MATRIZ DE RISCO

1 APRESENTAÇÃO

No contexto atual de gestão de riscos e controles internos

nas empresas, uma estratégia utilizada é a de implementar

ou aprimorar os controles internos com base

na identifi cação e mensuração dos riscos empresariais

(MARTIN et al., 2004; SPIRA, 2003; BERGAMINI JUNIOR,

2005). É possível considerar a existência de duas abordagens

de mensuração de riscos, a qualitativa e a quantitativa

(CROUHY; GALAI; MARK, 2004). Em ambas, a mensuração

é defi nida a partir do conhecimento das variáveis

freqüência (ou probabilidade de ocorrência) e severidade

(ou impacto fi nanceiro), associadas aos eventos de perdas

identifi cados nos processos das empresas. Pela abordagem

qualitativa, o nível de risco é avaliado a partir da atribuição

de critérios de classifi cação à freqüência e à severidade, enquanto

pela abordagem quantitativa o risco é avaliado por

modelos probabilísticos (ver JORION, 2003; CRUZ, 2002).

Neste artigo, considera-se a abordagem qualitativa.

Uma das técnicas empregadas para avaliação qualitativa

de riscos é o processo de auto-avaliação conhecido

como Control Self Assessment (CSA), que consiste em

avaliar, de maneira descentralizada e contínua, a efetividade

dos controles e a potencialidade (freqüência versus

severidade) dos riscos, possibilitando a detecção de exposições

indesejadas e a implementação de medidas corretivas

(WADE; WYNNE, 1999). O processo de auto-gestão

pode ser implantado através de dois métodos básicos: o

mapeamento de processos (process mapping) e a aplicação

de questionários (check lists) de controles internos (BCBS,

2003). O uso desses métodos tem produzido bons resultados

no que se refere à identifi cação dos riscos que afetam

as atividades empresariais, à avaliação dos níveis de exposição

e à defi nição de planos de melhoria que conduzam a

empresa a um ambiente de controle adequado. Por outro

lado, tais métodos se mostram limitados quando se trata

de detectar situações em que os controles implementados

estejam aquém do necessário ou confi gurem um dispêndio

excessivo em controles para aqueles riscos que não representam

um potencial de perda relevante.

Há, portanto, um problema de otimização da relação

entre o nível de controle desejado e os custos de implementação

dos controles necessários. Considerações sobre

a natureza desse problema são apresentadas pelo COSO

(2004), que reconhece a existência de restrições de recursos,

de tal forma que as empresas devem considerar os

custos e os benefícios associados a cada alternativa de

controle.

Nesse contexto, este artigo apresenta uma metodologia

de mensuração do nível de controle de riscos, a partir da

construção de um índice de desempenho de controle, composto

pela capacidade de os controles mitigarem os riscos

e pela efi cácia dos controles implantados. A metodologia

possibilita ao gestor de riscos identifi car para quais riscos é

necessário melhoria de controle, quais possuem controles

adequados e quais controles em excesso. Para isso, defi nese

uma matriz de desempenho de controle, a partir da qual

é possível estabelecer regiões de prioridade de melhoria dos

controles em função do nível de tolerância ao risco. A aplicação

da metodologia viabiliza a alocação ótima dos recursos

disponíveis para implantação de planos de ação para minimizar

a exposição a riscos, à medida que auxilia o gestor de

riscos

...