eles ocorram, o sistema preventivo servirá de atenuante quanto à
aplicação das multas. A Lei nº 12.846/2013 prevê, também, que as sanções serão atenuadas se
a empresa tiver, comprovadamente, instituído “mecanismos e procedimentos internos de
integridade, auditoria e incentivo à denúncia de irregularidades, e a aplicação efetiva de códigos
de ética e de conduta”. A competência para aplicação das sanções é uma das maiores
preocupações das empresas, porque permite que os administradores públicos e seus prepostos
imponham multas pesadas no contexto político local, caso haja desvios (TARSO, 2013).
Segundo Gasparin (2014), a partir da promulgação, “as empresas envolvidas em
fraudes serão alvo de processos civis e administrativos e podem pagar multa de 0,1% a 20% do
faturamento anual bruto (quando não for possível calcular essa receita, o valor pode ser
estipulado por um juiz e variar entre R$ 6 mil e R$ 60 milhões). Em alguns casos, a Justiça
pode até determinar o fechamento da companhia”.
Pelas novas regras, as empresas deverão se adequar, quanto aos seus procedimentos
operacionais, para prevenir o envolvimento de seus funcionários em atos de corrupção; para
isso, será necessária a criação de um Departamento de Ética Empresarial, chamado de
27
Compliance. Segundo a revista IstoÉ Dinheiro (2014), “As empresas terão que adotar
mecanismos de controle e políticas internas anticorrupção, em que se contempla um código de
ética, treinar a equipe em relação à Lei Anticorrupção e ter um canal de denúncia. [...] Empresas
que tiverem programas anticorrupção, poderão ter uma redução da pena, caso venham a ser
autuadas por práticas ilícitas.”
A lei prevê, ainda, um programa de cooperação para as companhias que colaborem
com uma eventual investigação. Ao colaborar com as investigações, por exemplo, a empresa
pode ter a multa reduzida em até dois terços (GASPARIN, 2014).
2.1.2. Gestão de Riscos Operacionais
Atualmente, quando se fala em Gestão de Riscos, uma das primeiras relações que
vem à mente do profissional responsável por essa função são as normas definidas pelo
Committee of Sponsoring Organizations of the Treadway Commission (COSO).
A metodologia COSO (2007) estabelece que o processo de gerenciamento de riscos
tem por premissa que toda organização existe para gerar valor às partes interessadas.
Como definição, COSO especifica que as empresas devem tratar riscos e
oportunidades que afetam a criação ou a preservação dos valores, definindo gerenciamento de
riscos da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo Conselho de Administração, Diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo
a mantê-los compatível com o apetite a risco da organização e possibilitar garantia
razoável do cumprimento de seus objetivos. (COSO, 2007).
Segundo Damodaran (2009, p. 301), “a efetiva gestão do risco diz mais respeito às
escolhas estratégicas do que às escolhas nas esferas financeiras, e manifesta-se no valor na
forma de retornos excedentes ao custo de capital mais expressivos e sustentáveis”.
Já Weber fornece a seguinte definição sobre gestão de riscos operacionais:
A gestão de riscos operacionais [ou ERM (Enterprise Risk Management)] busca
medidas estratégicas que possibilitam mitigar os efeitos gerados pelos riscos de
pessoal, do organizacional e de operações internas, assim como aumentar a
lucratividade através do seu gerenciamento de forma sistemática e estratégica
(WEBER, 2014, p. 41).
Conforme Duarte Jr. (2005), os riscos operacionais estão presentes em toda e
qualquer atividade do mercado. Mesmo não sendo novidade, não há uma metodologia nacional
ou internacional para que as empresas realizem o seu gerenciamento de forma padronizada.
28
Segundo Brito, o conceito de riscos operacionais pode ser definido da seguinte
forma:
A ausência, parcial ou total, da integridade gerada pelo gerenciamento dos riscos
operacionais, pode levar a empresa a impactos negativos com órgãos reguladores,
mercado competidor e clientes, impactando em risco reputacional e,
consequentemente, propiciando risco financeiro, com impactos prováveis no bottom
line, quer por perdas de clientes, quer por perdas geradas por fraudes, quer por não
conseguir novos clientes. (BRITO, 2013, p. 276)
Huber e Imfeld (2009) afirmam que muitas empresas ainda têm a visão de que o
gerenciamento de riscos operacionais serve apenas para atender a exigências regulatórias ou é
um fator de custos. Entretanto, a experiência demonstra que os lucros das empresas são
originados pelo gerenciamento de riscos operacionais, desde que projetado e praticado como
instrumento de gestão. Tal gerenciamento auxilia no atingimento dos objetivos da empresa,
propicia a criação de vantagens competitivas e melhora a eficiência do negócio.
Porém, Aerts (2001) acredita que as empresas estão cada vez mais convencidas de
que o gerenciamento de riscos operacionais é peça-chave na proteção e no aumento do valor
para os acionistas. O sistema de controle de processos pode ser fundamental para identificar e
avaliar riscos nas operações, especialmente se houver falta de conhecimento, aliada à
dependência tecnológica e de informação, além do comportamento humano inadequado, que
podem resultar em ineficiências e falhas (LUNKES, 2010).
Segundo Kenett e Raanan (2011), a gestão de riscos operacionais é uma abordagem
holística que observa todas as áreas como partes de uma entidade chamada risco. Em
continuidade ao pensamento dos autores, o risco, uma vez identificado, já não é mais um risco,
mas um problema de gestão.
Contudo, o conceito de gestão de riscos operacionais nas empresas ainda está em
seu estágio inicial (THLON, 2011). Esse conceito e a forma de ser tratado pelas empresas ainda
carece de aprofundamento. O conceito está mais desenvolvido no setor financeiro, em que,
segundo Alves e Cherobim (2009), o risco operacional é objeto de interesse de bancos e de
supervisores bancários de vários países. Em continuação, os autores mencionam que os avanços
tecnológicos contribuíram para que instituições financeiras e autoridades reguladoras
passassem a dar mais atenção ao risco operacional como um tipo de risco merecedor de
tratamento corporativo.
As empresas devem verificar a melhor forma de administrarem seus riscos, pois
eles estão diretamente relacionados à continuidade de seus negócios. O processo de gestão de
riscos operacionais deve ter uma solução de acordo com as necessidades específicas de cada
negócio (SANTOS, 2010).
29
A gestão de riscos operacionais pode ser dividida em seis passos, segundo
Namazian e Eslami (2011):
Identificar o perigo: um perigo é definido como qualquer condição real ou
potencial que pode causar degradação, lesão, doença, morte, danos ou perda de
equipamentos ou propriedade. Experiência, bom senso e ferramentas analíticas
específicas ajudam na identificação dos riscos.
Avaliar o risco: é a aplicação de medidas quantitativas e qualitativas para
determinar o nível de risco associado a riscos específicos. Este processo define
a probabilidade e a gravidade de um acidente que poderia resultar dos riscos
com base na exposição de seres humanos ou de bens aos perigos.
Analisar medidas de controle de riscos: investigar estratégias e ferramentas
específicas que reduzem, mitigam ou eliminam o risco. Todos os riscos têm
três componentes: probabilidade de ocorrência, gravidade do perigo e a
exposição de pessoas e equipamentos ao risco. Medidas de controles eficazes
mitigam ou eliminam um desses componentes. A análise deve levar em conta
os custos e benefícios das ações corretivas globais, oferecendo opções
alternativas.
Tomar decisões de controle: identificar o tomador de decisão adequado, que
deve escolher o melhor controle ou a combinação dos controles a partir da
análise das medidas de controle de riscos.
Implementar controles de risco: a gestão da empresa deve formular um plano
para aplicar os controles que foram selecionados e, em seguida, fornecer o
tempo, os materiais e o pessoal necessário para colocar essas medidas em vigor.
Supervisionar e revisar: após a implementação dos controles, o processo deve
ser reavaliado periodicamente para assegurar a sua eficácia. Os funcionários,
em todos os níveis, devem cumprir seus respectivos papéis para assegurar que
os controles serão mantidos ao longo do tempo. O processo de gestão de risco
continua durante todo o ciclo de vida do sistema.
Não existe um consenso quanto à forma de implementação e acompanhamento do
processo de gerenciamento de riscos. Os procedimentos ficarão sob a responsabilidade de cada
empresa, que deve ter o cuidado de implantar uma padronização, na forma de agir e nos
procedimentos de trabalho, que envolva todos os funcionários.
30
Com a implementação do processo de gerenciamento de riscos, a empresa deve
contemplar os riscos existentes, podendo evitar, reduzir, compartilhar ou aceitar (COSO, 2007).
Para isso, é necessário identificar os riscos e tratá-los de forma adequada.
2.1.2.1. Identificação dos Riscos Operacionais
Após o processo de implementação da gestão de riscos operacionais, cabe à
empresa realizar a identificação desses riscos, pois somente após esse estágio é que terá uma
visão dos processos dignos de atenção.
Porém, essa não é uma tarefa fácil. Segundo Huber e Imfeld (2009), dois pontos
devem estar alinhados: ter claro o conceito de risco e analisar a empresa como um todo.
Para Marshall (2002), a identificação de riscos deve passar por um processo de
mapeamento da empresa, analisando todos os processos e cadeias de negócios, para
posteriormente ser feita uma análise mais aprofundada. Como complemento, esse autor coloca
como necessidade a realização prévia de Benchmark, tendo por objetivos melhor conhecimento
da empresa, melhora dos processos operacionais e auxílio na compreensão das alternativas
possíveis.
A ISO 31000 (2009, p.18) menciona que “a empresa deve identificar seus riscos de
forma abrangente, porém com certa cautela, pois um erro de estratégia [...] pode colocar o
resultado do gerenciamento de riscos não totalmente satisfatório, onde riscos não apontados
não serão incluídos em análises posteriores”.
Cada empresa terá o seu conjunto de riscos identificado, de acordo com a sua forma
de atuar, mas o que ocorre comumente nesta fase é que isto deverá ser feito de maneira que
todos tenham uma visão única de riscos e de como eles podem afetar a empresa.
Neste caso, cabe a realização de uma política de riscos com o objetivo de padronizar
os processos e conceitos, que deverá ser aprovada pela Alta Gestão e divulgada constantemente
para todos os funcionários. Conforme Weber (2014), o processo de gerenciamento de riscos
envolve a utilização de políticas que vão proporcionar um conhecimento uniforme do nível
empresarial em relação a todos os riscos.
Segundo Kenett e Raanan (2011), para as empresas atingirem uma padronização na
identificação de riscos, devem ser seguidos os seguintes passos:
Possuir uma biblioteca centralizada de riscos – neste caso, são arquivados todos
os riscos genéricos da empresa e associados à estratégia do negócio. As
unidades devem identificar seus riscos e arquivá-los em um mesmo local,
31
sendo importante que, ao final das análises, a empresa possua uma biblioteca
com todos os riscos mapeados.
Classificar o padrão dos riscos identificados – neste ponto, é importante a
definição prévia de uma política de riscos para definir como serão
classificados. Posteriormente, enquanto cada unidade de negócio avalia e
identifica seus riscos, a classificação será feita de forma rápida e padronizada
com as demais. Assim, ao final do levantamento, a empresa poderá identificar
riscos comuns para os quais poderá ser utilizada a mesma forma de controle.
2.1.2.2. Medição dos Riscos Operacionais
Para o efetivo controle dos riscos operacionais, é importante que se realize a
mensuração dos valores envolvidos por meio da medida de custos.
Segundo Jorion (2003, p. 414), “a mensuração do risco operacional ainda consiste
numa arte em desenvolvimento”. Já Kenett e Raanan (2011) afirmam que, para a correta
avaliação e gerenciamento de riscos, eles devem ser mensuráveis, pois é impossível gerenciar
algo que não se consegue medir.
Marshall (2002, p. 140) menciona que “o objetivo da medição não é a precisão, mas
a compreensão dos possíveis resultados e um debate fundamentado sobre eles [...] a análise não
é um fim em si; ainda que muitos riscos operacionais não possam ser facilmente medidos, eles
sempre podem ser compreendidos”.
Para Jorion (2003) e Marshall (2002), não existe uma forma padrão de se medir os
riscos operacionais. Como forma de comparação, discutiremos neste trabalho alguns exemplos
para ilustrarmos as possibilidades de medição.
De acordo com Crouhy, Galai e Mark (2001), existem seis princípios básicos para
suportar o negócio com medição apropriada de risco operacional, a saber:
Objetividade – os critérios de medição devem ser padrão.
Consistência – os riscos operacionais semelhantes nos diversos negócios da
empresa devem ser relatados igualmente.
Relevância – os riscos devem ser reportados de tal forma que todos reconheçam
a sua importância e identifiquem quais ações devem ser tomadas para corrigi-
los ou evitá-los.
32
Transparência – os materiais de análise e as avaliações devem ser reportados
com transparência para a Alta Gestão.
Toda a empresa – os resultados das ações implementadas podem ser percebidos
por toda a organização.
Completo – todos os riscos operacionais da empresa são capturados e
identificados.
A implementação desses princípios torna o processo mais transparente, fazendo
com que a gestão da empresa tenha confiança nos dados. Com a padronização e a amplitude
das análises, fica mais difícil a ocorrência de novos riscos que possam impactar a empresa de
forma relevante, conforme demonstrado na Figura 3.
Figura 3 – Guia de Princípios para Mensuração de Riscos Operacionais
Fonte: Adaptado de Crouhy, Galai e Mark (2001).
Com os seis princípios implementados, Crouhy, Galai e Mark (2001) dividem o
processo de mensuração dos riscos operacionais em quatro passos, relacionados à probabilidade
de ocorrência da falha operacional, aos controles mitigantes e à severidade de potenciais perdas
financeiras.
a) Passo 1 – Input de dados
Reunir todas as informações necessárias para uma avaliação completa dos riscos
operacionais considerados significativos pela empresa.
33
b) Passo 2 – Ferramenta de avaliação de riscos
A empresa deverá fazer uma avaliação quanto à probabilidade de ocorrência de
cada risco operacional e, posteriormente, classificar a severidade de cada item. Esse passo tem
por objetivo categorizar para a empresa qual a relevância de cada risco identificado.
A classificação das informações deverá ter por base os seguintes dados:
Categorias de riscos;
Conectividade e interdependência;
Mudanças, complexidades e complacências;
Avaliação do risco;
Avaliação da severidade;
Combinar a probabilidade e a gravidade em uma avaliação global de gestão de
risco operacional;
Definição de causa e efeito;
Amostra de relatório de avaliação de riscos.
c) Passo 3 – Revisão e Validação
Após a geração do relatório de avaliação de riscos, serão revisadas as avaliações e
classificações junto aos Gestores do Negócio, com o objetivo de preparar um documento final
da empresa.
Posteriormente, o relatório deverá ser apresentado ao Comitê de Riscos, que deverá
validar a classificação dos riscos ou propor alterações. Esse Comitê deve ser composto por
membros das áreas da Gestão dos Negócios, Auditoria, áreas operacionais e liderado pela
unidade de Gestão de Riscos da empresa.
d) Passo 4 – Saída dos dados
O relatório final deverá ser distribuído para a Alta Administração da empresa e para
as áreas parceiras responsáveis pelo processo de governança, tais como Auditoria Interna e
Compliance.
Essa forma de preparação dos dados está de acordo com as melhores práticas
operacionais, pois todos da empresa têm a noção dos riscos envolvidos, da forma como são
tratados, da origem das informações. Além disso, sua classificação não depende apenas de uma
área, mas de um grupo, havendo a visão da empresa como um todo. Essa dinâmica pode ser
observada na Figura 4.
34
Figura 4 – Processo de Mensuração dos Riscos Operacionais
Fonte: Adaptado de Crouhy, Galai e Mark (2001).
Para Jorion (2003), o risco operacional tem a sua origem em fontes internas e
externas, diferenciando-se em relação aos riscos de crédito e de mercado, que possuem fontes
incertas. No caso dos riscos operacionais, é essencial a medida de custos para um bom nível de
controle e gerenciamento.
Segundo o autor, existem tipos de mensurações que podem ser utilizadas pelas
empresas, as quais podem ser divididas em:
Abordagem de Cima para Baixo e de Baixo para Cima
a) Abordagem de Cima para Baixo – neste caso, a empresa irá estimar o risco
a partir de informações que possui. Essa abordagem possui um processo
de implementação mais simples, se comparado com a segunda abordagem.
b) Abordagem de Baixo para Cima – as formas de utilização desta abordagem
são mais úteis em relação ao entendimento das causas do risco operacional.
Este processo permite medir os efeitos das melhoras do processo, além de
possibilitar a incorporação do risco operacional no preço do produto.
35
Distribuição das perdas
Esse processo pode ser implantado por meio de modelos atuariais, em que podem
ser empregadas duas variáveis aleatórias separadas – a frequência da perda e o grau de
severidade no momento de sua ocorrência.
a) Frequência das perdas – é a quantidade de vezes em que as perdas
ocorreram, em certo intervalo de tempo.
b) Severidade das perdas – é o volume gerado pela materialização da
ocorrência da perda. Como fonte, podem ser utilizados dados históricos de
ocorrências.
A vantagem da separação das fontes de risco é que possibilita à empresa distinguir
mais claramente as causas e os efeitos das perdas.
Desafio dos Dados
Montar uma base de dados confiável e atualizada é um desafio para as empresas.
Normalmente, ela é constituída de dados internos e externos.
a) Dados Internos – consistem nos dados originários de falhas, como erros de
processamento de transações, falhas de sistemas ou de funcionários. As
informações podem ser divididas em perdas estimadas ou indicadores de
frequência. Nesse processo, devem-se coletar, além dos dados da perda, as
suas características, tendo por objetivo uma relação da causa com o histórico
da ocorrência.
b) Dados externos – nem todos os casos de perdas são divulgados
publicamente. Com isso, devem permitir uma forma de adaptar a
distribuição das perdas a diferentes tipos de controles internos.
Em relação aos riscos operacionais, Marshall (2002) cita três regras básicas para
coletar os dados e realizar a medição dos casos – as técnicas de análise histórica, a avaliação
subjetiva de riscos e a estimativa do risco baseada em dependência.
a) Análise Histórica
Segundo Marshall (2002), a causa da ocorrência do risco não muda
significativamente ao longo do tempo. Essa abordagem deve ser empregada em empresas que
possuem processos mais estáveis, cujos controles são mais sólidos, resultando em dados com
36
maior teor de confiabilidade. Porém, casos de alterações estruturais podem afetar a frequência
dos eventos, tornando essa alternativa inviável para o processo de acompanhamento e controle.
b) Avaliação Subjetiva do Risco
Para Marshall (2002), este tipo de avaliação é mais adequado para o
acompanhamento de riscos raros, de alto impacto ou catastróficos, devido à limitação dos dados
existentes. Essa avaliação fará sentido apenas se ocorrerem as seguintes situações:
Se os dados existentes tiverem qualidade ruim, forem muito caros para a sua
obtenção ou não existirem.
Se os fatos passados não garantirem as mesmas ocorrências no futuro,
dificultando a sua generalização.
c) Modelos Causais ou Estatísticos implícitos
Marshall (2002) esclarece que este tipo de modelo é mais adequado para eventos
raros, quando as abordagens anteriores não são adequadas.
Em observância aos procedimentos mencionados pelo autor, podemos avaliar que
a combinação dos fatores é a estratégia mais adequada para a medição dos riscos. Porém,
conforme demonstrado na Tabela 1, todos os processos têm o seu ponto forte e suas limitações,
devendo ser feita uma análise individual pelas empresas para verificar qual o modelo mais
adequado para cada caso.
37
Tabela 1 – Técnicas de Medição de Riscos
Técnica Pontos Fortes Limitações
Análise
histórica
Com base
em Perdas
Internas
Captura dos dados controláveis pela
empresa Retrospectivo.
Apropriado para processos mais
sólidos e maduros
Limitado para riscos de baixa
frequência.
Mais preciso Tempo excessivo para coleta de
dados.
Exigência de gerenciamento dos
dados internos e habilidade nas
análises.
Com base
em Perdas
Externas
Mais adequado em casos de perdas
incontroláveis Retrospectivo.
Amostragem maior para perdas
catastróficas
A amostra pode não ser
representativa.
Baixo custo Coleta de dados é mais cara
Processos maduros Disponibilidade de dados.
Avaliação
Subjetiva do
Risco
Envolve os gerentes da empresa Pensamento de grupo.
Traz habilidade e experiência Dificuldade em selecionar o grupo
correto.
Útil para estimar riscos de baixa
frequência
Estimativas podem ser
inconsistentes.
Pode ser voltada para o futuro
Foco em processos em que as
principais perdas são originadas
Identifica riscos originados dentro
da área do entrevistado
Modelos
causais ou
estatísticos
implícitos
Adequado para eventos estatísticos
ou de frequências causais que não
sejam adequados às demais
abordagens
Será tão bom quanto o modelo
desenvolvido.
Utilizado com frequência em lugar
da estimativa de impacto.
Combinação
Combina os pontos fortes de todas
as técnicas anteriores
Integração difícil e possibilita falta
de transparência.
Fonte: Adaptado pelo autor com base em Marshall (2002).
Conforme podemos observar pelas técnicas demonstradas por Crouhy, Galai e
Mark (2001), Jorion (2003) e Marshall (2002), não existe uma forma única de medição dos
riscos operacionais, importando às empresas apresentarem seus cálculos consistentes,
adequados, formalizados e transparentes para todos os funcionários.
38
2.1.2.3. Avaliação dos Riscos Operacionais
Conforme ISO 31000 (2009, p. 18), “a finalidade da avaliação de riscos é auxiliar
na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos
necessitam de tratamento e a prioridade para a implementação do tratamento”.
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2015), para
saber como um risco será tratado, é necessário saber qual o grau de exposição a ele. O cálculo
dessa exposição deverá levar em conta a probabilidade de materialização do risco e o seu
impacto.
Conforme Marshall (2002, p. 227), existe uma facilidade de compreensão se os
riscos são tabulados de acordo com a sua probabilidade e o seu impacto, de forma que os
eventos mais preocupantes para as empresas são aqueles que apresentarem impactos ou
probabilidades elevadas de acontecer. Ao terem conhecimento da classe em que os riscos estão
enquadrados, a empresa poderá focar em ações imediatas.
Conforme o dicionário Michaelis, a palavra “probabilidade” tem o significado de
“possibilidade mais acentuada da realização de um acontecimento entre inúmeros possíveis,
baseada, subjetivamente, na opinião do observador e, objetivamente, na relação entre o número
de casos favoráveis e o total das realizações” (MICHAELIS, 2012).
De acordo com o mesmo dicionário, a palavra “impacto” tem o significado de “ação
ou efeito de impactar; choque; expectativa” (MICHAELIS, 2012).
Conforme Amaral, Nunes e Amaral (2010), existem diversas metodologias para
avaliação do risco, e a maioria delas tem base na relação probabilidade × impacto para a
realização dos cálculos. Entre elas, mencionamos:
Information Security Risk Analysis Method (ISRAM) – utilizada para cálculo
dos riscos referentes à segurança da informação.
Automated Risk and Utility Management (ARUM) – desenvolvida de acordo
com as exigências da norma ISO 27005 (norma referente à Tecnologia da
Informação).
Failure Mode and Effect Analysis (FMEA) – utilizada para identificar possíveis
falhas no processo, antes que chegue ao cliente.
A análise das fórmulas de cálculo tem por objetivo identificar o ponto exato onde
se encontra o risco, gerando mais precisão na tomada de decisão. Além disso, tem por finalidade
39
realizar o tratamento dos riscos potenciais até a minimização dos seus efeitos, chegando ao
patamar de sua aceitação pela empresa, conforme observado na Figura 5.
Figura 5 – Matriz Probabilidade × Impacto
Fonte: Adaptado de Marshall (2002).
Para Coimbra (2007), o processo de impacto e probabilidade pode direcionar as
empresas na tomada de decisão quanto ao objetivo de se estabelecer controles para limitar o
surgimento do risco. Conforme podemos observar na Figura 6, existem quatro decisões a serem
tomadas, que são: controlar, aceitar, transferência ou evitar. Estas ações serão suportadas de
acordo com a tendência ao risco decidida pela Alta Gestão da empresa.
Figura 6 – Decisões de Mitigação / Controle de Risco Operacional
Fonte: Adaptado de Coimbra (2007).
40
Segundo COSO (2007), ao avaliar os riscos em uma perspectiva de probabilidade
e impacto, as empresas têm condições de verificar se a tendência ao risco definido está coerente.
Além disso, poderá identificar quais os tipos de riscos que deseja assumir. Para COSO (2007,
p. 66), “Nos casos em que uma visão de portfólio apresente riscos [...] menores do que o apetite
a risco da organização, caberá à administração motivar os gerentes [...] a assumir maior risco
em áreas dirigidas, a fim de intensificar o crescimento e o retorno total”.
2.1.2.4. Mitigação dos Riscos Operacionais – Autoavaliação dos Controles
Uma das formas de se trabalhar com a mitigação dos riscos operacionais é a
metodologia de Control Self Assesment (CSA), também conhecida por Autoavaliação dos
Controles Internos.
De acordo com Nogueira et al. (2004, p. 5), “O CSA consiste na metodologia
iniciada na empresa petrolífera GULF – Canadá em 1987 para atender a um decreto local, sendo
inicialmente utilizada por Auditores Internos que necessitavam de novas abordagens no exame
da efetividade dos controles internos”.
Já Cocurullo (2004, p. 169) defende que esta metodologia consiste em trabalhar
com funcionários de uma determinada área e a administração da empresa, adicionando
facilitadores com experiência no assunto. Ao reunir esses colaboradores, serão realizadas
entrevistas e discussões sobre processos específicos da área de atuação dos funcionários,
objetivando realizar uma autoavaliação dos controles relacionados ao processo analisado, com
o objetivo de desenvolver planos de melhorias para possíveis deficiências identificadas.
Conforme Almeida (2006), o CSA consiste na colaboração interativa entre
funcionários, empresa e facilitadores para minimizar a possibilidade de materialização de
riscos.
Engle e Joseph (2001) mencionam que o CSA é uma ferramenta utilizada por
muitas empresas para aprimorar seus sistemas de controles internos e processos operacionais.
Para Lage (2013, p. 5), “o CSA promove a avaliação dos riscos e controle pelo
pessoal que realmente executa o trabalho”. Conforme o Instituto dos Auditores Internos - IIA
(1998), o CSA é um processo que avalia a eficácia do controle interno, tendo por objetivo
fornecer razoável segurança para que todas as metas da empresa sejam cumpridas. Esta
responsabilidade é compartilhada entre os funcionários de uma empresa.
Almeida (2006) define que o Control Self Assessment pode ser gerado nos seguintes
formatos:
41
Reuniões facilitadoras com a equipe (workshop).
Questionários ou pesquisas feitas com a equipe.
Produção por intermédio de entrevistas com a gerência.
De acordo com Nogueira et al. (2004, p. 5), as reuniões para identificação das
fragilidades operacionais devem ocorrer com a participação do gestor do processo e seus
principais colaboradores, tendo como facilitador um especialista no assunto. Ao final das
análises, serão elaboradas cartas de avaliação do assunto discutido, em que o gestor irá definir
se o risco é aceitável ou não e, a partir disso, criar planos de ação para mitigar aqueles
considerados de maior relevância.
Para Cocurullo (2004), o CSA possui os seguintes objetivos:
Criar soluções alternativas para os controles considerados caros ou ineficientes.
Definir quais são as áreas de maiores riscos para a empresa.
Ter uma avaliação clara dos atuais controles existentes.
Demonstrar a responsabilidade da administração da empresa pelo
desenvolvimento e pela monitoração dos controles internos.
Comunicar os resultados para a compreensão dos riscos existentes.
Lage (2013) esclarece que o CSA tem por objetivo implantar a autoavaliação dos
riscos operacionais, gerando boas práticas de Gestão de Riscos e Controles e oferecendo suporte
às áreas, com metodologias e ferramentas para o aprimoramento da gestão dos processos.
Para o IIA (1998), a utilização da metodologia CSA para avaliação dos processos
operacionais deve considerar:
Escopo do processo – deverá ser analisada a proporção em que o CSA será
aplicado, quais funções e objetivos serão considerados, qual o nível de detalhe
(grupo de trabalho, divisão, administração).
Impacto na cultura organizacional – deverá ser selecionada a abordagem de
implementação do CSA de acordo com a cultura da organização.
Uso dos resultados do CSA – deverá ser determinado o que fazer com os
resultados obtidos pelo CSA, para que a implementação da metodologia junto
à organização possa evoluir.
42
Melhorias no processo – deverão ser determinadas quais ferramentas e
formalizações serão utilizadas para comunicar o resultado do CSA.
Envolvimento da Auditoria Interna – deverá ser decidido qual o papel da
Auditoria Interna na implementação do CSA.
Conforme Engle e Joseph (2001), as vantagens de se utilizar a metodologia CSA
são:
É superior às técnicas de avaliação de controles internos, como os controles de
efetividade de comunicação, ética e integridade da gestão, entre outros.
Pode fortalecer o ambiente de controle interno, fazendo com que os
participantes do projeto e a gestão entendam que a responsabilidade pelos
controles internos é de todos.
Resulta em evidências mais confiáveis que as disponíveis a partir dos métodos
tradicionais de avaliação de controle.
Segundo Cocurullo (2004, p. 169), o CSA não tem por objetivo substituir a
Auditoria Interna, mas permite aos auditores identificar de maneira mais rápida os controles
flexíveis que permeiam a organização. Em continuidade, o autor menciona que “[...] a grande
diferença entre os métodos de auditoria usuais e o CSA é que o segundo se baseia diretamente
no conhecimento daqueles que vivem o processo no dia a dia”.
Portanto, o resultado da metodologia CSA deve ser peça importante a ser utilizada
pela organização, pelos gestores e pela auditoria interna no julgamento da qualidade dos
controles operacionais. Adicionalmente, o relatório gerado pela conclusão do projeto de CSA
deve ser uma base sólida para a avaliação do ambiente operacional, além de aumentar a
consciência de controle e gerenciamento de riscos dos funcionários da empresa.
2.2. PESQUISAS ACADÊMICAS SOBRE O TEMA PROPOSTO
Ao iniciar o projeto, foi realizada uma pesquisa em âmbito nacional e internacional,
utilizando o portal CAPES como referência para esta análise. A pesquisa compreende o período
entre 2010 e 2016 e as expressões “Gerenciamento de Riscos Operacionais, Editor de Revistas,
Empresas não Financeiras”, além das respectivas traduções em inglês Operational Risk
Management, Publisher e Non Financial Entreprises. O estudo foi realizado em quatro
43
diferentes etapas, conforme demonstra a Tabela 2, e a relação com a dissertação do autor desta
pesquisa foi analisada pelo título dos trabalhos e, posteriormente, pela leitura do resumo.
Tabela 2 – Pesquisas Realizadas no Portal CAPES
PALAVRAS UTILIZADAS NA
PESQUISA PERÍODO DE ANÁLISE
TOTAL DE
ARTIGOS
VERIFICADOS
Gerenciamento de Riscos Operacionais,
Empresas não financeiras De 2010 a 2016 72
Gerenciamento de Riscos Operacionais,
Editor de Revistas De 2010 a 2016 1
Operational Risk Management,
Non Financial Enterprises De 2010 a 2016 15
Operational Risk Management,
Publisher De 2010 a 2016 71
Fonte: dados da pesquisa.
Como conclusão das análises, não foram identificados trabalhos relacionados
diretamente ao tema, ou seja, implementação do gerenciamento de riscos operacionais em áreas
internas de uma editora de revistas.
Verificou-se também que os estudos realizados em empresas não financeiras não
têm destaque no cenário acadêmico. Na análise realizada, de um total de 159 artigos verificados,
foi identificado que em 17 casos (11% do total) houve o estudo relacionado a gestão de riscos
operacionais em empresas não financeiras. Desse total, em 35% dos casos o estudo foi realizado
em empresas relacionadas à área da saúde, em 29% dos casos o estudo foi relacionado a
empresas do setor de distribuição, em 18% dos casos o estudo foi referente a micro e pequenas
empresas e em outros 18% os estudos foram relacionados a outros segmentos.
Analisando-se os 17 artigos, pôde-se observar que os autores afirmam que o assunto
de gerenciamento de riscos operacionais nas empresas do setor não financeiro deveria ser mais
aprofundado. Segundo Thlon (2011), devido ao volume de regulamentações a que as empresas
estão sujeitas atualmente, uma abordagem passiva para controle de riscos operacionais é
insuficiente.
Para os autores Dardac e Chiriac (2010), um dos mais importantes riscos a ser
debatido é o Risco Operacional, que se tornou uma fonte relevante de perda não só para as
instituições financeiras, mas especialmente para as instituições não financeiras.
Adicionalmente, Kouakou (2016) menciona que a gestão de riscos não é uma nova
metodologia, mas vários eventos relacionados aos processos das empresas que destacam a
44
necessidade de se controlar os riscos operacionais, mesmo porque a exposição aos riscos dos
negócios é cada vez mais forte.
Diante dessas referências, é identificada a necessidade de maior atenção sobre
estudos de gerenciamento de riscos operacionais, fato este que reforça a tese mencionada no
tópico “1.1 Justificativas e Contribuições” quanto à importância do resultado das análises aqui
propostas, tanto para a teoria quanto para a Editora Nacional.
45
3. METODOLOGIA
3.1. TIPO DE PESQUISA
Para realizar o desenvolvimento da gestão de risco operacional na área de
Recebimento Integrado, foi utilizada a abordagem da pesquisa-ação no ambiente da Editora
Nacional.
Para Vergara (2015), a pesquisa-ação é o tipo de pesquisa que tem por objetivo
resolver problemas por meio de ações definidas pelo pesquisador e pelos envolvidos na situação
investigada.
Martins (2008) defende que a pesquisa-ação consiste em juntar a pesquisa com a
ação em um único processo, no qual os participantes da pesquisa trabalham em conjunto com
o pesquisador para juntos identificarem os problemas e as soluções.
Para Michel (2009, p. 43), “o pesquisador se envolve tanto na análise crítica do
problema, quanto na implantação das soluções, ele é autor da análise e parte do problema”.
Toledo e Jacobi (2013) fundamentam que a pesquisa-ação é fundamentada na
participação ativa dos sujeitos da pesquisa em um processo de pensamento coletivo e na análise
do que está acontecendo no dia a dia, direcionando para a solução dos problemas encontrados
e contribuindo para a produção de conhecimento.
Segundo Vergara (2015), as principais características desse tipo de pesquisa estão
relacionadas com os seguintes tópicos:
Atuação dos envolvidos durante toda a pesquisa.
Permite a discussão e a disseminação das informações.
A teoria é analisada durante o processo da pesquisa.
É recomendada na utilização de pesquisas em grupo.
Não é recomendada sua utilização em empresas que tenham alta rotatividade
de funcionários.
De acordo com Oyadomari et al. (2012, p. 64), “a Pesquisa Intervencionista,
portanto, pode ser entendida como uma das variações da Pesquisa-Ação e tem sido bastante
recomendada como uma técnica que pode produzir resultados relevantes”.
46
3.1.1. Pesquisa Intervencionista
O emprego da pesquisa intervencionista tem por objetivo identificar conhecimentos
na prática para solucionar situações do dia a dia, tendo como ponto principal resolver problemas
de prática operacional, além de analisar a evolução do conhecimento teórico.
A pesquisa intervencionista tem o seu início na década de 1940 associado a Kurt
Lewin (OYADOMARI et al., 2012), que propõe a interferência na realidade para propor
alterações no processo operacional. Não tem por objetivo apenas justificar o que está
acontecendo, mas sim resolver os problemas com a participação dos envolvidos.
Segundo Suomala, Yrjänäinen e Lukka (2014), a abordagem intervencionista tem
uma visão de diálogo e de negociações por meio do conhecimento e da ação, em que a
intervenção é a principal função do pesquisador.
Para Van de Ven e Johnson (2006), os pesquisadores da modalidade
intervencionista interpretam os problemas e usam seus conhecimentos, servindo a seus
propósitos, adaptando as situações e refletindo suas relações com a comunidade prática.
A pesquisa intervencionista tem sido sugerida, de acordo com Suomala e
Yrjänäinen (2010), como um caminho possível para produzir resultados práticos relevantes em
pesquisas relacionadas à contabilidade gerencial.
De acordo com Reason e Bradbury, a pesquisa intervencionista:
[...] é um processo participativo com o desenvolvimento do conhecimento prático na
busca do propósito humano que vale a pena. Procura trazer junto ação e reflexão,
teoria e prática, na participação com outros, na busca de soluções práticas para
apontamentos que preocupam as pessoas, e mais geralmente a prosperidade da
individualidade pessoal nas suas comunidades. (REASON; BRADBURY, 2008, p.
4).
O aspecto que diferencia a pesquisa intervencionista das demais pesquisas é que “o
fenômeno está acontecendo no presente momento, ou seja, ao vivo, com a construção de teoria
na ação” (OYADOMARI et al., 2012, p. 66).
Suomala e Yrjänäinen (2010) mencionam as seguintes conclusões relacionadas à
pesquisa intervencionista:
Deve ser utilizada para a construção de um ambiente de pesquisa, não para
construir a questão de pesquisa.
Tem potencial para suportar o pesquisador na criação de resultado de impacto
fora do mundo acadêmico.
É um meio de criar relações sustentáveis entre a teoria e a prática.
47
Deve ser utilizada para ter acesso e aceitação nas diversas organizações.
Pode ser uma das raras formas de se estudar questões que ainda não foram
extensivamente adotadas por organizações da vida real.
Deve ser considerada uma peça específica na metodologia, que deverá se
adequar às capacidades do pesquisador ao longo do ciclo de vida da pesquisa.
Pode ser empregada como um mecanismo para gerar mais conhecimento sobre
os processos organizacionais e, quando aplicada com suficiente rigor, deve ser
utilizada para evitar os problemas relacionados a comportamentos indesejados.
Deve ser utilizada para validar os resultados durante o processo de pesquisa.
Conforme verificado na Figura 7, a Pesquisa Intervencionista pode ser classificada
em três fases, conforme Ricca (2014), sendo a primeira relacionada à negociação, onde são
mesclados a ação e o conhecimento. A segunda fase trata da relação e da interação entre o
pesquisador e os participantes da pesquisa. A última fase está relacionada ao resultado da
pesquisa.
Figura 7 – Representação do Processo da Pesquisa Intervencionista
Fonte: Adaptado de Ricca (2014).
48
3.2. INSTITUIÇÃO ANALISADA
A empresa utilizada como estudo de caso neste trabalho representa um dos maiores
e mais influentes grupos de comunicação e distribuição da América Latina. Foi fundada como
uma pequena editora no ano de 1950, atuando na difusão de informação, educação e cultura, e
contribuindo para o desenvolvimento do País. Está presente nas áreas de Mídia, Gráfica,
Distribuição e Logística.
Possui, atualmente, 40 títulos e 4,3 milhões de assinantes, e 6 das 10 maiores
revistas do país pertencem ao seu portfólio, sendo líder em 15 dos 17 segmentos em que atua.
Por semana, sua principal revista vende mais de 1 milhão de exemplares, atraindo 8 milhões de
leitores.
Para apoiar o processo de Mídia, a empresa possui o maior parque gráfico da
América Latina com 52.500 m², produzindo 1,4 milhão de exemplares todos os dias. Além
disso, a área de Distribuição e Logística alcança 2.300 municípios, atendendo mais de 80
clientes em todo o País.
Os estudos foram autorizados pela empresa, desde que o nome da organização não
fosse revelado.
3.2.1. Situação Identificada
O Brasil vem passando por uma grave crise econômica, com a taxa de inflação fora
da meta estabelecida pelo governo, de 4,5% ao ano, desde o ano de 2010. A taxa atingiu o pico
no ano de 2015, quando chegou a 10,67% (IPEA, 2016). Essa crise afetou boa parte das
empresas, onde o nível de desemprego divulgado pelo Instituto Brasileiro de Geografia e
Estatística (IBGE), para o trimestre de julho/agosto/setembro de 2016, atingiu o patamar de
11,8%, sendo esta a maior taxa já registrada pela série histórica da Pnad Contínua, que teve
início em janeiro de 2012 (CURY; CAOLI, 2016).
O cenário de crise afetou a instituição que será analisada neste estudo: de acordo
com o Relatório de Desempenho e Sustentabilidade do ano de 2015, houve uma redução de
19% nas receitas líquidas da empresa no período de 2013 a 2015. Diversas medidas foram
tomadas pela empresa para diminuir este impacto financeiro, entre elas a venda de empresas do
grupo, venda de títulos de revistas para outra editora, reestruturação interna, entre outros.
Como consequência disso, houve uma diminuição no número de funcionários do
Grupo, e no período entre 2013 a 2015 a redução totalizou 33%, fazendo com que um menor
49
número de pessoas fosse responsável pelos controles e processos operacionais. Segundo
Yoshida e Reis (2005, p. 711), entre os princípios fundamentais dos controles internos há a
necessidade de se ter uma equipe adequada, sendo adequação de equipe “a qualificação
profissional e quantidade de empregados [que] devem ser adequadas para atender as reais
necessidades de cada área”.
A situação relatada coloca em risco as operações da empresa, pois há a possibilidade
crescente de materialização das falhas nos processos operacionais e de consequentes prejuízos
para o negócio. Para tanto, o gerenciamento de riscos é peça fundamental na solução desta
deficiência, visto ter por função “[...] evitar danos à reputação da organização e suas
consequências” (COSO, 2007, p. 3).
A situação diagnosticada não está limitada a uma área específica da empresa, mas
a todo o negócio. Neste cenário, o pesquisador responsável por este estudo propõe implementar
a gestão de riscos operacionais nas diversas áreas da empresa e elaborar um framework para
padronizar esse processo. Porém, devido ao prazo limitado para a construção e defesa da tese
de mestrado, o pesquisador entendeu ser melhor realizar o levantamento em apenas uma área
da empresa e, posteriormente, continuar o processo de implantação nas demais áreas.
A intenção é demonstrar para os executivos da Editora Nacional, por meio da
implantação do projeto em uma pequena parte da empresa, que ele pode ser relevante para todo
o negócio. O resultado apurado servirá como aprendizado e alicerce para a realização de ajustes
nas futuras implementações.
Com isso, foi realizada uma análise pelo responsável por esta pesquisa e foi
identificado que a área de Recebimento Integrado (RI) se enquadrava nesta situação, pois se
trata de uma área pequena, mas com alta relevância para o negócio. O detalhamento desta
análise é verificado no tópico “3.2.2 – Situação Atual da Área de RI”.
Ao ser identificada a possibilidade de enquadramento nessa área, o autor da
pesquisa levou ao conhecimento da Diretoria da Editora Nacional os fatos que qualificavam a
importância da implantação da gestão de risco operacional na área de RI, demonstrando as
justificativas e as expectativas do projeto. Segundo Cocurullo (2004), a ausência de apoio da
Alta Administração da empresa faz com que o projeto seja sentenciado ao fracasso antes de ser
lançado.
Após ser apresentada a importância do estudo e a necessidade deste projeto, os
executivos aprovaram a solicitação e ofereceram todo o apoio necessário, deixando sob a
responsabilidade do autor a realização da pesquisa e a respectiva implementação.
50
3.2.2. Situação Atual da Área de RI
A área de RI possui 18 funcionários e está subordinada à Diretoria Financeira da
Editora Nacional, tendo entre as suas principais funções:
Recebimento e entrada de dados de notas fiscais no sistema ERP.
Validação dos dados fiscais constantes nos documentos recebidos.
Cadastro de fornecedores no sistema ERP, para que os pagamentos possam ser
efetuados.
Gerenciamento e arquivamento dos documentos fiscais pelos prazos legais.
Trata-se de uma área operacional com contingente composto por uma equipe em
sua maioria de menor graduação, conforme descrito na Tabela 3:
Tabela 3 – Cargos que Compõem a Área de RI
Cargo Quantidade
Gerente de área 1
Supervisor de área 1
Analista Sênior 1
Analista Pleno 2
Analista Júnior 8
Assistente Administrativo 4
Auxiliar 1
Fonte: Elaborado pelo autor.
A área é responsável por toda a entrada de informação quanto a pagamento de
fornecedores e identificação de impostos federais, estaduais e municipais. Apesar da sua
relevância operacional para o negócio, os funcionários não têm visão de sua importância. Para
eles, a percepção é de que trabalham em um setor de cadastro de notas fiscais, com pouca
relevância para a empresa.
Outro ponto a ser destacado é que os processos são realizados com uma grande
dependência de sistemas, sendo prejudicial qualquer parada operacional ou falha nas estruturas
lógicas. Apesar disso, a maioria dos funcionários da área não tem a real noção do que permitem
realizar suas habilitações de acessos ao sistema.
O tempo médio que os funcionários de RI trabalham na área é de aproximadamente
5 anos e meio, porém, não há garantias de que o histórico das realizações está conservado, pois
os funcionários não têm total domínio das responsabilidades gerenciadas pela área. Os
51
funcionários têm responsabilidades específicas e servem de “reserva” (backup) para exercerem
eventualmente outra função, no caso de ausência motivada por licença ou férias.
Como em outras áreas da Editora Nacional, a área de RI também sofreu os reflexos
da reestruturação interna. No mês de junho/2016, a gestão da área foi transferida para a Gerência
de Serviços Financeiros; o gestor anterior assumiu outras funções e, posteriormente, foi
desligado da empresa no mês de novembro/2016. No mês de junho/2016, o Supervisor da área
foi desligado da empresa, assumindo esta posição o supervisor da área de Serviços Financeiros.
Como consequência, a funcionária mais graduada remanescente é a que ocupa o cargo de
analista sênior, que trabalha há 8 anos na empresa e há um ano e meio como funcionária da área
de Recebimento Integrado. Essa situação refletiu na perda do histórico da área, além de o atual
gestor não ter uma vivência próxima dos processos operacionais realizados e não possuir um
conhecimento mais profundo dos problemas vivenciados pela área.
Esta situação é um dos fatores que podem colocar em risco a operação, pois pode
resultar em erros operacionais e gerar consequências para o processo operacional da empresa.
Mas é justamente isso que qualifica a área de RI para a implementação do gerenciamento de
riscos operacionais, pois possibilita a identificação de possíveis falhas operacionais e o
alinhamento da visão de importância da área para o negócio, além de os novos gestores da área
terem um maior detalhamento das fragilidades e oportunidades de melhorias.
3.3. PROCEDIMENTOS DE COLETA DE DADOS
Com o objetivo de obter os dados a serem analisados por meio de diferentes fontes
para evidenciar o resultado, foram utilizadas três diferentes técnicas para coleta dos dados dessa
pesquisa. Segundo Yin (2015), não é recomendada a utilização de fontes individuais de
evidências. Caso o pesquisador não se atenha a este ponto, pode colocar em risco o resultado
final dos achados. Em complemento, Yin (2015) menciona que o uso de várias fontes de
evidências permite ao pesquisador abordar um maior número de informações e desenvolver
linhas convergentes de investigação, formando um processo de triangulação e tornando as
conclusões da pesquisa mais convincentes e confiáveis.
A primeira técnica utilizada foi o desenho dos fluxos operacionais da área de RI.
Segundo Cocurullo (2004), há necessidade de um completo conhecimento do processo para a
identificação dos riscos atrelados e de se verificar quais as ações necessárias para a sua
mitigação.
52
A segunda técnica colocada em prática foi a participação do pesquisador nos
workshops como facilitador, observando os participantes e desenvolvendo conhecimento como
suporte para a continuidade do projeto de pesquisa. Conforme Yin (2015, p. 119), as
observações “adicionam novas dimensões ao entendimento do contexto ou do fenômeno sendo
estudado”. Os dados verificados nos workshops foram registrados em arquivos específicos e
formalizados.
A terceira técnica empregada foi a entrevista estruturada em reuniões individuais
com os participantes do workshop. Conforme Marconi e Lakatos (2011, p.180), este tipo de
entrevista permite que o pesquisador siga um roteiro estabelecido de acordo com um
questionário formulado previamente. Além disso, as autoras concluem que as razões de se
utilizar uma forma padronizada é obter dos entrevistados respostas que permitam ser
comparadas.
3.3.1. Utilização de Questionário
Conforme verificado na teoria do CSA em Almeida (2006), o questionário é uma
das ferramentas para a implementação da metodologia, auxiliando na identificação dos riscos
operacionais e do ambiente de controles internos da empresa.
A utilização de questionários em pesquisas é uma forma significativa de coleta de
dados, auxiliando o pesquisador na obtenção de informações para dar suporte ao objeto
estudado. Segundo Michel (2009, p. 71), “o questionário é um formulário, previamente
construído, constituído por uma série ordenada de perguntas em campos fechados e abertos
[...]”.
Para Vieira (2009, p. 15) o “questionário é um instrumento de pesquisa constituído
por uma série de questões sobre determinado tema”. A utilização de questionários pode trazer
informações valiosas para o pesquisador, visto que as informações fornecidas serão tratadas e
adequadas ao que se deseja obter junto aos respondentes.
Segundo Marconi e Lakatos (2010), as vantagens de se utilizar o questionário como
técnica de coleta de dados podem ser:
Economia de tempo e obtenção de grande quantidade de dados.
Alcance de um número significativo de pessoas.
Abrangência de uma maior área geográfica.
Obtenção de respostas rápidas e de acordo com a necessidade do pesquisador.
53
Diminuição dos riscos de distorções na resposta.
Possibilidade de uniformização na avaliação das respostas.
Vieira (2009, p. 23) destaca dois pontos importantes na utilização do questionário,
que devem ser observados antes de esta técnica ser empregada – os objetivos do trabalho e o
tipo de respondentes. A falta de objetividade na utilização do questionário poderá fazer com
que o pesquisador realize perguntas sem necessidade, gerando perda de tempo tanto para o
respondente quanto para o pesquisador, na análise das respostas.
Com isso, o autor dessa pesquisa definiu como objetivos para a aplicação do
questionário: identificar se a Planilha de Levantamento de Riscos da área de RI foi preenchida
corretamente; e se os respondentes desejavam relatar outros riscos. Os respondentes
correspondem aos funcionários de RI participantes do projeto de implementação do
gerenciamento de riscos operacionais na área de Recebimento Integrado.
3.3.1.1. Preparação do Questionário
Definidos o objetivo e os respondentes, o autor da pesquisa elaborou as questões,
atentando para o número adequado de perguntas. Em razão de o questionário ter sido aplicado
em uma entrevista estruturada, foi possível a utilização de perguntas abertas e fechadas.
Segundo Marconi e Lakatos (2010), perguntas abertas são aquelas em que o respondente utiliza
linguagem própria e emite opiniões. Isso possibilita ao pesquisador realizar investigações mais
profundas e direcionadas. Já as perguntas fechadas são aquelas em que a resposta deve ser
escolhida entre duas opções. Este tipo de questão facilita a tabulação e permite ao pesquisador
a obtenção de respostas mais objetivas.
A estrutura das perguntas foi direcionada tendo em vista o objetivo estabelecido;
foram utilizadas seis questões, atentando-se para sua correta construção. Segundo Vieira
(2009), deve-se observar as seguintes situações na construção de questionários:
Perguntar uma coisa de cada vez – para não confundir o respondente e não
dificultar o resultado das respostas obtidas.
Fazer perguntas que as pessoas saibam responder – dar preferência a não fazer
perguntas que exijam conhecimentos técnicos dos respondentes.
Oferecer respostas alternativas condizentes com o que foi perguntado.
54
Evitar frases negativas – em perguntas com esse tipo de construção, o
respondente poderá ficar na dúvida, o que pode gerar erros de interpretação em
relação ao que está sendo perguntado.
Evitar expressões sem significado exato, como “a maioria”, “frequentemente”,
“em geral”, pois elas podem ter uma interpretação diferente para cada
respondente.
Evitar palavras com significado duplo, perguntas indefinidas – isso pode gerar
erros de interpretação e incorreções nas respostas dadas.
Diante desse contexto, o pesquisador elaborou um questionário que pode ser
verificado no Anexo 1. As perguntas direcionadas aos funcionários da área de RI objetivaram
levantar as seguintes informações:
a) Nome Completo: identificação do funcionário que respondeu ao questionário. A
identificação foi importante para saber quais funcionários iriam auxiliar na
implantação de indicadores de risco ou de alteração do controle. No início do projeto,
foi informado a todos os funcionários que alterações propostas e aceitas pela gestão
da área seriam implementadas com a participação dos próprios autores das ideias.
b) Local de Trabalho: objetivou-se verificar se os procedimentos utilizados em um
local afetam os demais. Com isso, foram identificados pontos em comum entre os
locais e outros que afetam apenas um ou dois locais.
c) Tempo de Trabalho no RI: apurar o tempo médio em que cada funcionário trabalha
na área de RI; como resultado, foi possível verificar se, mesmo com a saída do
gerente e do supervisor, o histórico da área havia sido preservado.
Questão 1. Com base na lista de processos apresentada, qual delas os riscos
informados estão enquadrados?
Validação e digitação de notas fiscais.
Controle de notas fiscais referente a produtos da empresa em poder de
terceiros e produtos de terceiros em poder da empresa.
Cadastro de fornecedores.
Armazenamento de documentos fiscais.
55
Objetivo da questão: Promover a divisão dos riscos apontados de acordo com os
processos existentes na área, para direcionar a implantação dos controles ou
indicadores.
Questão 2. Existem leis ou regulamentações aplicáveis aos processos que você é
responsável?
Objetivo da questão: Verificar a existência de possíveis riscos externos que
poderiam não ser levados em conta no momento de implantação de novos controles
ou indicadores de desempenho.
Questão 3. De acordo com os dados informados na “Planilha de Levantamento de
Riscos da área de RI”, quais as bases que levaram à classificação dos riscos
apontados?
Objetivo da questão: Identificar a melhor localização do risco no gráfico
probabilidade × impacto, demonstrando ao funcionário de RI a importância
considerada nos apontamentos efetuados.
Questão 4. Analisando os fluxos operacionais dos processos sob a sua
responsabilidade, existem outros riscos que não foram apontados anteriormente?
Objetivo da questão: Verificar se todos os riscos conhecidos pelo funcionário foram
considerados no levantamento efetuado, considerando-se as análises realizadas e os
fluxos apresentados.
Questão 5. Existe outro processo sob sua responsabilidade que não foi apresentado
até o momento?
Objetivo da questão: Verificar se todos os procedimentos realizados pelos
funcionários foram considerados no levantamento efetuado, considerando-se as
análises realizadas e os fluxos desenhados.
Questão 6. No seu entendimento, qual risco há necessidade de um indicador para
acompanhamento? Por quê?
Objetivo da questão: Questionar a hipótese de inclusão ou de alteração de um
controle interno, além de explicar os motivos para as alterações mencionadas, após
discussão e análise dos processos sob a responsabilidade do entrevistado. Essas
explicações serviram de base para justificar as alterações propostas para os gestores
da área de RI.
56
4. ETAPAS DO PROJETO
Conforme mencionado, a pesquisa intervencionista tem por finalidade solucionar
problemas aliando teoria e prática. Labro e Tuomela (2003 apud Silva, 2014) “desenvolveram
um framework a partir de um modelo elaborado por Lukka (2000) para analisar dois estudos de
casos em pesquisas construtivas que solucionaram problemas práticos. Este modelo é dividido
em [...] fase de campo e fase teórica”.
A fase de campo divide-se em: localização do problema, possibilidade de
cooperação em longo prazo e conhecimento do tema. A parte teórica divide-se em: construto,
criar e testar este construto, verificar a aplicabilidade e as contribuições teóricas.
Baseando-se neste modelo, o responsável por esta pesquisa construiu as etapas do
projeto, conforme consta na Figura 8:
Figura 8: Etapas do Projeto de Pesquisa
Fonte: Adaptado de Silva (2014).
57
4.1. CRIAÇÃO E COMPARTILHAMENTO DO CONHECIMENTO
4.1.1. Desenho dos Fluxos Operacionais
Ao solicitar para os gestores de RI os fluxos operacionais da área, estes nos
informaram sobre a inexistência de um material formalizado e completo com os processos
operacionais realizados.
Segundo Nogueira et al. (2004) e Cocurullo (2004), há a necessidade de uma análise
completa da área pelos envolvidos, com o objetivo de identificar os riscos e avaliar quais as
medidas necessárias para a sua mitigação.
Por não estar em posse dessas informações e objetivando minimizar falhas no
projeto, o autor desta pesquisa decidiu realizar o levantamento e o desenho completo dos fluxos
operacionais, em conjunto com os funcionários da área.
Inicialmente, em conversa com os atuais gestores e com a analista sênior, foram
relacionados os processos realizados pela área. Posteriormente, foi marcada uma conversa com
cada funcionário para descrever passo a passo os procedimentos realizados, desde o
recebimento de um documento fiscal até a liberação para a área responsável por realizar o
pagamento de fornecedores.
Para garantir que todas as informações estavam contidas nos fluxos operacionais,
utilizou-se a ferramenta de auditoria denominada walkthrough. Segundo Araújo (2004, p. 74),
tal ferramenta destina-se a “acompanhar as etapas cumpridas pelas transações selecionadas por
amostragem durante o processo”.
Após os levantamentos serem concluídos, foram identificados os seguintes
procedimentos realizados pela área:
Validação e digitação de notas fiscais.
Reversão de documentos fiscais.
Controle de produtos da empresa em poder de terceiros e produtos de terceiros
em poder da empresa.
Cadastro de fornecedores.
Armazenamento de documentos fiscais.
58
Ao término da confecção dos fluxos operacionais e da validação destes, todos os
dados foram disponibilizados aos gestores e funcionários da área para conhecimento e
detalhamento dos processos realizados.
4.1.2. Workshop de Gerenciamento de Riscos Operacionais
4.1.2.1. Planejamento do Workshop
Para este trabalho, o autor optou por utilizar a metodologia de Control Self
Assessment – CSA, utilizando o conhecimento de todos os funcionários da área de RI para a
listagem do maior número de riscos possíveis.
Segundo Cocurullo (2004), os funcionários da área em análise são aqueles que
detêm o conhecimento do dia a dia, não havendo a necessidade de acúmulo de evidências,
revisões e execuções de numerosos tipos de análises para a obtenção dos riscos envolvidos.
Entre os tipos de implementação do CSA, o autor desta pesquisa optou pela
aplicação de questionário e realização de workshops com a equipe. O workshop teve por
objetivo propiciar um contato direto e um melhor relacionamento entre os envolvidos, além de
identificar possíveis riscos desconhecidos pela gerência.
A opção por requisitar a participação de todos os funcionários da área está amparada
nas mudanças recentes ocorridas na gestão desse processo. Como o gerente e o supervisor
possuem menos de 6 meses de vivência na área, além de a experiência da analista sênior ser de
apenas um ano e meio, optou-se por identificar o conhecimento de todos em Recebimento
Integrado.
O processo teve início em uma reunião com o gerente e o supervisor responsáveis
pela área de Recebimento Integrado, em que o autor desta pesquisa explicou a necessidade da
participação de todos os funcionários neste projeto, pois, conforme Cocurullo (2004, p. 171), o
projeto deve ser divulgado para os gestores e pessoal envolvido antes de ser iniciado. Além
disso, diante da possibilidade de os atuais responsáveis pela área de RI não terem o
conhecimento total dos processos realizados, optou-se por trabalhar com os 18 funcionários que
compunham o quadro de colaboradores da área.
A metodologia CSA não menciona o grupo ideal de funcionários para participar do
projeto de implementação, porém, alguns autores mencionam que há a necessidade da
participação do gestor do processo e de seus principais colaboradores (ENGLE; JOSEPH, 2001;
NOGUEIRA et al., 2004; TRISCIUZZI, 2009; MACHADO JR., 2009; LAGE, 2013), e em
59
grupos de trabalhos (IIA, 1998). Por serem relevantes para a teoria, serão analisados os
resultados do projeto com a participação de todos os funcionários da área de Recebimento
Integrado.
Na reunião com o Gestor e o Supervisor da área de RI, foi informado que os
funcionários pertencentes ao quadro eram, em sua maioria, profissionais jovens e que tiveram
pouco ou nenhum contato com o conceito de Riscos ou Gerenciamento de Riscos.
É oportuno salientar que a área de RI possui funcionários em três diferentes
estabelecimentos, sendo divididos conforme demonstrado na Tabela 4:
Tabela 4 – Divisão dos Funcionários de RI por Localidade de Trabalho
Localidade Quantidade Funcionário mais
graduado
Centro Administrativo 9 Gerente de Área
Área de Produção 1 6 Analista Pleno
Área de Produção 2 3 Analista Pleno
Fonte: Elaborado pelo autor.
Após a coleta inicial de informações para a realização do primeiro treinamento, o
autor deste estudo nomeou um segundo facilitador, a Supervisora da área de Gerenciamento de
Riscos da Editora Nacional. Essa nomeação foi necessária pois, segundo Yin (2015, p. 119),
“um procedimento comum para aumentar a confiabilidade da evidência observacional é ter mais
de um único observador realizando a observação – da variedade formal ou informal”. Para os
autores Engle e Joseph (2001) e Almeida (2006), os facilitadores devem trabalhar em dupla –
um com a função de liderar o treinamento e outro com a responsabilidade de efetuar os registros.
Conforme IIA (1998) e Almeida (2006), existem quatro formatos de workshops a
serem utilizados no projeto de CSA:
Com base no Controle – verifica o correto funcionamento dos controles,
tendo por base entrevistas e exames documentais.
Com base no Processo – examina um processo de ponta a ponta, com o
objetivo de avaliar, atualizar e validar suas operações.
Com base no Objetivo – verifica se as melhores técnicas de controle foram
selecionadas, e se essas técnicas estão funcionando corretamente em níveis
aceitáveis para gerenciar os riscos da empresa.
60
Com base no Risco – identifica e gerencia riscos, partindo da análise das
atividades e da identificação dos riscos-chave do negócio e, posteriormente,
analisa e implementa as ações corretivas necessárias.
Para facilitar a identificação dos riscos existentes na área de RI, o autor desta
pesquisa realizou o workshop com base no Risco.
Para o sucesso do CSA, há a necessidade de que todos os envolvidos tenham
conhecimento da teoria relacionada a Riscos e Controles Internos, além de compreenderem o
seu papel e responsabilidade neste processo (ENGLE; JOSEPH, 2001; NOGUEIRA et al.,
2004; COCURULLO, 2004; TRISCIUZZI, 2009; MACHADO JR., 2009).
O treinamento teve por base as boas práticas e os conceitos estabelecidos na
metodologia COSO (2007), e foi dividido em três tópicos diferentes:
Risco – conceito, identificação, controle interno, matriz de prioridade e
exemplos práticos.
Tratamento do Risco – conceito, formas de tratamento e exemplos práticos.
Gestão de Risco – conceito, importância, funcionamento da gestão de riscos na
Editora Nacional e exemplos práticos.
Como os funcionários da área de RI já haviam sido previamente informados sobre
a realização deste treinamento pelo seu gestor, o autor desta pesquisa enviou e-mail aos
participantes, informando data e local dos encontros. Neste momento, houve o cuidado de
separar a equipe em três turmas distintas, pois, em razão de esta ser uma área operacional e
dinâmica, a separação foi necessária para que sempre houvesse um funcionário a realizar o
atendimento nos três locais de atuação.
4.1.2.2. Realização do Workshop
O treinamento foi realizado no mês de setembro/2016 em três datas diferentes, com
duração de 3 horas cada. Porém, devido a problemas de agenda, o gerente da área não pôde
participar. No entanto, para sinalizar a importância do projeto, determinou que o supervisor da
área de RI e o analista sênior participassem de todos os encontros.
O treinamento foi realizado com os seguintes participantes, conforme descrito na
Tabela 5:
61
Tabela 5 – Funcionários de RI que Participaram do Workshop
Cargo 1º dia 2º dia 3º dia
Gerente de área - - -
Supervisor de área 1 1 1
Analista Sênior 1 1 1
Analista Pleno 1 - 1
Analista Júnior 2 5 1
Assistente Administrativo 2 1 1
Auxiliar 1 - -
Fonte: Elaborado pelo autor.
Ao iniciar o treinamento, o autor deste estudo explicou a importância do projeto e
os motivos de escolha da área de RI. Posteriormente, para identificar o real conhecimento dos
participantes, foi solicitado que definissem o conceito de Risco. As respostas obtidas foram:
funcionário 1: “É uma situação que acontece dentro da empresa e pode causar prejuízo”;
funcionário 4: “Pode acontecer tanto na nossa vida como dentro da empresa”; funcionário 9:
“Para mim, risco é uma coisa que não posso controlar, mas que sei que um dia vai acontecer”;
funcionário 16: “Risco é tudo aquilo que pode acontecer e fazer com que eu não entregue meu
trabalho no prazo combinado”.
Este cenário demonstrou que o nível de conhecimento de parte dos participantes era
superficial, o que foi corroborado ao término do treinamento pela avaliação formalizada na
resposta à questão: “Seus conhecimentos anteriores a este evento eram: Nenhum, Poucos, Bons
conhecimentos ou Dominava o assunto”. Como resposta, 53% dos participantes classificaram
seus conhecimentos como “Poucos” ou “Nenhum”.
O autor desta pesquisa, por conta dessa realidade, decidiu dar maior ênfase ao
conceito de Risco e à sua importância no ambiente corporativo. Foi apresentado aos
participantes o seguinte conceito de Risco:
O risco existe quando há probabilidade de ocorrência de resultados diferentes do
esperado, pode haver resultados melhores ou piores do que os planejados, embora a
tendência seja em focar as chances de resultados negativos. (COIMBRA, 2007).
A partir deste momento, o conhecimento dos participantes começou a ser
aprimorado. Para a fixação do conceito, foi realizado um exercício prático, sendo solicitado que
cada participante mencionasse dois riscos não atrelados ao processo operacional que realizam
em suas tarefas diárias.
Após a análise do exercício prático, foi apresentado o conceito de Controles
Internos, pois, conforme os autores Engle e Joseph (2001), Cocurullo (2004), Trisciuzzi (2009)
62
e Machado Jr. (2009), esta definição é uma das partes fundamentais na implementação do
projeto CSA. Para tanto, foi apresentado o seguinte conceito:
Compreende todos os meios planejados numa empresa para dirigir, restringir,
governar e conferir suas várias atividades com o propósito de fazer cumprir os seus
objetivos. A importância do controle interno fica patente a partir do momento em que
se torna impossível conceber uma empresa que não disponha de controles que possam
garantir a continuidade do fluxo de operações e informações proposto. (ATTIE,
2011).
Em seguida à demonstração dos conceitos de Risco e de Controles Internos, houve
uma explanação sobre a matriz Probabilidade × Impacto, com o objetivo de demonstrar a
existência de grau de importância para cada evento identificado. Segundo Ettinger (2011), essas
matrizes “[...] especificam as combinações de probabilidade e impacto que resultam em uma
classificação dos riscos como de prioridade baixa, moderada ou alta”. Para Coimbra (2007), a
descrição dos riscos classificada na matriz Probabilidade × Impacto direciona a tomada de
decisões das empresas em relação ao estabelecimento de controles para limitar o surgimento
dos riscos.
Posteriormente, foi realizado um novo exercício prático: solicitou-se aos
participantes a descrição de dois novos riscos operacionais; porém, agora eles foram informados
sobre os controles internos atrelados e qual a classificação desses riscos na matriz Probabilidade
× Impacto. Durante a discussão do assunto, a evolução de todos quanto ao alinhamento dos
conceitos ficou clara.
Para finalizar o treinamento, alinhou-se o conceito de Gestão de Riscos, partindo
dos conceitos de Riscos e Controles Internos e chegando à conclusão sobre a importância do
trabalho em conjunto para minimizar a materialização dos problemas. Como a atual pesquisa
está baseada nas melhores práticas definidas na metodologia COSO, foi utilizada a definição
do conceito apresentado por ela:
Um processo conduzido em uma organização pelo Conselho de Administração,
Diretoria e demais empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial, capazes de
afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco
da organização e possibilitar garantia razoável do cumprimento de seus objetivos
(COSO, 2007).
Após o alinhamento dos conceitos, foi reforçada a importância dos processos
operacionais realizados pela área de RI, pois, conforme Cocurullo (2004, p. 169), o CSA tem
por objetivo, entre outras situações, dar ênfase à responsabilidade de cada um no
desenvolvimento e monitoramento dos sistemas de controles internos.
63
Ao final do treinamento, foi apresentada a “Planilha de Levantamento de Riscos
da área de RI”, conforme a Figura 9, que contém a solicitação para o preenchimento das
seguintes informações:
Nome: nome do funcionário.
Local de Trabalho: local em que trabalha diariamente.
Processo: tipo de trabalho que está sendo realizado. Exemplo: homologação
de fornecedores, validação de notas fiscais, entre outros.
Evento que pode causar o risco: problema que pode estar acontecendo neste
momento. Exemplo: falta de conferência da nota fiscal no momento da inclusão
dos dados no ERP.
Controle atrelado a este evento: processo realizado para que o risco não
ocorra. Exemplo: o sistema ERP não permite que seja incluída uma nota fiscal
sem que a ordem de compras seja aprovada.
Classificação do evento: mencionar se o risco é de alta, média ou baixa
relevância, considerando a probabilidade de ele ocorrer e o seu impacto para a
empresa.
Figura 9: Planilha de Levantamento de Riscos da Área de RI
Fonte: Elaborado pelo autor.
A utilização da planilha foi necessária para se padronizar as respostas recebidas dos
participantes e facilitar a compreensão dos resultados obtidos. Segundo Marconi e Lakatos
(2010), a utilização de tabelas tem em seu propósito “[...] ajudar o investigador na distinção de
diferenças, semelhanças e relações, por meio da clareza e destaque que a distribuição lógica e
64
a apresentação gráfica oferecem às classificações”. Alinhadas a este pensamento, as
mencionadas autoras concluem que “quanto mais simples for a tabela ou o quadro,
concentrando-se sobre limitado número de ideias, melhor; ficam mais claras, mais objetivas”
(MARCONI; LAKATOS, 2010, p. 153).
Após a apresentação da planilha, foi solicitado aos participantes que, com os
conhecimentos prévios e os adquiridos no treinamento, todos deveriam preencher a “Planilha
de Levantamento de Riscos da área de RI”, informando os riscos enfrentados individualmente
nas suas operações diárias.
Ao término do treinamento, foi solicitado que todos os participantes preenchessem
a avaliação do workshop sem a identificação do autor, conforme verificado no Anexo 2. De
modo geral, a avaliação foi positiva, com comentários que enalteceram o trabalho realizado, o
que evidenciou a importância do seu resultado para a Editora Nacional.
No dia seguinte ao treinamento, foi enviado um e-mail agradecendo a participação
de todos e, em anexo, a “Planilha de Levantamento de Riscos da área de RI”, contendo
explicações do preenchimento, telefones e e-mails de contato para dirimir quaisquer dúvidas,
além de informar que a planilha deveria ser preenchida até o dia 23 de setembro de 2016.
4.1.3. Identificação dos Riscos Operacionais pelos Funcionários de RI
No dia 23 de setembro de 2016, todas as planilhas foram devolvidas contendo os
riscos apontados pelos funcionários da área de RI participantes do treinamento. Ao receber os
dados, e ainda sem fazer nenhuma análise sobre eles, foi verificada a quantidade de riscos
conforme apontado na Tabela 6:
Tabela 6 – Quantidade de Riscos Informados pelos Funcionários de RI
Classificação dos Riscos Total
Alto Médio Baixo Não Informado
14 27 41 1 83
Fonte: Elaborado pelo autor.
Após a separação dos riscos informados de acordo com a classificação – alto, médio
ou baixo –, foi agendada uma reunião individual com os funcionários de RI de 60 minutos entre
os dias 10 e 13 de outubro de 2016.
Os participantes tinham sido previamente informados sobre as entrevistas durante
o workshop, porém o pesquisador teve o cuidado de realizar o agendamento de modo que não
65
impactasse as operações diárias da área, tanto em relação ao horário de maior movimento de
entrada de documentações, quanto a conflitos de agenda referentes outras reuniões.
Para este procedimento, foi utilizada a técnica de entrevista estruturada, que,
segundo Marconi e Lakatos (2011, p. 180), ocorre quando o entrevistador segue um roteiro
estabelecido e tem por objetivo receber respostas dentro de uma padronização específica. Esta
entrevista teve por objetivo:
Tabular os riscos de acordo com categorias preestabelecidas.
Apurar a forma como foi realizada a classificação do risco.
Identificar a possibilidade da ocorrência de riscos que não foram apontados.
Apontar a necessidade de alteração em controles internos ou inclusão de
indicadores de controles.
4.1.4. Entrevista Estruturada com os Funcionários de RI
Conforme Marconi e Lakatos (2011), a entrevista estruturada tem por objetivo
identificar o processo como um todo e de forma padronizada. Ou seja, quaisquer diferenças
apuradas se devem à visão diferenciada dos entrevistados, e não à forma das perguntas.
De acordo com Vieira (2009), nas entrevistas estruturadas, o pesquisador deve se
ater apenas às perguntas dos questionários, fazendo o registro das respostas recebidas. A
vantagem desse processo é o fato de haver uma interação com o entrevistado, o que possibilita
dirimir quaisquer dúvidas que este possa apresentar.
Como o objetivo do projeto de gestão de riscos operacionais na área de RI foi
identificar os procedimentos que pudessem causar impactos na operação, a padronização foi a
opção identificada pelo pesquisador para que todos os participantes não desviassem o foco de
sua atenção.
Segundo Marconi e Lakatos (2011), o emprego de entrevistas apresenta vantagens
para o pesquisador, nos seguintes aspectos:
Pode ser utilizada com todos os segmentos da população, independentemente
de os entrevistados serem alfabetizados ou não.
Possibilita ao entrevistador tirar as dúvidas do entrevistado e ter a garantia de
que está sendo entendido.
É propícia para avaliar as atitudes e condutas do entrevistado.
66
Possibilita identificar dados que não seriam identificados em fontes
documentais.
Possibilita identificar discordâncias e solucionar dúvidas no momento da
entrevista.
Foram utilizados como base para a criação do questionário estruturado os
componentes sugeridos pela metodologia COSO, pois, segundo Moeller (2007), a avaliação de
riscos é o principal tópico abordado no modelo COSO ERM Framework. A avaliação e o
gerenciamento de riscos irão permitir às empresas considerarem eventos de riscos em potencial.
Esse processo deve considerar as perspectivas de probabilidade e impacto potencial.
Para a convocação das reuniões, foram verificadas as melhores datas e locais para
a realização destas e, posteriormente, foi enviado e-mail de convocação individual para todos
os funcionários da área de RI.
No início da reunião, foi fornecida uma cópia do questionário, conforme Anexo 1,
para cada entrevistado, explicando cada ponto que seria discutido. Segundo Michel (2009, p.
143), o contato inicial deve ser feito explicando a finalidade, o objetivo e a relevância da
colaboração, deixando o entrevistado à vontade para responder.
Para o processo de classificação dos riscos, foi perguntado ao entrevistado qual o
nível de impacto e probabilidade a que o evento mencionado estava suscetível. Para esta
situação, foram utilizadas como base as perspectivas definidas na metodologia COSO (2007),
sendo determinado como impacto a perda potencial estimada e a probabilidade – frequência em
que o risco poderia ocorrer. Este passo foi importante para o posicionamento correto da
classificação dos riscos na matriz Probabilidade × Impacto.
Durante a entrevista, algumas dúvidas foram levantadas pelos funcionários de RI e
esclarecidas pelo responsável desta pesquisa, havendo um alinhamento entre o objetivo da
entrevista e a expectativa dos participantes.
Outro ponto a ser destacado durante a entrevista foi a inclusão de novos riscos e
alterações na classificação do risco. Ao serem discutidos os riscos entre o entrevistado e o
responsável por esta pesquisa, foram identificados pontos que mereceriam maior atenção e
geravam riscos para o negócio. Esta situação pode ser observada na Tabela 7, que demonstra
os novos riscos incluídos no projeto de acordo com a sua classificação:
67
Tabela 7 – Riscos Novos Informados pelos Funcionários de RI após Entrevista Estruturada
Classificação do Risco Total
Alto Médio Baixo
1 3 4 8
Fonte: Elaborado pelo autor.
Além disso, a Tabela 8 demonstra as alterações realizadas quanto à mudança na
classificação dos riscos:
Tabela 8 – Alteração da Classificação de Riscos após Entrevista Estruturada
Tipo de Alteração Quantidade
De Alto para Médio 2
De Médio para Baixo 9
De Médio para Alto 1
De Baixo para Médio 3
Total 15
Fonte: Elaborado pelo autor.
Depois de realizadas as alterações, o novo cenário de riscos apontados pelos
funcionários de RI está demonstrado na Tabela 9:
Tabela 9 – Riscos Informados pelos Funcionários de RI após Entrevista
Classificação dos Riscos Total
Alto Médio Baixo
14 25 52 91
Fonte: Elaborado pelo autor.
Ao término da entrevista, foram informados a cada entrevistado os próximos passos
do projeto, que seriam:
Separação do risco de acordo com o processo classificado.
Consolidação dos riscos, atentando para a duplicidade de informações e para
um mesmo evento de origem.
Apresentação dos riscos consolidados para a coordenação e gerência da área
de RI.
Negociação com os gestores da área de RI em relação à inclusão de novos
indicadores e possíveis alterações nos controles internos da área.
68
Finalizadas as entrevistas, o responsável pela pesquisa recebeu feedbacks positivos
dos funcionários quanto à participação neste projeto, além de agradecimentos pela oportunidade
de poder fazer parte do time de trabalho.
4.1.4.1. Consolidação dos Riscos Apontados pelos Funcionários de RI após Entrevista
Após as entrevistas, foi realizado o tratamento dos dados para consolidar as
informações e eliminar redundâncias. O tratamento obedeceu às seguintes condições:
a) Separação dos riscos de acordo com os processos previamente informados aos
entrevistados na questão 1.
b) Consolidação dos riscos com a mesma natureza.
Do total de 91 riscos apontados pelos funcionários de RI, houve a consolidação em
20 riscos. Segundo Mcclave, Benson e Sincich (2009, p. 31), a separação de dados em grupos
é essencial para uma análise mais detalhada das informações, permitindo realizar afirmações
sobre a amostra analisada.
A consolidação dos riscos de mesma natureza foi realizada de acordo com as
seguintes premissas:
Mesma origem de risco – Exemplos: falta de conferência de dados do imposto
contido na nota fiscal, cálculo incorreto do imposto, apuração indevida do
imposto – esses casos foram classificados como apuração indevida do imposto a
ser recolhido.
Classificação do risco – utilizou-se uma pontuação com pesos: risco
classificado inicialmente como baixo teve peso 1; risco classificado inicialmente
como médio teve peso 2; risco classificado inicialmente como alto teve peso 3.
Para a consolidação dos riscos de mesma origem, foram somados os pesos e
verificada a média ponderada.
Após ser feita a divisão, obteve-se o seguinte cenário com as respectivas
classificações, conforme verificado na Tabela 10:
69
Tabela 10 – Consolidação de Riscos por Processo – Área de RI
Processos Classificação dos Riscos
Total Alto Médio Baixo
Validação e Digitação de Notas Fiscais 5 5 6 16
Cadastro de Fornecedores - 1 1 2
Controle de Notas Fiscais em poder de terceiros /
de terceiros em nosso poder 1 - - 1
Armazenagem de documentos fiscais - - 1 1
TOTAL 6 6 8 20
Fonte: Elaborado pelo autor.
A divisão dos riscos facilitou a discussão com os coordenadores da área de RI
quanto aos motivos que geraram a alteração de controles internos ou a criação de indicadores
de acompanhamento.
Com essas informações estruturadas, foi enviado e-mail para marcar uma reunião
com o intuito de discutir os riscos apontados. O encontro contou com a participação do
Supervisor e da Analista Sênior de RI, do responsável por esta pesquisa como primeiro
facilitador e, como segundo facilitador, da Supervisora da área de Gerenciamento de Riscos da
Editora Nacional. A reunião foi realizada no dia 20 de outubro de 2016 e teve duração de 90
minutos, com o objetivo de demonstrar a consolidação dos riscos por processo, além de verificar
as possíveis alterações para minimizar a exposição aos riscos.
Os comentários e as sugestões dos participantes foram documentados por meio de
anotações e salvas em arquivo junto aos demais documentos que compõem o suporte desta
pesquisa. Segundo Sunding e Odenrick (2010), as reuniões de projetos de intervenção podem
ser documentadas de duas maneiras: por meio de anotações ou de gravações de áudios.
Essa reunião foi realizada antes de se apresentar o resultado final para o gerente e
o diretor da área. Segundo Sunding e Odenrick (2010), é importante realizar uma reunião prévia
para discussão do objeto da intervenção, com a finalidade de alinhar as expectativas e opiniões
de todos os envolvidos.
Após a reunião, o responsável pela pesquisa recebeu feedback positivo dos
participantes quanto à realização deste projeto, demonstrando o apoio recebido e o nível de
satisfação com o resultado apurado.
70
5. APRESENTAÇÃO E ANÁLISE DOS RESULTADOS
Para a realização deste projeto, o pesquisador responsável utilizou a metodologia
CSA para levantamento dos dados e a metodologia COSO para análise e apuração do resultado.
Neste passo, foi realizada a avaliação dos riscos apontados pelos funcionários de RI, chamando
a atenção para os riscos aos quais a empresa estava sendo exposta e as formas de mitigação
junto aos gestores da área-alvo da pesquisa. Segundo Arena, Arnaboldi e Azzone (2010, p.
661), a metodologia COSO prevê que o gerenciamento de riscos sirva, entre outras funções,
como suporte para as decisões tomadas pela gestão da empresa.
Neste contexto, após as análises preliminares dos dados coletados, chegamos a
algumas conclusões, que serão explanadas nos tópicos a seguir.
5.1. TRATAMENTO DOS RISCOS
5.1.1. Avaliação dos Riscos
Após a consolidação dos riscos apontados pelos funcionários de RI, foi apurada a
quantidade de 20 riscos que incidem sobre o processo operacional. Conforme podemos verificar
no Gráfico 1, há uma concentração de riscos classificados como de alta e média relevância:
Gráfico 1: Classificação dos Riscos de RI
Fonte: Elaborado pelo autor.
Os riscos classificados como de alta relevância são aqueles que têm alta
probabilidade de materialização e alto impacto para o negócio. Para esses casos, segundo a
0
2
4
6
8
Alto Médio Baixo
Classificação dos Riscos
71
metodologia COSO (2007), há demanda de atenção considerável da empresa quanto a sua
mitigação. Já os casos classificados como de média relevância são aqueles que têm baixa
probabilidade de ocorrência, mas que, se materializados, geram um grande impacto para o
negócio; ou ainda casos de alta probabilidade de ocorrência e de baixo impacto para a empresa.
Segundo a metodologia COSO (2007), os casos de média relevância de risco devem ser
avaliados cuidadosamente pela empresa e colocado em um radar de observação, atentando para
o apetite de risco estipulado. E, por último, há os riscos classificados como de baixa relevância,
ou seja, aqueles que a probabilidade de acontecer e o impacto para a empresa são considerados
baixos. Neste sentido, a metodologia COSO (2007) define que as empresas não devem dedicar
muita atenção a esses casos.
Essa situação pode ser verificada na Figura 10, que demonstra a localização dos
riscos consolidados na matriz Probabilidade × Impacto:
Figura10: Matriz Probabilidade × Impacto dos Riscos Consolidados da Área de RI
Fonte: Elaborado pelo autor.
Diante deste contexto, foi realizada análise dos 20 riscos apontados pelos
funcionários de RI, com o objetivo de separá-los de acordo com a sua classe.
Segundo Brito (2007, p. 55), o risco operacional pode ser dividido nas seguintes
classes:
72
Imagem: veiculação de informações que afetam diretamente a imagem da
empresa.
Humano: associado a erros praticados de forma intencional (ou não) por
pessoas responsáveis (ou não) pelos processos operacionais.
Controle interno inadequado ou insuficiente: decorrente de falhas nos controles
internos e no sistema de processamento das informações, podendo ocasionar
perdas inesperadas para as empresas.
Sistemas inadequados: quando os sistemas que suportam os processos
operacionais permitem falhas que podem comprometer a empresa.
Legal: questionamentos jurídicos referentes às transações realizadas pela
empresa.
Fraude: realização de procedimentos inadequados com o objetivo de favorecer
o fraudador e gerar prejuízos à empresa.
Essa classificação foi realizada para facilitar a identificação das ações necessárias
para mitigar a materialização do risco. O resultado pode ser verificado no Gráfico 2:
Gráfico 2: Classes dos Riscos Identificados pelos Funcionários de RI
Fonte: Elaborado pelo autor.
A divisão em classes demonstra que a preocupação dos funcionários de RI está
voltada para três frentes, a saber:
Falha de controles internos — segundo a metodologia COSO (2013), “o
controle interno auxilia as entidades a alcançar objetivos importantes e a
sustentar e melhorar o seu desempenho”. O processo de RI possui uma
8
8
4
0 1 2 3 4 5 6 7 8 9
FALHA DE CONTROLES INTERNOS
FALHA HUMANA
SISTEMAS INADEQUADOS
Classes dos Riscos da área de RI
73
dependência de pessoas para a realização das tarefas diárias, e falhas neste
contexto podem representar uma entrada de dados inconsistente e com erros
operacionais. A preocupação dos funcionários de RI é pertinente e representa
40% dos riscos identificados na pesquisa.
Falha humana – esse tipo de falha pode ocorrer como consequência das falhas
de controles internos. A preocupação atribuída pelos funcionários de RI a este
tipo de risco representa 40% dos riscos identificados na pesquisa, novamente
tendo por base um processo que depende de pessoas. Segundo Martin, Santos
e Filho (2004), são riscos que podem levar a grandes prejuízos na empresa,
podendo estar atrelados a todos os processos, desde a parte operacional até a
parte estratégica da empresa.
Sistemas Inadequados – como mencionado no tópico “Situação Atual da Área
de RI”, também há uma dependência de sistemas ao longo do processo. Apesar
de representar 20% dos riscos identificados na pesquisa, existem dois casos que
são considerados de alta relevância, exigindo atenção da empresa quanto à
criticidade dos pontos identificados. Segundo a metodologia COSO (2007), os
riscos de alta relevância para a empresa são aqueles com alto impacto e alta
probabilidade de acontecer; para esses casos, a organização deve dedicar uma
atenção maior.
5.1.2. Mitigação dos Riscos
Após as etapas de consolidação dos riscos e análise dos dados, foi realizada a última
etapa do projeto. Esta fase foi marcada pela negociação das ações a serem implementadas,
objetivando a mitigação dos riscos identificados.
Para isso, uma reunião com os gestores da área de RI foi marcada, e esta teria como
pauta as seguintes situações:
Demonstrar o resultado das análises realizadas.
Identificar as respectivas respostas ao risco – transferir, evitar, aceitar ou
controlar.
Negociar as alterações necessárias para mitigar os riscos apontados pelos
funcionários de RI.
74
Assim que foi definido o objetivo da reunião, o responsável por esta pesquisa
enviou e-mail para marcar um encontro com o intuito de discutir os riscos apontados. Esta
reunião teve a participação do gerente, supervisor e da analista sênior de RI, do responsável por
esta pesquisa, como primeiro facilitador, e, como segundo facilitador, da Supervisora da área
de Gerenciamento de Riscos da Editora Nacional. A reunião foi realizada em 4 de novembro
de 2016 e teve duração de 100 minutos.
Ao iniciar a reunião, o pesquisador apresentou os riscos apontados pelos
funcionários de RI, conforme apresentado na Tabela 11 de acordo com a sua classe e avaliação:
Tabela 11 – Classe e Avaliação dos Riscos Apontados
Classe dos Riscos Avaliação dos Riscos
Total Alto Médio Baixo
Sistemas Inadequados 2 1 1 4
Falha Humana - 4 4 8
Falha de Controles Internos 4 1 3 8
TOTAL 6 6 8 20
Fonte: Elaborado pelo autor.
Com o objetivo de identificar a resposta ao risco, os casos foram analisados
individualmente, iniciando-se pelos riscos classificados como de alta relevância, conforme
demonstrado na Tabela 12. As referências de numeração dos riscos foram apontadas na matriz
Probabilidade × Impacto:
Tabela 12 – Resposta aos Riscos de Alta Relevância
Classe dos Riscos N°
Risco Resposta ao Risco
Ação mitigante
Negociada
Sistemas
Inadequados 19 Controlar
Eliminar imediatamente a fragilidade
encontrada, realizando alterações no sistema, e
incluir novos controles internos
Sistemas
Inadequados 20 Controlar Incluir novo controle interno
Falha de Controles
Internos 4 Controlar Incluir novo controle interno
Falha de Controles
Internos 6 Controlar Incluir novo controle interno
Falha de Controles
Internos 14 Controlar Incluir novo controle interno
Falha de Controles
Internos 16 Controlar Incluir novo controle interno
Fonte: Elaborado pelo autor.
75
Vale ressaltar que a identificação do Risco 19, em especial, foi reveladora para os
gestores da área de RI, visto que a consequência da materialização desse item colocaria em
dúvida todos os processos realizados pela área. A relevância da identificação gerou uma
mudança imediata na forma de entrada de dados, fazendo com que o Gerente de RI efetuasse
mudanças no sistema e na forma de trabalho dos funcionários.
Após a demonstração dos itens considerados de maior gravidade, passou-se a
analisar os riscos classificados como de média relevância. As ações negociadas com o Gerente
da área de RI foram demonstradas na Tabela 13:
Tabela 13 – Resposta aos Riscos de Média Relevância
Classe dos Riscos N°
Risco Resposta ao Risco
Ação Mitigante
Negociada
Falha de Controles
Internos 3 Controlar Alterar controle interno existente
Falha Humana 5 Controlar Incluir novo controle interno
Falha Humana 9 Controlar Incluir novo controle interno
Falha Humana 10 Transferência Transferência do controle interno para outra
área
Falha Humana 11 Transferência Transferência do controle interno para outra
área
Sistemas
Inadequados 15 Controlar Incluir novo controle interno
Fonte: Elaborado pelo autor.
Para os demais riscos, considerados de baixa relevância, o gerente da área de RI
decidiu que a resposta ao risco seria “Aceitar”. Esta decisão está alinhada com a teoria, pois,
conforme a metodologia COSO (2007), esses casos não geram riscos significativos para a
empresa e estão dentro das tolerâncias de risco determinadas pelo negócio.
Ao término da reunião, o responsável por essa pesquisa informou a todos sobre o
sucesso do projeto. Essa afirmação teve por base, entre outros motivos, a identificação do Risco
19, que representava um grande risco para a empresa.
E, como conclusão, o responsável pela pesquisa agradeceu o empenho de todos os
participantes, colocando-se à disposição para projetos futuros.
Após a reunião, o responsável pela pesquisa recebeu feedback do gerente da área
de RI. A análise do gestor foi positiva, demonstrando que o resultado foi muito satisfatório,
além de declarar que sua expectativa havia sido superada. Para ele, o ponto alto do trabalho foi
a identificação do risco de sistemas (Risco 19), que deixava sua área completamente vulnerável,
76
possibilitando questionamentos que ele próprio não poderia explicar. O gerente da área de RI
agradeceu a parceria e se colocou à disposição para que futuros projetos fossem implementados
nas áreas geridas por ele.
5.2. IMPLEMENTAÇÃO E MONITORAMENTO DAS AÇÕES CORRETIVAS
As implementações das ações que irão mitigar os riscos identificados serão
realizadas pelos gestores da área de RI após a conclusão do projeto e com o acompanhamento
da área de Auditoria Interna. Esse acompanhamento terá por objetivo validar as respectivas
alterações, atentando para minimizar os riscos existentes. Segundo Cordeiro (2013, p. 6), a
Auditoria Interna tem por função identificar as principais áreas da empresa, com o objetivo de
verificar se estão em conformidade com os princípios e as normas da contabilidade, emitindo
opinião imparcial sobre a operação.
Após a implementação dessas ações, será realizado o monitoramento da área por
meio do acompanhamento, da revisão e da atualização do Gerenciamento de Riscos
Operacionais. Tal monitoramento servirá para verificar a existência de novos processos ou
riscos que não estão mapeados. Segundo Padoveze e Bertolucci (2013), o monitoramento tem
por objetivo a avaliação das operações e do desempenho das áreas da empresa.
Segundo Moeller (2007), o monitoramento é uma ferramenta que tem por objetivo
garantir que o gerenciamento de riscos funcione efetiva e continuamente. Por isso, a área de RI
deverá realizar a análise dos processos após a implementação das ações corretivas, fato este que
deverá ocorrer ao longo dos próximos meses.
5.3. OUTRAS CONCLUSÕES IDENTIFICADAS APÓS IMPLEMENTAÇÃO DO
PROJETO
5.3.1. Mudança em Relação à Percepção da Importância da Área pelos Funcionários de
RI
O levantamento de riscos realizado demonstra que os funcionários da área de RI
têm uma percepção de que os procedimentos operacionalizados por eles possuem riscos que,
segundo as definições da metodologia COSO (2007), podem trazer consequências relevantes
para o negócio. Esse fator já demonstra uma mudança de visão dos funcionários de RI quanto
à importância da área para o negócio, visto que, no início deste projeto, a percepção era de uma
77
área que realiza cadastro de notas fiscais sem relevância para a empresa, conforme verificado
no tópico “Situação Atual da Área de RI”.
5.3.2. Comprovação do Nível de Conhecimento dos Funcionários de RI quanto aos
Procedimentos Operacionais sob a Responsabilidade da Área
O resultado desta pesquisa demonstrou que os funcionários da área de RI possuem
conhecimento sobre o processo de responsabilidade principal de cada um deles, mas que, a
respeito dos demais processos, apresentam baixo ou nenhum conhecimento.
Do total de 18 funcionários que a área de RI possui, não consideramos as
informações do gerente, do supervisor e da analista sênior, que são os atuais responsáveis pela
coordenação geral da área. Com isso, avaliamos a resposta dos demais 15 funcionários,
conforme a Tabela 14, que demonstra a quantidade de funcionários que identificou riscos por
processo.
Tabela 14 – Quantidade de Processos Mencionados no Levantamento de Riscos
Quantidade de Processos Mencionados pelos
Funcionários de RI no Levantamento de Riscos Quantidade de Funcionários
1 Processo 10
2 Processos 4
3 Processos 1
4 Processos 0
TOTAL 15
Fonte: Elaborado pelo autor.
Como podemos observar, nenhum funcionário identificou riscos em todos os
processos da área, porém a identificação em apenas um dos processos foi realizada por dez
funcionários, ou 67% da amostra; já para a identificação de dois processos, temos quatro
funcionários, ou 26% dos casos. Esse resultado demonstra que 93% dos funcionários de RI têm
domínio dos procedimentos que ocorrem em no máximo dois processos.
Outro fator que contribuiu para a conclusão do não conhecimento de todos os
processos da área pelos funcionários de RI foi a quantidade de funcionários que identificou
riscos por processo. Neste caso, verificamos uma concentração nos procedimentos realizados
78
para a validação e digitação de notas fiscais, que é o processo operacionalizado pelo maior
número de funcionários da área, conforme verificado na Tabela 15:
Tabela 15 – Quantidade de Funcionários que Identificou Riscos em Cada Processo
Processos Quantidade de Funcionários que
Mencionou Riscos Neste Processo
Validação e Digitação de Notas Fiscais 13
Cadastro de Fornecedores 2
Controle de Notas Fiscais em Poder de Terceiros /
De Terceiros em Nosso Poder 4
Armazenagem de Documentos Fiscais 2
Fonte: Elaborado pelo autor.
Este cenário demonstra concentração de conhecimento sobre um dos processos
realizados pela área. Ao ser apresentado este cenário para o gerente da área de RI, entendeu-se
ser um cenário propício para a realização de um job rotation. Segundo Neiva (2011), o processo
de job rotation consiste na mudança de função do trabalhador; tal processo tem sido adotado
pelas empresas com o objetivo de aumentar a produtividade e a polivalência dos trabalhadores
e de assegurar a melhoria contínua dos processos.
Como negociação para minimizar o não conhecimento por parte dos funcionários,
o gerente de RI decidiu por implementar o processo de job rotation com os funcionários que
realizavam procedimentos operacionais na área.
5.3.3. Implementação do Projeto “Gerenciamento de Riscos Operacionais” em Outras
Áreas da Editora Nacional
Após ser apresentado o resultado final deste estudo à direção da Editora Nacional,
demonstrando os ganhos e as melhorias apontados pelos funcionários da área de RI, foi
solicitado ao pesquisador responsável deste estudo que, no próximo ano, fosse realizado o
mesmo projeto com outras áreas da empresa.
Ante a esta solicitação, foi colocada como meta para o ano de 2017 a realização
deste projeto em outras três áreas críticas, que serão identificadas e aprovadas junto à diretoria
da Editora Nacional.
79
6. CONSIDERAÇÕES FINAIS
O processo de gerenciamento de riscos operacionais torna-se cada vez mais
importante nas organizações, conforme os ambientes interno e externo vão se tornando
desafiadores. A crise econômica pela qual o Brasil passa atualmente representa um presente e
um futuro incertos para as empresas, e isso é um desafio para os gestores em relação à forma
de gerir seus ativos tangíveis e intangíveis.
Com isso, torna-se importante a correta identificação dos riscos operacionais por
toda a empresa, fazendo com que este processo seja uma peça-chave na proteção e no aumento
do valor para os acionistas.
Neste cenário, o presente estudo teve por objetivo principal a implementação do
gerenciamento de riscos operacionais na área de Recebimento Integrado da Editora Nacional,
por meio da abordagem intervencionista. Esta abordagem permitiu identificar o perfil de
exposição da área aos riscos que envolvem a operação em seus processos diários, bem como
trabalhar as ações necessárias para mitigar a sua materialização.
Utilizando a metodologia Control Self Assessment (CSA), o pesquisador contou
com o auxílio de todos os funcionários da área de RI para o levantamento dos riscos
operacionais. Ao término do projeto, foram negociadas, com o gerente da área, as ações
corretivas necessárias para minimizar a exposição da empresa aos riscos operacionais
apontados.
A pesquisa teve por base o modelo de gerenciamento de riscos sugerido pela
metodologia COSO, com as respectivas adaptações necessárias para a adequação à Editora
Nacional. Este processo teve por objetivo a disseminação do conhecimento e a ampliação da
cultura de gerenciamento de riscos dentro da empresa.
As etapas percorridas pelo responsável por essa pesquisa podem ser demonstradas
da seguinte maneira:
a) Identificação do problema: apuração da necessidade junto à empresa-alvo da
pesquisa, com o suporte da Alta Administração.
b) Desenho dos fluxos operacionais: foram mapeados todos os processos que
compõem os procedimentos realizados pela área de RI, atentando para os riscos
e controles internos em relação à exposição aos riscos operacionais.
c) Workshop do Gerenciamento de Riscos Operacionais: ao ser identificado o
baixo nível de conhecimento dos participantes do projeto quanto a conceitos
80
de riscos e gestão de riscos, o responsável pela pesquisa optou por realizar um
workshop para o compartilhamento de conhecimento e a criação a partir deste.
d) Identificação dos riscos operacionais: após o workshop, os funcionários
participantes do projeto alinharam os conhecimentos adquiridos no
treinamento em relação à prática dos processos realizados diariamente. Essa
junção de fatores culminou na relação de riscos identificados por aqueles que
vivenciam a operação.
e) Entrevista com os funcionários de RI: intervenção do responsável pela pesquisa
com aplicação de questionário em uma entrevista estruturada. Este
procedimento teve por objetivo realizar o alinhamento entre os riscos
verificados em relação ao conhecimento transmitido no treinamento.
f) Tratamento dos riscos: etapa em que foram determinadas as respostas aos
riscos identificados, materializadas pelas decisões de controlar, transferir ou
aceitar o risco. Além disso, foram definidas as ações necessárias para a
mitigação do risco apontado.
g) Implementação e monitoramento das ações corretivas: processo que será
realizado na fase pós-projeto, em que serão implementadas as ações necessárias
para mitigar a materialização dos riscos, além de serem determinados os
procedimentos para monitoramento contínuo.
Como conclusão, foram identificados 20 riscos operacionais ao longo do processo.
Desse total, 6 casos (30%) foram considerados de alta relevância e outros 6 (30%), de média
relevância. Para esses riscos, o gerente da área resolveu implementar ações para controlá-los
ou, em alguns casos, resolveu transferir o controle do risco para outra área da empresa. Em
relação aos demais riscos, considerados de baixa relevância, o gestor da área decidiu pela
aceitação, por entender serem situações que estavam dentro do apetite ao risco definido pela
empresa.
Como ponto de destaque, convém citar o Risco 19, classificado como “sistemas
inadequados” e considerado de alta relevância. Devido à gravidade do problema, em caso de
materialização do risco, o Gerente da área de RI tomou as devidas atitudes para sua imediata
solução.
Concluindo o estudo, demonstrou-se que o envolvimento de todos os profissionais
da área de RI se mostrou satisfatório. Adicionalmente a essa apuração, reforça-se a ideia de que
81
a conexão com os funcionários diretamente ligados ao processo operacional gera ganhos
relevantes com a utilização da metodologia CSA.
Neste contexto, entende-se que os objetivos propostos inicialmente pelo
pesquisador foram atendidos, contribuindo com a teoria e prática operacional da empresa-alvo
da análise.
Vale ressaltar as limitações desse trabalho quanto à extensão do resultado aqui
obtido para outras empresas, devido aos seguintes fatores: (a) utilização para estudo de uma
empresa em um setor específico; (b) análise de apenas uma área dentro da empresa-alvo desta
análise; (c) fator tempo considerado insuficiente para um estudo mais amplo da situação.
Este trabalho não teve o propósito de esgotar o assunto aqui tratado. Para tanto,
como sugestões de pesquisas futuras, há a necessidade de se ampliar os estudos aqui realizados
quanto a: (a) ramo de atividade da empresa estudada; (b) avaliar a utilização da metodologia
CSA em áreas maiores que a utilizada neste estudo; (c) ampliar o número de áreas estudadas
dentro de uma mesma empresa.
82
7. REFERÊNCIAS
ABNT. NBR ISSO 31000: 2009. Gestão de Riscos – Princípios e Diretrizes. Associação
Brasileira de Normas Técnicas (ABNT) ISO 31000:2009.
AERTS, L. A Framework for Managing Operational Risk. Internal Auditor, v. 4, p. 53-59, ago.
2001.
ALMEIDA, A. L. A Autoavaliação de Controle de Riscos nas Organizações Empresariais.
Artigos.com, 2006. Disponível em: <http://www.artigos.com/artigos-academicos/461-a-auto-
avaliacao-de-controle-de-riscos-nas-organizacoes-empresariais>. Acesso em: 02 set. 2016.
ALVES, C. A. M.; CHEROBIM, A. P. M. S. Análise do Nível de Divulgação do Risco
Operacional Segundo Recomendações do Comitê da Basileia: Estudo em Bancos do País e do
Exterior. RAM – Revista de Administração Mackenzie, São Paulo, v. 10, n. 2, p. 58-86, mar./abr.
2009.
ALVES, M. T. Gestão e Divulgação do Risco Operacional e os Acordos de Basileia: O Caso
dos Maiores Bancos Portugueses. Revista Universo Contábil, Blumenau, v. 10, n. 3, p. 172-
193, jul./set., 2014.
AMARAL, M. M.; NUNES, R. C.; AMARAL, É. H. Metodologia para Cálculo do Risco por
Composição de Métodos. 2010. Dissertação (Mestrado em Computação) – Universidade
Federal de Santa Maria, Porto Alegre, 2010.
AMCHAM – Câmara Americana de Comércio. Risco operacional é o mais relevante para as
empresas, segundo pesquisa da Amcham. Disponível em: <http://www.amcham.com.br/gestao-
empresarial/noticias/risco-operacional-e-o-mais-relevante-para-as-empresas-segundo-
pesquisa-da-amcham>. Acesso em: 25 abr. 2016.
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS (AICPA). Auditing
standards board. Disponível em: <http://www.aicpa.org>. Acesso em: 20 mai. 2016.
ARAÚJO, I. P. S. Introdução à Auditoria Operacional. 2. ed. Rio de Janeiro: FGV, 2004.
ARENA, M.; ARNABOLDI, M.; AZZONE, G. The Organizational Dynamics of Enterprise
Risk Management. Accounting, Organizations and Society, v. 35, p. 659-675, Ed. Elsevier,
2010.
ASSI, M. Gerenciamento de Risco Operacional nas Organizações. Blog do Marcos Assi.
Disponível em: <http://www.marcosassi.com.br/gerenciamento-de-risco-operacional-nas-
organizacoes>. Acesso em: 06 fev. 2016.
ATTIE, W. Auditoria: conceitos e aplicações. 6. ed. São Paulo: Atlas, 2011.
BANCO CENTRAL DO BRASIL. Resolução n° 3.380, de 29 de junho de 2006. Dispõe sobre
a implementação de estrutura de gerenciamento do risco operacional. Disponível em:
<http://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Norm
ativos/Attachments/48239/Res_3380_v3_P.pdf>. Acesso em: 21 fev. 2016.
83
BENEISH, M. D.; BILLINGS, M. B.; HODDER, L. D. Internal Control Weaknesses and
Information Uncertainty. In: SUMMER CONFERENCE SERIES AT PURDUE
UNIVERSITY, 2005, Nova York. Anais… Nova York, 2005, p. 1-56.
BERNSTEIN, P. L. Desafio aos deuses: a fascinante história do risco. 35. ed. Rio de Janeiro:
Elsevier, 1997.
BORTOLINI, J. Desafios Empresariais com a Nova Lei Anticorrupção. 2015. Trabalho de
conclusão de curso (Graduação em Direito) – Universidade Estácio de Sá, Curitiba, 2015.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilização
administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública,
nacional ou estrangeira, e dá outras providências. Diário Oficial [da] República Federativa do
Brasil, Brasília, DF, 1º ago. 2013. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm>. Acesso em: 9
dez. 2013.
BRASILIANO, A. C. R. ISO 31000: Visão Prospectiva do Gestor de Riscos Corporativo.
Gestão de Riscos, São Paulo, ed. 47. p. 6-10, set. 2009.
BRITO, O. Gestão de riscos: uma abordagem orientada a riscos operacionais. São Paulo:
Saraiva, 2007.
______. Mercado financeiro: estruturas, produtos, serviços, riscos, controle gerencial. 2. ed.
São Paulo: Saraiva, 2013.
CHILESHE, N.; KIKWASI, G. J. Critical success factors for implementation of risk assessment
and management practices within the Tanzanian construction industry. Engineering,
Construction and Architectural Management, Bingley, v. 21, n. 3, p. 291-319, 2014.
CHORAFAS, D. N. Operational Risk Control with Basel II: Basic Principles and Capital
Requirements. Oxford: Elsevier Butterworth-Heinemann, 2004.
COIMBRA, F. C. Estruturação de unidade de gestão de riscos em bancos: um estudo de caso.
2006. Dissertação (Mestrado em Administração de Empresas) – Universidade de São Paulo,
São Paulo, 2006.
______. Riscos operacionais: estrutura para gestão em bancos. São Paulo: Saint Paul, 2007.
______; POLO, E. F.; ALBUQUERQUE, L. G.; MACCARI, E. A. Competências requeridas
de profissionais de Unidade de Gestão de Riscos Operacionais: o caso de um grande banco
brasileiro. Revista de Finanças Aplicadas, São Paulo, p. 1-18, set. 2012.
COCURULLO, A. Gestão de Riscos Corporativos: riscos alinhados com algumas ferramentas
de gestão – um estudo de caso. 2004. Dissertação (Mestrado em Administração de Empresas)
– Universidade São Francisco, São Paulo, 2004.
CORDEIRO, C. M. R. Auditoria Interna e Operacional: fundamentos, conceitos e aplicações
práticas. São Paulo: Atlas, 2013.
84
COSO (Committee of Sponsoring Organizations of the Treadway Commission). Controle
Interno – Estrutura Integrada. 2013. Disponível em:
<http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.p
df>. Acesso em: 22 fev. 2016.
______. Gerenciamento de Riscos Corporativos - Estrutura Integrada. 2007. Disponível em:
<http://www.coso.org/documents/coso_erm_executivesummary_portuguese.pdf>. Acesso em:
21 fev. 2016.
CROUHY, M.; GALAI, D.; MARK, R. Risk Management. 2. ed. Nova York: McGraw-Hill,
2001.
CURY, A.; CAOLI, C. Desemprego sobe para 11,3% no 2º trimestre, aponta Pnad, do IBGE.
G1 – Economia, 2016. Disponível em:
<http://g1.globo.com/economia/noticia/2016/07/desemprego-fica-em-113-no-2-trimestre-diz-
ibge.html>. Acesso em: 11 set. 2016.
DAMODARAN, A. Gestão Estratégica do Risco: uma referência para a tomada de riscos
empresariais. Porto Alegre: Bookman, 2009.
DANIELL, M. H. World of Risk: Next Generation Strategy for a Volatile Era. Singapore: John
Wiley & Sons (Asia) Ltd., 2000.
DARDAC, N.; CHIRIAC, P. The Management of Operational Risk Specific to Non-banking
Financial Institutions in the Context of Actual Financial Crises. Theoretical and Applied
Economics. Bucareste, V. XVII, n. 4, p. 93-106, 2010.
DELOITTE. O estágio atual da gestão de riscos. Estratégia e ações para o crescimento
sustentável. Segunda edição da pesquisa Inteligência em Gestão de Riscos. 2014. Disponível
em: <http://www2.deloitte.com/content/dam/Deloitte/br/Documents/risk/Pesquisa-
InteligenciaGestaoRiscos2014.pdf>. Acesso em: 25 fev. 2016.
DIAS, C. A. Grupo Focal: técnica de coleta de dados em pesquisas qualitativas. Informação &
Sociedade: Estudos, v. 10, n. 2, 2000. Disponível em:
<http://periodicos.ufpb.br/ojs2/index.php/ies/article/view/330>. Acesso em: 5 maio 2016.
DUARTE JR., A. M. D. Gestão de Riscos para Fundos de Investimentos. São Paulo: Pearson,
2005.
ENGLE, T. J.; JOSEPH, G. W. Use of Control Self-Assessment in Audits. The CPA Journal.
p. 46, ago. 2001.
ETTINGER, D. Gerenciando os riscos do projeto com a matriz de probabilidade e impacto.
IMasters. 2011. Disponível em: <http://imasters.com.br/artigo/21216/gerencia-de-
projetos/gerenciando-os-riscos-do-projeto-com-a-matriz-de-probabilidade-e-
impacto/?trace=1519021197&source=single>. Acesso em: 02 out. 2016.
FERREIRA, H. M. C. Aplicação do modelo COSO ERM na avaliação de sistemas de controles
internos: um estudo de caso para verificar a validade desse sistema no Instituto Federal de
Educação, Ciência e Tecnologia do Rio Grande do Norte. 2013. Dissertação (Mestrado em
85
Ciências Contábeis) – Universidade de Brasília, Universidade Federal da Paraíba e Universidade
Federal do Rio Grande do Norte (Programa Multi-Institucional e Inter-Regional), João Pessoa,
2013.
GASPARIN, G. Lei Anticorrupção entra em vigor nesta quarta à espera de regras. G1.
Disponível em: <http://g1.globo.com/economia/noticia/2014/01/lei-anticorrupcao-entra-em-
vigor-nesta-quarta-espera-de-regras.html>. Acesso em: 02 set. 2016.
GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2010.
HAIR JR., J. F; CELSI, M. W.; ORTINAU, D. J.; BUSH, R. P. Fundamentos de Pesquisa de
Marketing. 3. ed. Porto Alegre: McGraw-Hill, 2014.
HUBER, C.; IMFELD, D. Operational Risk Management in Practice: Implementation, Success
Factors and Pitfalls. Alternative Investment Analyst Review, p. 6-22, 2009.
IBGC (Instituto Brasileiro de Governança Corporativa). Código das Melhores Práticas de
Governança Corporativa. 5. ed. São Paulo: 2015. Disponível em:
<http://www.ibgc.org.br/inter.php?id=18180&email>. Acesso em: 20 abr. 2016.
IMONIANA, J. O.; NOHARA, J. J. Cognição da estrutura de controle interno: uma pesquisa
exploratória. Revista de Administração e Contabilidade da Unisinos, São Paulo, v. 2, n. 1, p.
37-46, jan./abr. 2005.
IIA – The Institute of Internal Auditors. A Perspective on Control Self-Assessment. Flórida:
Professional Practices Pamphlet, 1998.
______. IIA Position Paper: The Three Lines of Defense in Effective Risk Management and
Control. 2013. Disponível em: <https://na.theiia.org/standards-
guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%2
0Effective%20Risk%20Management%20and%20Control.pdf>. Acesso em: 29 abr. 2016.
IPEA – Instituto de Pesquisa Econômica Aplicada. Dados Macroeconômicos. Brasília, 2016.
Disponível em: <http://www.ipeadata.gov.br/>. Acesso em: 11 set. 2016.
ISTOÉ DINHEIRO. Entenda o que é a Lei Anticorrupção, que entra em vigor nesta quarta-
feira. 2014. Disponível em: <http://www.istoedinheiro.com.br/pt/components/news/cmp-
news-body/8/6/140468.inc>. Acesso em: 10 dez. 2016.
JORGE, M. J. S.; AUGUSTO, M. A. G. Financial Risk Exposures and Risk Management:
Evidence from European Nonfinancial Firms. Rev. Adm. Mackenzie. São Paulo, v. 12, n. 5, p.
68-97, set./out., 2011.
JORION, P. Value at risk: A Nova Fonte de Referência para a Gestão do Risco Financeiro. 2.
ed. rev. e ampl. São Paulo: Bolsa de Mercadorias & Futuros, 2003.
KAPLAN, R. S.; NORTON, D. P. A Estratégia Em Ação: Balanced Scorecard. 18. ed. Rio de
Janeiro: Campus, 2004.
86
KENETT, R. S.; RAANAN, Y. Operational Risk Management: A Practical Approach to
Intelligent Data Analysis. Chichester, West Sussex, UK: John Wiley & Sons Ltd., 2011.
KHANNA, H. K.; SHARMA, D. D.; LAROIYA, S. C. Identifying and Ranking Critical
Success Factors for Implementation of Total Quality Management in the Indian Manufacturing
Industry Using TOPSIS. Engineering, Construction and Architectural Management, Bingley,
v. 12, n. 1, p. 124-138, 2011.
KOUAKOU, A. L’Impact de la Gestion des Risques Operationnels sur la Perfomance des
Entreprises non Financieres. HAL Archives-Ouvertes, Costa do Marfim, 2016.
KPMG. A Governança Corporativa e o Mercado de Capitais: Um Panorama Atual das
Empresas Abertas, com Base nos seus formulários de Referência 2014/2015. Disponível em:
<https://assets.kpmg.com/content/dam/kpmg/pdf/2016/06/Governanca-Corporativa-Mercado-
Capitais-14-15.pdf>. Acesso em: 12 dez. 2016.
______. Resultado da Pesquisa 2004 sobre Gerenciamento de Riscos e Governança
Corporativa. Disponível em:
<http://tupi.fisica.ufmg.br/michel/docs/Artigos_e_textos/Empreendedorismo/governanca2.pdf
>. Acesso em: 12 dez. 2016.
LAGE, F. Control Self Assessment no processo de Gestão de Contrato de Terceiros. 2013.
Disponível em: <http://www.iiabrasil.org.br/new/2013/downs/eventos/seminario_belem /01_
Fernando_Lage_belem2013.pdf>. Acesso em: 12 dez. 2016.
LAMEIRA, V. J. As relações entre Governança e Riscos nas Companhias Abertas Brasileiras.
Revista Brasileira de Gestão de Negócios. São Paulo, v. 14, n. 42, p. 7-25, jan./mar. 2012.
LEU, A. Operational Risk Management in SMEs: Modelling and Implementation. 2010. Tese
(Doutorado em Administração de Empresas)–Charles Sturt University, Bathurst, 2010.
LIMA, L. F. F. Estudo sobre a Gestão Qualitativa do Risco Operacional como Prática de
Governança Corporativa em Instituições Financeiras no Brasil. 2007. Tese (Mestrado em
Ciências Contábeis e Financeiras)–Pontifícia Universidade Católica de São Paulo, São Paulo,
2007.
LUNKES, R. J. Controle de Gestão: Estratégico, Tático, Operacional, Interno e de Riscos. São
Paulo: Atlas, 2010.
MACHADO JR., G. A. Control Self Assessment (CSA): Intensificando os Controles. In:
SEMINÁRIO DE AUDITORIA INTERNA, 2009. Vitória. Anais eletrônicos... Vitória, 2009.
Disponível em:
<http://www.iiabrasil.org.br/seminarios/2009/03vitoria/4_Guilherme_Machado_Control%20S
elf%20Assessment%20(CSA)%20Intensificando%20os%20Controles.pdf>. Acesso em: 12
dez. 2016.
MARCONDES, M. L. S.; PROENÇA, F. Sarbanes Oxley: Seção 404 e a Importância dos
Controles Internos para o Sucesso Empresarial. In: ENCONTRO LATINO-AMERICANO DE
PÓS-GRADUAÇÃO – Universidade do Vale da Paraíba, 6, 2006, Paraíba. Anais... Paraíba:
Univap, 2006.
87
MARCONI, M. A.; LAKATOS, E. M. Fundamentos de Metodologia Científica. 7. ed. São
Paulo: Atlas, 2010.
______. Metodologia Científica. 6. ed. São Paulo: Atlas, 2011.
MARSHALL, C. Medindo e gerenciando riscos operacionais em instituições financeiras. Rio
de Janeiro: Qualitymark, 2002.
MARTIN, N. C.; SANTOS, L. R. S.; FILHO, J. M. D. Governança Empresarial, Riscos e
Controles Internos: A Emergência de um Novo Modelo De Controladoria. Revista
Contabilidade & Finanças - USP, São Paulo, n. 34, p. 7-22, jan.-abr. 2004.
MARTINS, G. A. Estudo de Caso: Uma Estratégia de Pesquisa. 2. ed. 2. reimpr. São Paulo:
Atlas, 2008.
MCCLAVE, James T.; BENSON, P. George; SINCICH, Terry. Estatística para Administração
e Economia. 10ª edição – São Paulo: Ed. Pearson Prentice Hall, 2009.
MICHAELIS. Dicionário Prático Língua Portuguesa. São Paulo: Melhoramentos, 2012.
MICHEL, M. H. Metodologia e Pesquisa Cientifica em Ciências Sociais. 2. ed. São Paulo:
Atlas, 2009.
MOELLER, R. R. COSO Enterprise Risk Management – The New Integrated ERM
Framework. Nova Jersey: John Wiley & Sons, Inc., 2007.
MONT, J. What Critics Say on Three Lines of Defense Strategy. Compliance Week [on-line],
Delaware, fev. 2015. Disponível em: <https://www.complianceweek.com/news/news-
article/what-critics-say-on-three-lines-of-defense#.VyZ3LNQrK00>. Acesso em: 12 dez.
2016.
NAMAZIAN, A.; ESLAMI, N. Operational Risk Management (ORM). Australian Journal of
Basic and Applied Sciences, Amã, p. 3.240-3.245, 2011.
NEIVA, F. O. M. O. 2011. Efeitos da Rotação dos Postos de Trabalho nos Trabalhadores e na
Organização. Dissertação (Mestrado em Engenharia Humana)–Universidade do Minho,
Portugal, 2011.
NOGUEIRA, R. N. [Coord.]. Análise das Ferramentas de Auto-Avaliação na Gestão do Risco
Operacional. Subcomissão de Gestão de Riscos Operacionais. São Paulo: Febraban, dez. 2004.
Disponível em: <http://docplayer.com.br/1782653-Subcomissao-de-gestao-de-riscos-
operacionais.html>. Acesso em: 12 dez. 2016.
NSANGANZELU, A. J.; JAGERO, N. The Levels of Factors that Contribute towards
Efficiency, Effectiveness and Strength of the Internal Control Systems (ICSs) With Regard to
Non-current Assets Safeguard and Management in Public Institutions in Tanzania.
International Journal of Academic Research in Business and Social Sciences, Paquistão, v. 1,
n. 1, out. 2011.
88
OLIVEIRA, A. M. S.; FARIA, A. O.; OLIVEIRA, L. M.; ALVES, P. S. L. G. Contabilidade
Internacional: Gestão de Riscos, Governança Corporativa e Contabilização de Derivativos. São
Paulo: Atlas, 2008.
OYADOMARI, J. C. et al. Pesquisa Intervencionista: Análise dos Estudos Empíricos
Internacionais em Gestão Estratégica de Custos. In: CONGRESO INTERNACIONAL DE
COSTOS EM PUNTA DEL ESTE, 12, 2012, Punta del Este. Anais eletrônicos... Punta del
Este, 2012. Disponível em:
<http://webcache.googleusercontent.com/search?q=cache:jdFNKXXTzpgJ:periodicos.uem.br/
ojs/index.php/Enfoque/article/download/16117/9523+&cd=1&hl=pt-BR&ct=clnk&gl=br>.
Acesso em: 12 dez. 2016.
PADOVEZE, C. L.; BERTOLUCCI, R. G. Gerenciamento do Risco Corporativo em
Controladoria: Enterprise Risk Management (ERM). 2. ed. São Paulo: Atlas, 2013.
PAI, L. D. Governança Corporativa e Ética nas Organizações. Revista Multidisciplinar da
UNIESP – Saber Acadêmico, Rio de Janeiro, n. 6, dez. 2008.
PEDOTE, C. F. S. Análise e Gerenciamento de Risco: Gestão do Risco Operacional em
Instituições Financeiras. 2002. Dissertação (Mestrado em Administração de Empresas)–
Fundação Getúlio Vargas, São Paulo, 2002.
PEREIRA, A. G. et al. Teoria dos Contratos, Governança Corporativa e Auditoria:
delineamentos para a discussão em teoria da contabilidade. In: SIMPÓSIO DE EXCELÊNCIA
EM GESTÃO E TECNOLOGIA, 7, 2010, Rio de Janeiro. Anais... Rio de Janeiro, 2010.
PEREIRA, A. N. Resenha Crítica. REPeC – Revista de Educação e Pesquisa em Contabilidade,
Brasília, v. 2, n. 1, p. 111-114, jan./abr. 2008.
______; VILASCHI, A. Governança Corporativa e Contabilidade: Explorando Noções e
Conexões. In: SIMPÓSIO FUCAPE DE PRODUÇÃO CIENTÍFICA, 4, 2006. Vitória. Anais
eletrônicos... Vitória, 2006. Disponível em:
<http://www.fucape.br/simposio/4/artigos/antonioi.pdf>. Acesso em: 12 dez. 2016.
PEREIRA, J. M. Gestão do Risco Operacional: Uma Avaliação do Novo Acordo de Capitais –
Basileia II. Revista Contemporânea de Contabilidade. Brasília, v. 1, n. 6, p. 103-124, jul./dez.
2006.
PORTAL DE AUDITORIA. Introdução à Lei Sarbanes-Oxley (SOX). Curitiba, 2005.
Disponível em: <http://www.portaldeauditoria.com.br/auditoria-interna/Introducao-a-lei-
Sarbanes-Oxley-SOx.asp>. Acesso em: 12 dez. 2016.
PRIETO, V. C. et al. Fatores Críticos na Implementação do Balanced Scorecard. Revista Gestão
& Produção, São Paulo, v. 13, n. 1, p. 81-92, jan./abr. 2006.
RADU, L. D. Some Considerations over the Internal Control in the Context of Current
Accountancy Regulations. Faculty of Economic Sciences Magazine, Romênia, n. 4, p. 688-693,
2012.
89
REASON, P.; BRADBURY, H. The SAGE Handbook of Action Research Participative Inquiry
and Practice. 2008. 2. ed. London: Sage Publications, 2008.
REGINATO, A. M. N. L. Controladoria: Instrumento de Apoio ao Processo Decisório. São
Paulo: Atlas, 2015.
RIBEIRO, H. C. M.; MOLINA, R. C.; OLIVEIRA, T. C. Características da Produção
Acadêmica sobre Governança Corporativa no Setor Público Divulgadas no Web of Science no
Período 1995-2013. Revista Governança Corporativa, São Paulo, v. 2, n. 1, art. 3, p. 94-115,
abr. 2015.
RICCA, E. C. Diagnóstico de Riscos Operacionais em uma Instituição Financeira sob a
Perspectiva intervencionista. 2014. Dissertação (Mestrado em Controladoria Empresarial)–
Universidade Presbiteriana Mackenzie, São Paulo, 2014.
RODRIGUEZ, G. M.; BRANDÃO, M. M. Visões da Governança Corporativa: A Realidade
das Sociedades por Ações e a Sustentabilidade. São Paulo: Saraiva, 2011.
ROSSETTI, J. M.; ANDRADE, A.; Governança Corporativa: Fundamentos, Desenvolvimento
e Tendências. 7. ed. atualizada e ampliada. São Paulo: Atlas, 2014.
SANTOS, F. A. Ética Empresarial: Políticas de Responsabilidade Social em 5 Dimensões –
Sustentabilidade, Respeito à Multicultura, Aprendizado Contínuo, Inovação e Governança
Corporativa. São Paulo: Atlas, 2015.
SANTOS, R. S. Gestão de Risco: Uma Visão Teórica da Mitigação de Riscos no Ambiente
Corporativo. 2010. Dissertação (Mestrado em Economia) – Universidade Federal do Rio
Grande do Sul, Porto Alegre, 2010.
SILVA, A. L. C. Governança Corporativa e Sucesso Empresarial: Melhores Práticas para
Aumentar o Valor da Firma. 2. ed. São Paulo: Saraiva, 2014.
______; LEAL, R. P. C. Governança Corporativa: Evidencias Empíricas no Brasil. São Paulo:
Atlas, 2007.
SILVA, L. M.; MACHADO, S. B. Z. Um Estudo sobre os Impactos da Lei Sarbanes-Oxley na
Área de Auditoria Interna de uma Empresa Brasileira com Ações Negociadas nos Estados
Unidos. In: CONGRESSO BRASILEIRO DE CONTABILIDADE, 18, 2008, Gramado. Anais
eletrônicos... Gramado, 2008. Disponível em:
<https://www.researchgate.net/publication/274254126_UM_ESTUDO_SOBRE_OS_IMPAC
IMP_DA_LEI_SARBANES_-
_OXLEY_NA_AREA_DE_AUDITORIA_INTERNA_DE_UMA_EMPRESA_BRASILEIR
B_COM_ACOES_NEGOCIADAS_NOS_ESTADOS_UNIDOS>. Acesso em: 12 dez. 2016.
SILVA, S. J. Gestão de Riscos Operacionais nas Indústrias de Alimentos, Bebidas e Vestuário
em Três Regiões de Desenvolvimento do Estado de Pernambuco. 2012. Tese (Mestrado em
Gestão Empresarial)–Faculdade Boa Viagem, Recife, 2012.
90
SUNDING, L.; ODENRICK, P. A Method for Action Research Interventions to Improve Joint
Problems Solving in Operational Teams in the Swedish Construction Industry. Qualitative
Research in Accounting & Management, Lund, v. 7, n. 1. p. 97-123, 2010.
SUOMALA, P.; YRJÄNÄINEN, J. L. Interventionist Management Accounting Research:
Lessons Learned. Research executive summaries series, Finlândia: p. 1-9, 2010.
______; ______; LUKKA, K. Battlefield Around Interventions: A Reflective Analysis of
Conducting Interventionist Research in Management Accounting. Management Accounting
Research, Finlândia: p. 1-11, 2014.
TARHINI, A. et al. Analysis of the Critical Success Factors for Enterprise Resource Planning
Implementation from Stakeholders’ Perspective: A Systematic Review. International Business
Research, Toronto: v. 8, n. 4. p. 25-40, 2015.
TARSO, S. Lei Anticorrupção exige das empresas estrutura de compliance. Instituto Ethos, São
Paulo, 2013. Disponível em: <http://www3.ethos.org.br/cedoc/lei-anticorrupcao-exige-das-
empresas-estrutura-de-compliance/>. Acesso em: 12 dez. 2016.
THLON, M. Review of best international practice in operational risk management. Financial
Internet Quarterly e-Finanse, Polônia, v. 7, n. 1, p. 13-22, 2011. Disponível em:
<https://www.researchgate.net/publication/272180521_REVIEW_OF_BEST_INTERNATIO
NAL_PRACTICE_IN_OPERATIONAL_RISK_MANAGEMENT>. Acesso em: 12 dez.
2016.
TOLEDO, R. F.; JACOBI, P. R. Pesquisa-Ação e Educação: Compartilhando Princípios na
Construção de Conhecimentos e no Fortalecimento Comunitário para o Enfrentamento de
Problema. Educ. Soc., Campinas, v. 34, n. 122, p. 155-173, jan.-mar. 2013.
TRAPP, A. C. G.; CORRAR, L. J. Avaliação e Gerenciamento do Risco Operacional no Brasil:
Análise de Caso de uma Instituição Financeira de Grande Porte. Revista Contabilidade &
Finanças – USP [on-line], São Paulo, n. 37, p. 24-36, jan.-abr. 2005.
TRISCIUZZI, C. R. F. A Auditoria Interna como ferramenta de melhoria dos controles internos
de uma organização: Estudo de caso em uma empresa do segmento industrial do Rio de Janeiro.
2009. Dissertação (Mestrado em Ciências Contábeis)–Universidade do Estado do Rio de
Janeiro, Rio de Janeiro, 2009.
VAN DE VEN, A. H.; JOHNSON, P. E. Knowledge for Theory and Practice. Academy of
Management Review, Minnesota: v. 31, n. 4, p. 802-821, 2006.
VERGARA, S. C. Métodos de Pesquisa em Administração. 6. ed. São Paulo: Atlas, 2015.
VIEIRA, S. Como Elaborar Questionários. São Paulo: Atlas, 2009.
WEBER, E. L. Gestão de Riscos Operacionais: um estudo bibliográfico sobre ferramentas de
auxílio. Revista de Contabilidade do Mestrado de Ciências Contábeis da UERJ, Rio de Janeiro,
v. 19, n. 3, 2014. Disponível em:
<http://www.convibra.org/upload/paper/2013/81/2013_81_8261.pdf>. Acesso em: 12 dez.
2016.
91
YIN, R. K. Estudo de Caso: planejamento e métodos. 5. ed. Porto Alegre: Bookman, 2015.
YOSHIDA, P. M. M.; REIS, J. A. G. Controle Interno nas Empresas. In: ENCONTRO
LATINO-AMERICANO DE INICIAÇÃO CIENTÍFICA, 11, 2005, São José dos Campos.
Anais... São José dos Campos: Universidade do Vale do Paraíba, 2005. p. 709-712.
92
ANEXO
Anexo 1 – Questionário Utilizado na Entrevista Estruturada
QUESTIONÁRIO ESTRUTURADO
Projeto Implementação do Gerenciamento de Riscos Operacionais na área de Recebimento
Integrado
Nome Completo
Local de trabalho
Tempo de trabalho no RI
QUESTÕES
1. Com base na lista de processos apresentada, qual delas os riscos informados estão
enquadrados?
Validação e digitação de notas fiscais.
Reversão de documentos fiscais.
Controle de notas fiscais referente a produtos da empresa em poder de terceiros e
produtos de terceiros em poder da empresa.
Cadastro de fornecedores.
Armazenamento de documentos fiscais.
2. Existem leis ou regulamentações aplicáveis aos processos que você é responsável?
3. De acordo com os dados informados na “Planilha de Levantamento de Riscos da área de
RI”, quais as bases que levaram à classificação dos riscos apontados?
4. Analisando os fluxos operacionais dos processos sob a sua responsabilidade, existem
outros riscos que não foram apontados anteriormente?
5. Existe outro processo sob sua responsabilidade que não foi apresentado até o momento?
6. No seu entendimento, qual risco há necessidade de um indicador para acompanhamento?
Por quê?
93
ANEXO
Anexo 2 – Formulário de Avaliação do Treinamento de Riscos