MANUAIS PARA

AVALIAÇÃO DE RISCOS
Gestão de Riscos
Diretoria de Auditoria, Riscos e Compliance
 SUMÁRIO

1. Manual da Matriz de Riscos Qualitativa

2. Manual Impacto Consolidado
3. Manual do Heat Map de Riscos
4. Manual do Ponto de Decisão
5. Manual da Matriz de Coleta de Dados
6. Manual de Estimadores
7. Manual da Matriz de Riscos Quantitativa
8. Manual da Árvore de Fatores de Risco
9. Manual da Árvore de Controles
MANUAL PARA
MATRIZ DE RISCOS
QUALITATIVA
MATRIZ DE RISCOS QUALITATIVA

INTRODUÇÃO
Após a identificação dos Riscos e Fatores de Riscos, estes
deverão ser listados separadamente em dois arquivos de Excel
que serão utilizados como base para a Avaliação dos Riscos.
A Matriz de Riscos Qualitativa é produto da Avaliação
Qualitativa dos Riscos que pretende determinar uma
estimativa empírica sobre o nível de probabilidade e impacto
dos riscos identificados previamente.
A ferramenta consiste de uma planilha de Excel que deve
ajudar a classificar e identificar os riscos quanto ao seu
negócio, macroprocesso, processo, subprocesso, referência,
categoria, sigla, critérios, consequências, impactos e
probabilidade mensurados qualitativamente.
Após o preenchimento da Matriz de Riscos Qualitativa, esta
deve gerar os insumos necessários para o Heat Map e
consolidação da etapa de análise qualitativa dos riscos.
MATRIZ DE RISCOS QUALITATIVA

Para preencher a Matriz de Riscos Qualitativa, a equipe de riscos

precisa entrevistar especialistas e pessoas envolvidas nesses riscos e
processos relacionados, a fim de determinar uma estimativa sobre o
nível de impacto e probabilidade, a partir do conhecimento empírico
ou eventualmente informações objetivas e disponíveis, como contas
contábeis e outras referências imediatas.

Para a classificação quanto à probabilidade é utilizada a escala de

probabilidade qualitativa abaixo:

Probabilidade Frequência
Percentual
PROBABILIDADE QUALITATIVA
90% chance de ocorrência. P(E) > Uma ou mais ocorrências em 1
Quase Certo
0.9 mês
Entre 65% e 90% de chance de
Provável Uma ocorrência em 2 meses
ocorrência. 90% > P(E) > 65%
Entre 35% e 64,99% de chance de
Possível Uma ocorrência em 1 anos
ocorrência. 65% > P(E)> 35%
Entre 10% e 34,99% de chance de
Improvável Uma ocorrência em 2 anos
ocorrência. 35% > P(E) > 10%
Abaixo de 10% de chance de
Raro Uma ocorrência em 5 anos
ocorrência. P(E) < 10%

Definição da escala para

cada tipo de frequência ou
Escala de probabilidade
Probabilidade
MATRIZ DE RISCOS QUALITATIVA

A classificação dos impactos qualitativos é dividida em quatro tipos:

financeiro, imagem, regulamentação,continuidade, saúde e segurança e
recursos humanos.

Os especialitas envolvidos no risco devem ser entrevistados pela

equipe de riscos e gerarem valores relativos aos impactos qualitativos
na Matriz de Riscos Qualitativa baseados nas seguintes escalas de
impacto:

Tipo de Impacto

IMPACTO QUALITATIVO IMPACTO QUALITATIVO

Financeiro Imagem

Extremo Acima de 4mi Danos de imagem na

Extremo
mídia nacional

Elevado 3mi a 4mi Danos de imagem na

Elevado
mídia regional

Moderado 2mi a 3mi Danos na imagem na

Moderado
mídia local

Mínimo 1mi a 2mi Reclamações de

Mínimo
Clientes

Insignificante 0 a 1mi Insignificante Inexistente

Definição da escala
Escala de para o tipo de
impacto impacto
MATRIZ DE RISCOS QUALITATIVA

Os especialitas envolvidos no risco devem ser entrevistados pela

equipe de riscos e gerarem valores relativos aos impactos
qualitativos na Matriz de Riscos Qualitativa baseados nas
seguintes escalas de impacto:
MATRIZ DE RISCOS QUALITATIVA

Os especialitas envolvidos no risco devem ser entrevistados pela

equipe de riscos e gerarem valores relativos aos impactos
qualitativos na Matriz de Riscos Qualitativa baseados nas
seguintes escalas de impacto:
MANUAL PARA
IMPACTO
CONSOLIDADO
IMPACTO CONSOLIDADO

INTRODUÇÃO

O impacto consolidado é construído para a elaboração de apenas um

Heat Map de Riscos.

Sua utilização é feita logo após a definição dos impactos individuais

durante a Avaliação Qualitativa dos Riscos.

O objetivo é avaliar, conforme critérios e pesos, a significância dos

riscos de escopo, facilitando a análise, pois a construção dos impactos
pode ser consolidada em apenas um Heat Map, onde será possível
tirar conclusões e priorizar riscos para futuras avaliações mais
facilmente.

O impacto consolidado é uma planilha de Excel, onde já foram

definidos os pesos através de uma metodologia definida no Guia de
Avaliação de Riscos. A operacionalização se faz simplesmente
inserindo as informações em cada linha de risco.
IMPACTO CONSOLIDADO

A ferramenta é estruturada em uma planilha de Excel que contém

uma tabela que deve ser preenchida com os impactos para cada
categoria de impacto, sendo apresentado na última coluna o
impacto consolidado.

Caso o número de riscos do escopo seja maior do que o número de

linhas inseridas, sugere-se inserir linhas no meio da matriz. Caso a
linha seja inserida ao final, as fórmulas podem não acompanhar as
alterações.
MANUAL PARA
ELABORAÇÃO DO
HEAT MAP DE RISCOS
HEAT MAP DE RISCOS

INTRODUÇÃO

A etapa de Avaliação Qualitativa dos Riscos envolve o preenchimento

da Matriz Qualitativa dos Riscos e a elaboração do Heat Map, que
deve consolidar esta etapa a fim de gerar o produto final utilizado no
Ponto de Decisão 1.

O Heat Map é um gráfico que irá classificar os riscos quanto à

probabilidade e impacto qualitativos. Os valores gerados pela Matriz
Qualitativa dos Riscos serão plotados nos Heat Map de cada tipo de
impacto: financeiro, imagem, regulamentação. continuidade, saúde e
segurança e recursos humanos. E em seguida poderá ser feita a
consolidação destes seis gráficos em um Heat Map Consolidado que
gerará as seguintes classificações:
• Risco Baixo (RB)
• Risco Moderado (RM)
• Risco Alto (RA)
• Risco Extremo (RE)
HEAT MAP DE RISCOS

Do gráfico acima obtemos, por exemplo, para o valor esperado financeiro

de um risco, a seguinte fórmula:

Ex: Probabilidade Provável x Impacto Financeiro Extremo = RE (Risco Extremo)

HEAT MAP DE RISCOS

Primeiramente, são elaborados seis Heat Map para cada tipo de

impacto: financeiro, imagem, regulamentação, continuidade, saúde e
segurança e recursos humanos. Deve-se utilizar os valores gerados na
Matriz Qualitativa de Riscos.

Tipo de Impacto

Classificação
de acordo com
a escala

Matriz Qualitativa de
Riscos
HEAT MAP DE RISCOS
HEAT MAP DE RISCOS

Após a elaboração dos seis gráficos para cada tipo de impacto, pode-se
consolidar os resultados em um único Heat Map através do Impacto
consolidado.
MANUAL PARA
EXECUÇÃO DO
PONTO DE DECISÃO
PONTO DE DECISÃO

INTRODUÇÃO

A partir das análises realizadas é possível obter um ranking dos

Riscos que devem seguir para uma análise mais aprofundada dos
fatores de riscos.

O Ponto de Decisão é uma planilha de Excel que tem como objetivo

registrar e justificar a seleção desses riscos para as próximas etapas.

Os requisitos mínimos para a passagem é a rastreabilidade do risco, a

possibilidade de coleta de dados e a possibilidade de atuação nos
fatores de riscos (causas) existentes. Caso não haja disponibilidade
de dados, deve-se construir um plano de coleta de informações com
a área de escopo.

Não possuindo rastreabilidade ou não sendo possível atuar nos

fatores de risco, podem ser definidos controles finalísticos para o
risco (como, por exemplo, a terceirização do risco).
PONTO DE DECISÃO

PREENCHIMENTO DA PLANILHA

A ferramenta para apoio ao Ponto de Decisão é representada pelo

preenchimento da planilha de Excel abaixo:

A conclusão desta etapa contempla a finalização de uma Análise para

o encaminhamento da análise seguinte.
MANUAL PARA
MATRIZ DE COLETA
DE DADOS
MATRIZ DE COLETA DE DADOS

INTRODUÇÃO

Após a análise do Ponto de Decisão, os riscos priorizados seguem para

a Avaliação Quantitativa dos Riscos. O primeiro passo desta fase,
consiste do preenchimento da Matriz de Coleta de Dados.

A Matriz de Coleta de Dados é uma planilha de Excel que tem como

objetivo identificar, organizar e gerenciar os dados e os tipos de coleta
necessários para o cálculo dos Estimadores a serem usados durante a
quantificação.

Esta planilha pode ser modificada sempre que for necessário no

processo de quantificação de riscos.
MATRIZ DE COLETA DE DADOS

A Matriz de Coleta de Dados é preenchida pela equipe de riscos

juntamente com os especialistas e pessoas envolvidas nos riscos.
MANUAL PARA
ELABORAÇÃO DE
ESTIMADORES
ESTIMADORES

INTRODUÇÃO

Os Estimadores servem como direcionadores da coleta de dados e

são importantes variáveis na quantificação de riscos. Possuem
como base premissas de quantificação que serão apontadas em sua
descrição e detalhamento.

Há dois tipos de estimadores: probabilidade e impacto. O primeiro

refere-se à probabilidade de ocorrência do evento com base em
contagem em ocorrências definidas. Já o estimador de impacto deve
avaliar o valor quantitativo quando o risco se materializar.

Os Estimadores são calculados e registrados em um ferramenta em

Excel que possui duas planilha: uma referente aos dados coletados a
partir da base de coleta (matriz de coleta de dados) e outra
referente à descrição e cálculo do estimador.
ESTIMADORES
Cada risco possui dois estimadores: um para o impacto financeiro e
outro para o impacto de imagem. Apenas esses dois tipos de
impacto permitem mensuração e obtenção de estimadores.

O arquivo de Excel utilizado para o cálculo e registo do estimador

possui duas planilhas:
ESTIMADORES
A primeira planilha nomeada como “Dados” refere-se aos dados que
serão usados para o cálculo do estimador do risco. Os dados a serem
analisados foram definidos pela equipe de riscos juntamente com os
especialistas envolvidos no risco e coletados a partir de bases de coleta,
que foram registradas na Matriz de Coleta de Dados.
ESTIMADORES
A segunda planilha nomeada como “Estimadores” refere-se ao cálculo
e registro do Estimador.
ESTIMADORES
Ao final da planilha de Estimadores, calcula-se a exposição ao risco que
tem como objetivo avaliar e apoiar a seleção dos riscos que compensarão
uma análise mais aprofundada.
A exposição ao risco apresenta as seguintes colunas:

Tipo: Nesta coluna define-se a “Exposição

ao Risco”
Sigla: O valor esperado é
representado pela sigla “VE”
Resultado: Valor
Premissa parametrizado
Principal: Fonte de Dados: através dos dados
Explicação da Origem dos dados inseridos na
lógica do valor utilizados no fórmula do valor
esperado cálculo esperado

Consistência da Premissa : Fórmula: Status:

Confiabilidade dos dados e Equação do valor Resultado do
da premissa a ser analisada esperado: impacto ranking de escolha
x frequência x para uma análise
período mais aprofundada

O cálculo do valor esperado é realizada pela frequência x valor do

impacto x período.

O período deve ser o mesmo para todas as análises. O recomendado é

utilizar o período anual (12 meses), pois isso facilitará interpretações e
conclusões sobre o risco.
MANUAL PARA
MATRIZ DE RISCOS
QUANTITATIVA
MATRIZ DE RISCOS QUANTITATIVA

INTRODUÇÃO

A Análise Quantitativa é sintetizada na Matriz de Riscos Quantitativa em

que as informações obtidas do Ponto de Decisão, da Matriz de Coleta de
Dados e do cálculo dos Estimadores são compiladas nesta ferramenta
em Excel que apresenta quatro planilhas: Riscos e Heat Map Log.
A partir dessa Matriz, obteremos a informação necessária para dar
continuidade à avaliação de riscos.

Planilha “Riscos”

Heat Map Quantitativo

MATRIZ DE RISCOS QUANTITATIVA

Para preencher a Matriz de Riscos Quantitativa, a primeira planilha

“Riscos” deve ser preenchida com as seguintes informações:
MATRIZ DE RISCOS QUANTITATIVA

Para preencher a Matriz de Riscos Quantitativa, a primeira planilha

“Riscos” deve ser preenchida com as seguintes informações:
MATRIZ DE RISCOS QUANTITATIVA

A partir do preenchimento da planilha “Riscos” é gerado

automaticamente o Heat Map Log que demonstra graficamente os
Riscos que devem ser priorizados para uma análise mais aprofundada
dos fatores de riscos.

Heat Map Quantitativo

Neste exemplo, foi utilizada a função logarítimica como um artifício de

organização e melhor distribuição dos riscos obtidos
quantitativamente, conforme sua ordem de grandeza. Para esta
avaliação, podem ser usados outros parâmetros, conforme decisão
estratégica sonre a melhor forma de utilizar a ferramenta para apoio à
decisão.
MANUAL PARA
ÁRVORE DE FATORES
DE RISCOS
ÁRVORE DE FATORES DE RISCOS

INTRODUÇÃO

Os riscos que forem priorizados no Ponto de Decisão 2 serão

conduzidos para uma análise mais aprofundada dos seus fatores de
risco. A elaboração da árvore de causa e consequência entre o risco
avaliado e seus fatores de riscos permite uma melhor visualização das
causas com os evento de risco. As árvores de Causa e Consequência
são elaboradas no Microsoft Visio e devem obedecer a uma
simbologia.

R 13.3 Compras e
Contratações de Serviços
realizados em condições
comerciais desfavoráveis para
a Companhia (Demais
produtos

FR5.Insumos específicos
FR3.. Compras em baixa ou controlados
quantidade fornecidos por pequeno
FR20. Não atendimento ao
grupo de fornecedores
processo de cotação

FR15.(R12). Compras e
FR21. Favorecimento de
contração de serviços FR4. Compra de urgência (com
Fornecedor no processo de
não aprovados prazos curtos de entrega)
cotação
devidamente

FR22.Ausência de
assertividade no
planejamento

Modelo
ÁRVORE DE FATORES DE RISCOS

Para a elaboração da Árvore, é importante a realização de uma

reunião entre a gerência de riscos e área do escopo, pois juntos
devem realizar um exercício exaustivo de identificação de toda a
cadeia de fatores de risco, visualizando todos os relacionamentos e
pontuando possibilidades e necessidades de quantificações
envolvidos.

A elaboração requer bastante atenção pois não deve-se esquecer

nenhum fator de risco, pois uma árvore mal definida e mal
construída pode trazer uma visão diferente da realidade, indicando
relacionamentos inexistentes e dando margem para conclusões
equivocadas.
ÁRVORE DE FATORES DE RISCOS

Cada risco deve ter sua árvore de fatores de riscos e seguir a

simbologia abaixo:

Evento de Risco: é o evento inicial que ocasiona os impactos

diretamente.

Evento intermediário: são fatores de risco que causam

demais eventos

Evento Externo: são eventos existentes mas que não estão

ao alcance da companhia para rastreá-lo ou controlá-lo

Evento Raiz: são eventos, pertencentes ao escopo, que não

possuem causas que o antecedem.
ÁRVORE DE FATORES DE RISCOS
Cada risco deve ter sua árvore de fatores de riscos e seguir a
simbologia abaixo de conectores:

Conector “E”: Esse conector indica que todos os

eventos de causa precisam ocorrer para que o evento
acima ocorra.
Considerando um evento A, B e C, sendo B e C causas
de A com Conector “E”. Logo:
Dado que A ocorra, obrigatoriamente B e C ocorreram.
Dado que ocorreu B e/ou C, não pode-se afirmar que A
ocorrerá.

Conector “OU”: Esse conector indica que a ocorrência

de qualquer uma das causas acarretarão na ocorrência
do evento acima.
Considerando um evento A, B e C, sendo B e C causas
de A com Conector “OU”. Logo:
Dado que A ocorra, obrigatoriamente B ou C
ocorreram.
Dado que ocorreu B e/ou C, não pode-se afirmar que A
ocorrerá.
MANUAL PARA
ÁRVORE DE
CONTROLES
ÁRVORE DE CONTROLES

INTRODUÇÃO

A partir do desenvolvimento da Árvore de Fatores de Riscos, a

próxima etapa da Avaliação de Fatores de Riscos é inserção ou
ajuste de Controles.

Os controles são atividades inseridas no processo, automáticas

ou manuais, que tem como objetivo mitigar ou minimizar os
riscos existentes na companhia.

Para registrar a atuação dos controles é feita uma árvore

similar à Árvore de Fatores de Riscos com a identificação dos
controles nos eventos que estes devem a vir atuar.
ÁRVORE DE CONTROLES
A partir da Árvore de Fatores de Riscos, insere-se a simbologia dos
controles definidos pela Gerência de Riscos e área do escopo.

É possível a existência de vários controles em

apenas um evento, assim como um controle
poderá afetar vários eventos.

R 13.3 Compras e
Contratações de Serviços
realizados em condições
comerciais desfavoráveis para
a Companhia (Demais
produtos C1

FR5.Insumos específicos
FR3. Compras em baixa ou controlados
quantidade fornecidos por pequeno
FR20. Não atendimento ao
grupo de f ornecedores
processo de cotação
C3 C15 C16

C4 C17

C18

FR15.(R12). Compras e
FR21. Favorecimento de
contração de serviços FR4. Compra de urgência (com
Fornecedor no processo de
não aprovados prazos curtos de entrega)
cotação
devidamente
C18 C10 C19

FR22.Ausência de
assertividade no
planejamento

Modelo C5

Controle: é a atividade relacionada ao

evento que possui potencial para
C1 mitigação do risco, para diminuição na
frequência dos eventos ou na redução dos
impactos de cada evento.

Cada risco deverá ter sua Árvore de Controles e é importante que

seja inserida a legenda dos controles