Artigo
19/11/2025

Apetite aos Riscos: Conceito e Definição da Escala do Apetite e das Categorias dos Riscos

Explica o conceito de apetite ao risco, diferencia tolerância e apresenta escalas e categorias para gestão empresarial.

Avatar Luiz Henrique Lobo

Registros selecionados

Imagem de capa do artigo

O apetite ao risco é um conceito fundamental na gestão de riscos, pois é quem determina o nível de risco que uma empresa está disposta a aceitar em busca de seus objetivos estratégicos. Por isso mesmo a compreensão clara do apetite ao risco é importante para as empresas ao orientar as decisões de gestão e as operações diárias, assegurando que os riscos assumidos estão alinhados com a missão e a visão organizacionais.

O apetite ao risco é muitas vezes usado nas empresas sem uma definição muito clara, aonde quase sempre os termos "apetite ao risco" e "tolerância ao risco" são usados de forma imisturada para se referir à mesma coisa, embora representem conceitos ligeiramente diferentes. O apetite ao risco refere-se ao nível de risco que uma empresa está disposta a aceitar para alcançar seus objetivos estratégicos, enquanto a tolerância ao risco é o nível de risco que a empresa pode suportar.

A compreensão e a definição do apetite ao risco são importantes porque proporcionam uma estrutura que permite tomar decisões de gestão informadas, reduzir incertezas, melhorar a consistência nas mecânicas de governança e decisão, focar em áreas prioritárias e informar sobre revisões de gastos e priorização de recursos.

Conceitos de Riscos

  • Risco Atual: Este conceito representa o nível de risco no qual a empresa está operando atualmente, ou seja, o estado padrão de operação da empresa, onde o nível de risco é aceito por padrão porque a paralisação das atividades não é uma opção. Neste nível, os riscos são gerenciados ativamente para alinhar as operações com os níveis de tolerância ou apetite ao risco desejados. Este é o ponto de partida para o gerenciamento de riscos.
  • Risco Tolerável: A posição de risco tolerável reflete o nível de risco com o qual a empresa está disposta e consegue operar, considerando as restrições atuais, como recursos financeiros e capacidades operacionais. Este nível de risco é equilibrado com a posição financeira e os objetivos e missão organizacionais delineados. A posição de risco tolerável é dinâmica e pode diminuir conforme a empresa otimiza sua posição de risco, alinhando-a mais de perto com a posição de risco ótima.
  • Risco Ideal: Esta é a posição de risco que a empresa almeja alcançar, alinhada com sua missão organizacional e pelos objetivos estratégicos, sendo o nível ideal de risco que a empresa gostaria de manter para maximizar suas oportunidades enquanto gerencia efetivamente seus riscos. É uma meta estratégica que guia a tomada de decisão e a alocação de recursos dentro da gestão de riscos.

O movimento da posição de risco atual para a posição de risco ótima passa pela posição de risco tolerável, com objetivo de gerenciar e reduzir os riscos de forma que a posição de risco atual se aproxime progressivamente da posição de risco ideal, passando pela posição de risco tolerável. À medida que a empresa otimiza sua abordagem de risco, espera-se que a faixa de risco tolerável se estreite, indicando uma gestão de riscos mais eficaz e um alinhamento mais estreito com os objetivos estratégicos.

Ao desenvolver seu apetite ao risco a empresa deve considerar não apenas as normas do setor em que atua, mas principalmente sua própria cultura e seus processos de governança e tomada de decisão. Na prática o uso de uma abordagem mais técnica e quantitativa sempre é o melhor caminho, e certamente aonde todos devem querer chegar, algo mais fácil para empresas já caminhando nesta jornada da gestão de riscos e com maturidade de risco desenvolvida. Por outro lado em empresas onde a cultura de gestão de riscos está sendo desenvolvida, o melhor é sempre começar com algo qualitativo e mais simples, até para melhorar o engajamento.

A aplicação de declarações de apetite ao risco (conhecidas entre os bancos como RAS) deve fornecer uma estrutura para a empresa operar, descrevendo resultados aceitáveis e orientando decisões. Lembrando de que estas declarações devem ser dinâmicas e atualizadas conforme necessário para refletir mudanças significativas no contexto operacional, sejam elas sociais, econômicas ou políticas. O risco deve ser considerado regularmente como parte do fluxo normal de informações de gestão sobre as atividades e em decisões significativas sobre estratégia, novos projetos importantes e outros compromissos de priorização e alocação de recursos.

Ao tomar decisões com a visão do apetite deve-se olhar:

  • Os benefícios pretendidos justificam a gama de resultados.
  • Os resultados plausíveis estão dentro do apetite atual.
  • Os recursos disponíveis podem ser realocados, se necessário, para permitir que os benefícios sejam realizados dentro do apetite declarado.
  • As consequências de tomar uma decisão que poderia estar fora das posições de risco ótimas ou toleráveis da empresa foram aceitas transparentemente.

Como parte dos processos de planejamento estratégico, deve-se considerar o grau de certeza com que os recursos disponíveis podem realizar resultados estratégicos ou políticos e se qualquer lacuna está dentro de seu apetite ao risco, assim como se os recursos estão sendo realocados à medida que o investimento é reequilibrado, qualquer mudança nos níveis de desempenho ou confiança na entrega de resultados deve ser revisada contra seu apetite ao risco.

As declarações de apetite ao risco determinam as posições ótimas e toleráveis, facilitando comunicar expectativas e garantir tomada de decisão eficaz. Além disso, sua consideração pode formar evidências para informar e apoiar processos orçamentários, bem como processos internos de priorização, investimento e alocação de orçamento.

Como parte do processo de gestão de riscos, dentro do conceito da terceira linha de defesa, é importante de que os auditores internos façam uma revisão independente da declaração de apetite ao risco, olhando como foram desenvolvidas e como são aplicadas na prática dentro da tomada de decisão e no design e operação das atividades de controle. Esta revisão ajuda a garantir que o apetite ao risco esteja sendo gerenciado conforme as diretrizes estabelecidas e que as declarações de apetite ao risco refletem com precisão os limites de risco que a empresa está disposta a aceitar.

Neste sentido, na prática, os auditores internos olham os seguintes pontos relevantes:

  • Aprovação das Declarações pelo Conselho e dos Comitês de Riscos e/ou Auditoria: Como o conselho e seus comitês consideram e concordam com as declarações de apetite ao risco, garantindo que estas estejam alinhadas com os objetivos estratégicos e a capacidade de risco da empresa.
  • Processo Decisório: A maneira como a empresa define fazer decisões, como assegura que segue sua própria política, registra o contexto e as informações que estavam disponíveis no momento, e como as declarações de apetite ao risco e outros fatores foram considerados, incluindo compensações de riscos.
  • Natureza e Nível de Risco Aceito: Como a gestão reconhece o nível de risco que está sendo aceito e como estabelece parâmetros de escalada e arranjos de monitoramento para garantir que quaisquer condições estabelecidas sejam cumpridas.
  • Revisão Periódica das Declarações de Apetite ao Risco: Como a empresa periodicamente revisa suas declarações de apetite ao risco e, ao fazer isso, documenta que considerou se tinha todas as informações necessárias para apoiar e habilitar isso de maneira eficaz.

O apetite ao risco não é apenas uma diretriz teórica, mas uma ferramenta prática essencial na gestão de riscos que suporta a tomada de decisões e a realização de objetivos estratégicos, além de orientar todas as camadas da empresa, desde a alta gestão até as operações do dia-a-dia, assegurando que os riscos são entendidos, aceitos e gerenciados de forma proativa.

Vamos agora abordar alguns pontos práticos que são importantes neste processo de definição do seu apetite a riscos, e começa com a criação de uma escala de seu apetite, e normalmente gosto de usar 5 níveis, que vamos aqui separar como categorias.

A escala de apetite ao risco é uma ferramenta vital para ajudar as organizações a definir e comunicar internamente quão dispostas estão a aceitar riscos em diversas atividades e decisões. As cinco categorias de apetite ao risco — Averso, Minimalista, Cauteloso, Aberto e Ávido — descrevem diferentes níveis de tolerância ao risco que uma organização pode adotar. Vamos explorar em detalhes cada uma dessas categorias:

Categorias de Apetite ao Risco

  • Muito Baixo ou "Averso":
    • Perfil: De uma empresa conservadora, muito cuidadosa e segura, evitando riscos sempre que possível. Um perfil protetor, que valoriza demais acima de qualquer coisa a proteção contra riscos e a segurança como prioridade máxima.
    • Descrição: A principal característica dessa categoria é a evitação de riscos e incertezas na realização de entregas chave ou iniciativas. O objetivo é não assumir riscos inerentes significativos.
    • Aplicação: As atividades empreendidas são aquelas consideradas como praticamente sem risco inerente, focando em manter um ambiente de trabalho extremamente seguro e controlado, onde as chances de resultados negativos são minimizadas ao máximo.
  • Baixo ou "Minimalista":
    • Perfil: De alguém seguro, que busca minimizar os riscos, focando em segurança sem buscar grandes ganhos. Ainda de uma empresa controlada com riscos apenas minimamente aceitáveis.
    • Descrição: Há uma preferência por opções de entrega de negócios muito seguras, que apresentam um baixo grau de risco inerente, onde o potencial de benefício ou retorno não é um motor decisivo.
    • Aplicação: As atividades são escolhidas com base na sua segurança inerente, evitando quaisquer que possam apresentar riscos significativos. Essa abordagem é tipicamente conservadora, com foco em manter o status quo e evitar surpresas.
  • Médio ou "Cauteloso":
    • Perfil: De uma empresa prudente, que atua com cuidado com as decisões, equilibrando riscos e benefícios de forma cuidadosa. Seria o moderado, com uma abordagem equilibrada, nem demasiadamente arriscada nem excessivamente cautelosa.
    • Descrição: Prefere opções seguras que apresentam um baixo grau de risco inerente e apenas um potencial limitado de benefício. Está disposta a tolerar um certo grau de risco ao selecionar quais atividades realizar para alcançar entregas chave ou iniciativas, especialmente quando há um escopo identificado para alcançar um benefício significativo ou realizar uma oportunidade.
    • Aplicação: Esta categoria equilibra entre a aversão ao risco e a aceitação de riscos calculados. As atividades podem ter um grau inerente de risco mais alto, mas são consideradas controláveis. A empresa está disposta a assumir esses riscos quando há claras oportunidades de vantagens significativas.
  • Médio Alto ou "Aberto":
    • Perfil: De uma empresa mais flexível, já disposta a considerar uma variedade de opções e adaptar-se a diferentes níveis de risco. Mas com equilíbrio, que busca por um equilíbrio saudável entre risco e retorno, estando aberto a explorar oportunidades com um cálculo cuidadoso.
    • Descrição: Disposta a considerar todas as opções e escolher aquela que mais provavelmente resultará em uma entrega bem-sucedida, proporcionando um nível aceitável de benefício. Busca alcançar um equilíbrio entre uma alta probabilidade de entrega bem-sucedida e um alto grau de benefício e relação custo-benefício.
    • Aplicação: Nesta categoria a empresa está aberta a explorar novas oportunidades e não se limita estritamente a opções de baixo risco. As atividades podem potencialmente carregar ou contribuir para um alto grau de risco residual, mas são avaliadas como valendo a pena pelo retorno potencial.
  • Alto ou "Ávido":
    • Perfil: De uma empresa inovadora com forte disposição para inovar e explorar novas ideias, aceitando riscos mais altos. Assim como empreendedora, que gosta de tomar iniciativas audaciosas e arriscadas em busca de grandes recompensas.
    • Descrição: Ávido por ser inovador e escolher opções com base na maximização de oportunidades e benefícios potencialmente maiores, mesmo que essas atividades carreguem um risco residual muito alto.
    • Aplicação: A categoria mais agressiva em termos de aceitação de risco, onde a inovação e a busca por vantagens competitivas substanciais são priorizadas. A empresa está disposta a assumir riscos significativos em busca de grandes recompensas, encorajando uma cultura de inovação e aceitação de falhas como parte do processo de aprendizado e crescimento.

Essas categorias fornecem um espectro claro de como uma empresa pode se posicionar em relação ao risco, desde a aversão estrita até a aceitação entusiástica de riscos em busca de inovação e vantagens competitivas significativas.

Dito isto, mas quais são agora então as categorias de riscos, que normalmente estão nas declarações de apetite?

Cada categoria abaixo identifica diferentes aspectos de riscos que, se mal gerenciados, podem levar a consequências financeiras, reputacionais, legais, regulatórias, de segurança, ambientais, entre outras.

Vamos detalhar cada uma dessas categorias de risco que você poderia usar:

Categorias de Riscos nas Declarações de Apetite

  • Riscos Estratégicos: Muitas vezes esquecidos, estes riscos estão associados à definição e execução de estratégias que podem estar mal definidas ou baseadas em dados falhos ou imprecisos. Esses riscos surgem quando a estratégia não suporta a entrega de compromissos, planos ou objetivos devido a mudanças no macroambiente, como alterações políticas, econômicas, sociais, tecnológicas, ambientais e legislativas.
    • Muito Baixo: Evita tomar riscos com princípios ou regras estritas que limitam as ações organizacionais na busca de prioridades.
    • Baixo: Adota uma abordagem que minimiza os riscos, com atualizações estratégicas em intervalos de cinco anos ou mais.
    • Médio: Permite uma tomada de risco considerada, com revisões estratégicas a cada 3-4 anos.
    • Médio Alto: Aberta a riscos considerados, com estratégias atualizadas a cada 2-3 anos.
    • Alto: Incentiva a tomada de risco considerada com atualizações estratégicas frequentes (1-2 anos).
  • Riscos de Governança: Sua origem está nos planos, prioridades, autoridades e responsabilidades pouco claras, ou de uma supervisão ineficaz ou desproporcional da tomada de decisões e do desempenho organizacional. Esses riscos podem comprometer a integridade e eficácia da governança corporativa.
    • Muito Baixo: Evita ações com riscos associados. Todos os processos são monitorados de perto, minimizando fraudes.
    • Baixo: Considera ações de baixo risco que suportam a entrega de prioridades e objetivos com controles robustos contra fraudes.
    • Médio: Aceita ações onde os benefícios superam os riscos com controles adequados.
    • Médio Alto: Receptiva a decisões difíceis quando os benefícios superam os riscos, com controle de fraudes variando conforme o risco.
    • Alto: Pronta para tomar decisões difíceis e apoiar a tomada de risco informada, ajustando controles de fraude de acordo com o risco.
  • Riscos Operacionais: Talvez um dos principais e maiores nas empresas, que se referem a processos internos inadequados, mal projetados ou ineficazes/ineficientes que resultam em fraude, erros, serviço ao cliente prejudicado (qualidade e/ou quantidade), não conformidade e/ou falta de valor pelo dinheiro.
    • Muito Baixo: Abordagem defensiva com foco em manter e proteger, evitando inovações.
    • Baixo: Inovações evitadas a menos que sejam essenciais, com tomada de decisão centralizada.
    • Médio: Suporta inovações com demonstração clara de benefícios.
    • Médio Alto: Persegue inovações, desejando mudar práticas de trabalho estabelecidas.
    • Alto: Inovação incentivada com autoridade significativamente descentralizada.
  • Riscos Legais: Envolve riscos de transações defeituosas, reivindicações (incluindo defesas ou contrarreivindicações) ou outros eventos legais que resultam em responsabilidades ou outras perdas, ou falhas em tomar medidas apropriadas para cumprir requisitos legais ou regulatórios ou para proteger ativos, como propriedade intelectual.
    • Muito Baixo: Evita qualquer coisa que possa ser processada legalmente.
    • Baixo: Quer estar muito seguro de que ganhará qualquer processo.
    • Médio: Razoavelmente seguro de vencer processos.
    • Médio Alto: Disposta a aceitar processos legais, considerando que os ganhos superam os impactos adversos.
    • Alto: Disposta a enfrentar processos com altos benefícios potenciais, mesmo com riscos elevados de perda.
  • Riscos Físicos: Riscos decorrentes de problema com seus bens, ou de uma gestão de segurança mal projetada ou ineficaz, resultando em não conformidade e/ou danos e acidentes com os empregados, contratados, usuários de serviços ou ao público.
    • Muito Baixo: Adere a políticas estritas para compra, aluguel, disposição, construção e reforma para garantir valor.
    • Baixo: Segue políticas estritas visando boa relação custo-benefício.
    • Médio: Adota soluções acordadas que garantem valor ao dinheiro.
    • Médio Alto: Considera os benefícios das soluções acordadas que atendam aos requisitos organizacionais.
    • Alto: Aplica soluções dinâmicas para atender às necessidades organizacionais, garantindo resultados.
  • Riscos Financeiros: Talvez os mais conhecidos, que surgem de não gerenciar as finanças de acordo com os requisitos e restrições financeiras, resultando em retornos pobres de investimentos, falha em gerenciar ativos/passivos ou em obter valor pelo dinheiro dos recursos empregados, e/ou relatórios financeiros não conformes.
    • Muito Baixo: Evita qualquer impacto financeiro ou perda.
    • Baixo: Aceita a possibilidade de impacto financeiro muito limitado se for essencial.
    • Médio: Busca opções de entrega seguras com pequena perda financeira residual.
    • Médio Alto: Disposta a investir para benefício e gerenciar riscos a níveis toleráveis.
    • Alto: Investe para obter o melhor benefício possível, aceitando riscos financeiros.
  • Riscos Comerciais: Riscos provenientes de fraquezas na gestão de parcerias comerciais, cadeias de suprimentos e requisitos contratuais, resultando em desempenho pobre, ineficiência, má relação custo-benefício, fraude e/ou falha em atender aos requisitos/objetivos de negócios.
    • Muito Baixo: Risco limitado a atividades de compra de pequena escala.
    • Baixo: Apetite zero para acordos comerciais não testados.
    • Médio: Tende a manter o status quo, evitando inovações, a menos que sejam necessárias.
    • Médio Alto: Suporta inovações, com responsabilidade por decisões não críticas podendo ser descentralizada.
    • Alto: Busca inovar e desafiar práticas comerciais atuais com alta autoridade descentralizada.
  • Riscos de Pessoas: Relacionam-se a liderança e engajamento ineficazes, cultura subótima, comportamentos inapropriados, falta de capacidade e capacitação suficientes, ações industriais e/ou não conformidade com legislação de emprego/políticas de RH, resultando em impacto negativo no desempenho.
    • Muito Baixo: Mantém controle e supervisão rígidos, com autoridade limitada descentralizada e investimento em práticas padrão apenas.
    • Baixo: Autoridade de tomada de decisão mantida pela alta gestão, com investimento geralmente em práticas padrão.
    • Médio: Busca políticas seguras e padrão para pessoas, com autoridade de tomada de decisão geralmente mantida pela alta gestão.
    • Médio Alto: Disposto a investir em pessoas para criar um ambiente inovador de habilidades mistas, com responsabilidade por decisões não críticas podendo ser descentralizada.
    • Alto: Busca inovar e desafiar práticas de trabalho atuais com altos níveis de autoridade descentralizada, gerenciamento por confiança.
  • Riscos Tecnológicos: Riscos associados à tecnologia que não fornece os serviços esperados devido ao desenvolvimento inadequado ou deficiente de sistemas/processos ou falta de resiliência.
    • Muito Baixo: Evita geralmente desenvolvimentos de sistemas/tecnologia.
    • Baixo: Apenas desenvolvimentos essenciais de sistemas/tecnologia para proteger operações atuais.
    • Médio: Considera a adoção de sistemas e melhorias tecnológicas estabelecidas/maduras.
    • Médio Alto: Desenvolvimentos de sistemas e tecnologia considerados para permitir a melhoria da entrega, podendo seguir princípios ágeis.
    • Alto: Vê novas tecnologias como um facilitador chave da entrega operacional, abraçando princípios ágeis.
  • Riscos de Informação ou Dados: Riscos de não produzir dados/informações robustas, adequadas e apropriadas e de não explorar dados/informações ao seu pleno potencial.
    • Muito Baixo: Bloqueia dados e informações, acesso rigorosamente controlado, altos níveis de monitoramento.
    • Baixo: Minimiza o nível de risco devido ao potencial dano da divulgação.
    • Médio: Aceita a necessidade de eficácia operacional com riscos mitigados através de gerenciamento cuidadoso limitando distribuição.
    • Médio Alto: Aceita a necessidade de eficácia operacional na distribuição e compartilhamento de informações, minimizando o nível de controles.
    • Alto: Minimiza o nível de controles com dados e informações sendo compartilhados abertamente.
  • Riscos de Segurança: Referem-se à falha em prevenir acesso não autorizado ou inapropriado a sistemas e ativos chave do governo, incluindo pessoas, plataformas, informações e recursos. Isso engloba um subconjunto de segurança cibernética.
    • Muito Baixo: Nenhuma tolerância para riscos de segurança que causam perda ou dano à propriedade do governo, informações ou pessoas. Medidas rigorosas em vigor.
    • Baixo: Risco de perda ou dano minimizado através de medidas de segurança rigorosas.
    • Médio: Riscos de segurança limitados aceitos para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
    • Médio Alto: Risco de segurança considerado aceito para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
    • Alto: Disposto a aceitar riscos de segurança para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
  • Riscos de Projetos: Riscos que programas e projetos de mudança não estão alinhados com prioridades estratégicas e não entregam com sucesso e segurança os requisitos e benefícios pretendidos dentro do tempo, custo e qualidade esperados.
    • Muito Baixo: Abordagem defensiva para atividades transformacionais, priorizando controle e supervisão rígidos.
    • Baixo: Inovações evitadas a menos que essenciais, com autoridade de decisão mantida pela alta gestão.
    • Médio: Apoia inovações com demonstração de melhorias correspondentes no controle de gestão.
    • Médio Alto: Inovação incentivada, com decisões não críticas podendo ser descentralizadas.
    • Alto: Deseja inovar e desafiar práticas de trabalho atuais, com altos níveis de autoridade descentralizada.
  • Riscos Reputacionais: Um dos que mais me preocupa nos dias de hoje. São os riscos decorrentes de eventos adversos, incluindo violações éticas, falta de sustentabilidade, falhas sistemáticas ou repetidas ou qualidade pobre ou falta de inovação, levando a danos à reputação ou destruição de confiança e relações.
    • Muito Baixo: Zero apetite por decisões com alta chance de repercussão para a reputação da empresa.
    • Baixo: Apetite por riscos limitado a eventos onde não há chance de repercussões significativas.
    • Médio: Apetite limitado por riscos em eventos onde há pouca chance de repercussões significativas.
    • Médio Alto: Apetite por tomar decisões com potencial de expor a empresa a questionamento adicional, mas apenas onde passos apropriados são tomados para minimizar a exposição.
    • Alto: Apetite por tomar decisões que provavelmente trarão problemas com o governo adicional apenas onde os benefícios potenciais superam os riscos.

Cada uma dessas categorias abrange uma gama ampla de riscos potenciais que as organizações devem considerar e gerenciar dentro de seus processos de gestão de riscos para evitar consequências adversas significativas.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é apetite ao risco?
O apetite ao risco é um conceito fundamental na gestão de riscos, determinando o nível de risco que uma empresa está disposta a aceitar em busca de seus objetivos estratégicos. Uma compreensão clara do apetite ao risco é importante para as empresas, pois orienta as decisões de gestão e as operações diárias, assegurando que os riscos assumidos estejam alinhados com a missão e a visão organizacionais.
Qual a diferença entre apetite ao risco e tolerância ao risco?
Embora frequentemente usados de forma intercambiável, apetite ao risco e tolerância ao risco são conceitos ligeiramente diferentes. O apetite ao risco refere-se ao nível de risco que uma empresa está disposta a aceitar para alcançar seus objetivos estratégicos. Já a tolerância ao risco é o nível de risco que a empresa pode suportar.
Por que a compreensão e definição do apetite ao risco são importantes para uma empresa?
A compreensão e a definição do apetite ao risco são importantes porque proporcionam uma estrutura que permite tomar decisões de gestão informadas, reduzir incertezas, melhorar a consistência nas mecânicas de governança e decisão, focar em áreas prioritárias e informar sobre revisões de gastos e priorização de recursos.
O que é Risco Atual?
Risco Atual representa o nível de risco no qual a empresa está operando presentemente. É o estado padrão de operação da empresa, onde o nível de risco é aceito por padrão, pois a paralisação das atividades não é uma opção. Neste nível, os riscos são gerenciados ativamente para alinhar as operações com os níveis de tolerância ou apetite ao risco desejados, servindo como ponto de partida para o gerenciamento de riscos.
O que é Risco Tolerável?
A posição de risco tolerável reflete o nível de risco com o qual a empresa está disposta e consegue operar, considerando as restrições atuais, como recursos financeiros e capacidades operacionais. Este nível de risco é equilibrado com a posição financeira e os objetivos e missão organizacionais. A posição de risco tolerável é dinâmica e pode diminuir conforme a empresa otimiza sua posição de risco, alinhando-a mais de perto com a posição de risco ótima.
O que é Risco Ideal?
Risco Ideal, ou posição de risco ótima, é a posição de risco que a empresa almeja alcançar. Este nível está alinhado com sua missão organizacional e objetivos estratégicos, representando o patamar ideal de risco que a empresa gostaria de manter para maximizar suas oportunidades enquanto gerencia efetivamente seus riscos. Funciona como uma meta estratégica que guia a tomada de decisão e a alocação de recursos dentro da gestão de riscos.
Como uma empresa transita do Risco Atual para o Risco Ideal?
O movimento da posição de risco atual para a posição de risco ótima (ou ideal) geralmente passa pela posição de risco tolerável. O objetivo é gerenciar e reduzir os riscos de forma que a posição de risco atual se aproxime progressivamente da posição de risco ideal. À medida que a empresa otimiza sua abordagem de risco, espera-se que a faixa de risco tolerável se estreite, indicando uma gestão de riscos mais eficaz e um alinhamento mais estreito com os objetivos estratégicos.
Quais fatores uma empresa deve considerar ao desenvolver seu apetite ao risco?
Ao desenvolver seu apetite ao risco, uma empresa deve considerar não apenas as normas do setor em que atua, mas principalmente sua própria cultura e seus processos de governança e tomada de decisão.
Qual abordagem é recomendada para definir o apetite ao risco em empresas com diferentes níveis de maturidade em gestão de riscos?
Para empresas com maturidade de risco desenvolvida e já avançadas na jornada da gestão de riscos, uma abordagem mais técnica e quantitativa é geralmente o melhor caminho. Por outro lado, em empresas onde a cultura de gestão de riscos está em desenvolvimento, é preferível começar com uma abordagem qualitativa e mais simples, o que pode também melhorar o engajamento.
O que são declarações de apetite ao risco e qual sua função?
Declarações de apetite ao risco, conhecidas entre os bancos como RAS (Risk Appetite Statements), fornecem uma estrutura para a empresa operar. Elas descrevem resultados aceitáveis e orientam decisões. É importante que estas declarações sejam dinâmicas e atualizadas conforme necessário para refletir mudanças significativas no contexto operacional, sejam elas sociais, econômicas ou políticas. Elas determinam as posições ótimas e toleráveis de risco, facilitando a comunicação de expectativas e garantindo uma tomada de decisão eficaz, além de poderem apoiar processos orçamentários e de priorização interna.
Quais aspectos devem ser avaliados ao tomar decisões considerando o apetite ao risco?
Ao tomar decisões com a visão do apetite ao risco, deve-se olhar se:
  • Os benefícios pretendidos justificam a gama de resultados.
  • Os resultados plausíveis estão dentro do apetite atual.
  • Os recursos disponíveis podem ser realocados, se necessário, para permitir que os benefícios sejam realizados dentro do apetite declarado.
  • As consequências de tomar uma decisão que poderia estar fora das posições de risco ótimas ou toleráveis da empresa foram aceitas transparentemente.
Como o apetite ao risco se relaciona com o planejamento estratégico?
Como parte dos processos de planejamento estratégico, deve-se considerar o grau de certeza com que os recursos disponíveis podem realizar resultados estratégicos ou políticos e se qualquer lacuna está dentro do apetite ao risco da empresa. Da mesma forma, se os recursos estão sendo realocados à medida que o investimento é reequilibrado, qualquer mudança nos níveis de desempenho ou confiança na entrega de resultados deve ser revisada contra seu apetite ao risco.
Qual é o papel dos auditores internos em relação à declaração de apetite ao risco?
Dentro do conceito da terceira linha de defesa, é importante que os auditores internos façam uma revisão independente da declaração de apetite ao risco. Eles devem analisar como essas declarações foram desenvolvidas e como são aplicadas na prática, tanto na tomada de decisão quanto no design e operação das atividades de controle. Esta revisão ajuda a garantir que o apetite ao risco esteja sendo gerenciado conforme as diretrizes estabelecidas e que as declarações refletem com precisão os limites de risco que a empresa está disposta a aceitar.
Quais pontos os auditores internos devem observar ao revisar as declarações de apetite ao risco de uma empresa?
Na prática, os auditores internos devem observar os seguintes pontos relevantes:
  • Aprovação das Declarações pelo Conselho e dos Comitês de Riscos e/ou Auditoria: Como o conselho e seus comitês consideram e concordam com as declarações de apetite ao risco, garantindo que estas estejam alinhadas com os objetivos estratégicos e a capacidade de risco da empresa.
  • Processo Decisório: A maneira como a empresa define fazer decisões, como assegura que segue sua própria política, registra o contexto e as informações que estavam disponíveis no momento, e como as declarações de apetite ao risco e outros fatores foram considerados, incluindo compensações de riscos.
  • Natureza e Nível de Risco Aceito: Como a gestão reconhece o nível de risco que está sendo aceito e como estabelece parâmetros de escalada e arranjos de monitoramento para garantir que quaisquer condições estabelecidas sejam cumpridas.
  • Revisão Periódica das Declarações de Apetite ao Risco: Como a empresa periodicamente revisa suas declarações de apetite ao risco e, ao fazer isso, documenta que considerou se tinha todas as informações necessárias para apoiar e habilitar isso de maneira eficaz.
Quais são as cinco categorias de uma escala de apetite ao risco e o que caracteriza o perfil "Muito Baixo ou Averso"?
Uma escala de apetite ao risco pode ser dividida em cinco categorias: Averso, Minimalista, Cauteloso, Aberto e Ávido.A categoria Muito Baixo ou "Averso" descreve um perfil de empresa conservadora, muito cuidadosa e segura, que evita riscos sempre que possível. É um perfil protetor, que valoriza acima de tudo a proteção contra riscos e a segurança como prioridade máxima. A principal característica é a evitação de riscos e incertezas na realização de entregas chave ou iniciativas, com o objetivo de não assumir riscos inerentes significativos. As atividades empreendidas são aquelas consideradas praticamente sem risco inerente, focando em manter um ambiente de trabalho extremamente seguro e controlado.
O que caracteriza o perfil "Baixo ou Minimalista" em uma escala de apetite ao risco?
O perfil Baixo ou "Minimalista" em uma escala de apetite ao risco descreve alguém seguro, que busca minimizar os riscos, focando em segurança sem buscar grandes ganhos. Representa uma empresa controlada, com riscos apenas minimamente aceitáveis. Há uma preferência por opções de entrega de negócios muito seguras, que apresentam um baixo grau de risco inerente, onde o potencial de benefício ou retorno não é um motor decisivo. As atividades são escolhidas com base na sua segurança inerente, evitando quaisquer que possam apresentar riscos significativos, numa abordagem tipicamente conservadora.
O que caracteriza o perfil "Médio ou Cauteloso" em uma escala de apetite ao risco?
O perfil Médio ou "Cauteloso" em uma escala de apetite ao risco é de uma empresa prudente, que atua com cuidado nas decisões, equilibrando riscos e benefícios de forma cuidadosa. Seria o perfil moderado, com uma abordagem equilibrada, nem demasiadamente arriscada nem excessivamente cautelosa. Prefere opções seguras que apresentam um baixo grau de risco inerente e apenas um potencial limitado de benefício. Está disposta a tolerar um certo grau de risco ao selecionar atividades para alcançar entregas chave, especialmente quando há um escopo identificado para alcançar um benefício significativo. As atividades podem ter um grau inerente de risco mais alto, mas são consideradas controláveis e assumidas quando há claras oportunidades de vantagens.
O que caracteriza o perfil "Médio Alto ou Aberto" em uma escala de apetite ao risco?
O perfil Médio Alto ou "Aberto" em uma escala de apetite ao risco é de uma empresa mais flexível, disposta a considerar uma variedade de opções e adaptar-se a diferentes níveis de risco. Busca um equilíbrio saudável entre risco e retorno, estando aberta a explorar oportunidades com cálculo cuidadoso. Está disposta a considerar todas as opções e escolher aquela que mais provavelmente resultará em uma entrega bem-sucedida, proporcionando um nível aceitável de benefício, buscando um equilíbrio entre alta probabilidade de entrega e alto grau de benefício e relação custo-benefício. A empresa está aberta a explorar novas oportunidades e as atividades podem carregar um alto grau de risco residual, mas são avaliadas como valendo a pena pelo retorno potencial.
O que caracteriza o perfil "Alta ou Ávido" em uma escala de apetite ao risco?
O perfil Alta ou "Ávido" em uma escala de apetite ao risco é de uma empresa inovadora, com forte disposição para inovar e explorar novas ideias, aceitando riscos mais altos. Também pode ser visto como um perfil empreendedor, que gosta de tomar iniciativas audaciosas e arriscadas em busca de grandes recompensas. É ávido por ser inovador e escolher opções com base na maximização de oportunidades e benefícios potencialmente maiores, mesmo que essas atividades carreguem um risco residual muito alto. Nesta categoria, a inovação e a busca por vantagens competitivas substanciais são priorizadas, e a empresa está disposta a assumir riscos significativos, encorajando uma cultura de inovação e aceitação de falhas como parte do processo de aprendizado.
O que são Riscos Estratégicos e como diferentes níveis de apetite se aplicam a eles?
Riscos Estratégicos estão associados à definição e execução de estratégias que podem estar mal definidas ou baseadas em dados falhos ou imprecisos. Surgem quando a estratégia não suporta a entrega de compromissos, planos ou objetivos devido a mudanças no macroambiente (políticas, econômicas, sociais, tecnológicas, ambientais e legislativas).Níveis de apetite:
  • Muito Baixo: Evita tomar riscos com princípios ou regras estritas que limitam as ações organizacionais na busca de prioridades.
  • Baixo: Adota uma abordagem que minimiza os riscos, com atualizações estratégicas em intervalos de cinco anos ou mais.
  • Médio: Permite uma tomada de risco considerada, com revisões estratégicas a cada 3-4 anos.
  • Médio Alto: Aberta a riscos considerados, com estratégias atualizadas a cada 2-3 anos.
  • Alto: Incentiva a tomada de risco considerada com atualizações estratégicas frequentes (1-2 anos).
O que são Riscos de Governança e como diferentes níveis de apetite se aplicam a eles?
Riscos de Governança têm origem em planos, prioridades, autoridades e responsabilidades pouco claras, ou de uma supervisão ineficaz ou desproporcional da tomada de decisões e do desempenho organizacional. Podem comprometer a integridade e eficácia da governança corporativa.Níveis de apetite:
  • Muito Baixo: Evita ações com riscos associados. Todos os processos são monitorados de perto, minimizando fraudes.
  • Baixo: Considera ações de baixo risco que suportam a entrega de prioridades e objetivos com controles robustos contra fraudes.
  • Médio: Aceita ações onde os benefícios superam os riscos com controles adequados.
  • Médio Alto: Receptiva a decisões difíceis quando os benefícios superam os riscos, com controle de fraudes variando conforme o risco.
  • Alto: Pronta para tomar decisões difíceis e apoiar a tomada de risco informada, ajustando controles de fraude de acordo com o risco.
O que são Riscos Operacionais e como diferentes níveis de apetite se aplicam a eles?
Riscos Operacionais referem-se a processos internos inadequados, mal projetados ou ineficazes/ineficientes que resultam em fraude, erros, serviço ao cliente prejudicado (qualidade e/ou quantidade), não conformidade e/ou falta de valor pelo dinheiro.Níveis de apetite:
  • Muito Baixo: Abordagem defensiva com foco em manter e proteger, evitando inovações.
  • Baixo: Inovações evitadas a menos que sejam essenciais, com tomada de decisão centralizada.
  • Médio: Suporta inovações com demonstração clara de benefícios.
  • Médio Alto: Persegue inovações, desejando mudar práticas de trabalho estabelecidas.
  • Alto: Inovação incentivada com autoridade significativamente descentralizada.
O que são Riscos Legais e como diferentes níveis de apetite se aplicam a eles?
Riscos Legais envolvem riscos de transações defeituosas, reivindicações (incluindo defesas ou contrarreivindicações) ou outros eventos legais que resultam em responsabilidades ou outras perdas. Também incluem falhas em tomar medidas apropriadas para cumprir requisitos legais ou regulatórios ou para proteger ativos, como propriedade intelectual.Níveis de apetite:
  • Muito Baixo: Evita qualquer coisa que possa ser processada legalmente.
  • Baixo: Quer estar muito seguro de que ganhará qualquer processo.
  • Médio: Razoavelmente seguro de vencer processos.
  • Médio Alto: Disposta a aceitar processos legais, considerando que os ganhos superam os impactos adversos.
  • Alto: Disposta a enfrentar processos com altos benefícios potenciais, mesmo com riscos elevados de perda.
O que são Riscos Físicos e como diferentes níveis de apetite se aplicam a eles?
Riscos Físicos (mencionado no texto como "Riscos de Fisicos") decorrem de problemas com bens da empresa ou de uma gestão de segurança mal projetada ou ineficaz. Isso pode resultar em não conformidade e/ou danos e acidentes com empregados, contratados, usuários de serviços ou o público.Níveis de apetite:
  • Muito Baixo: Adere a políticas estritas para compra, aluguel, disposição, construção e reforma para garantir valor.
  • Baixo: Segue políticas estritas visando boa relação custo-benefício.
  • Médio: Adota soluções acordadas que garantem valor ao dinheiro.
  • Médio Alto: Considera os benefícios das soluções acordadas que atendam aos requisitos organizacionais.
  • Alto: Aplica soluções dinâmicas para atender às necessidades organizacionais, garantindo resultados.
O que são Riscos Financeiros e como diferentes níveis de apetite se aplicam a eles?
Riscos Financeiros surgem de não gerenciar as finanças de acordo com os requisitos e restrições financeiras. Isso pode resultar em retornos pobres de investimentos, falha em gerenciar ativos/passivos, falha em obter valor pelo dinheiro dos recursos empregados, e/ou relatórios financeiros não conformes.Níveis de apetite:
  • Muito Baixo: Evita qualquer impacto financeiro ou perda.
  • Baixo: Aceita a possibilidade de impacto financeiro muito limitado se for essencial.
  • Médio: Busca opções de entrega seguras com pequena perda financeira residual.
  • Médio Alto: Disposta a investir para benefício e gerenciar riscos a níveis toleráveis.
  • Alto: Investe para obter o melhor benefício possível, aceitando riscos financeiros.
O que são Riscos Comerciais e como diferentes níveis de apetite se aplicam a eles?
Riscos Comerciais provêm de fraquezas na gestão de parcerias comerciais, cadeias de suprimentos e requisitos contratuais. Podem resultar em desempenho pobre, ineficiência, má relação custo-benefício, fraude e/ou falha em atender aos requisitos/objetivos de negócios.Níveis de apetite (conforme apresentado no texto):
  • Baixo: Apetite zero para acordos comerciais não testados.
  • Muito Baixo: Risco limitado a atividades de compra de pequena escala.
  • Médio: Tende a manter o status quo, evitando inovações, a menos que sejam necessárias.
  • Médio Alto: Suporta inovações, com responsabilidade por decisões não críticas podendo ser descentralizada.
  • Alto: Busca inovar e desafiar práticas comerciais atuais com alta autoridade descentralizada.
O que são Riscos de Pessoas e como diferentes níveis de apetite se aplicam a eles?
Riscos de Pessoas relacionam-se a liderança e engajamento ineficazes, cultura subótima, comportamentos inapropriados, falta de capacidade e capacitação suficientes, ações industriais e/ou não conformidade com legislação de emprego/políticas de RH. Tudo isso pode resultar em impacto negativo no desempenho.Níveis de apetite:
  • Muito Baixo: Mantém controle e supervisão rígidos, com autoridade limitada descentralizada e investimento em práticas padrão apenas.
  • Baixo: Autoridade de tomada de decisão mantida pela alta gestão, com investimento geralmente em práticas padrão.
  • Médio: Busca políticas seguras e padrão para pessoas, com autoridade de tomada de decisão geralmente mantida pela alta gestão.
  • Médio Alto: Disposto a investir em pessoas para criar um ambiente inovador de habilidades mistas, com responsabilidade por decisões não críticas podendo ser descentralizada.
  • Alto: Busca inovar e desafiar práticas de trabalho atuais com altos níveis de autoridade descentralizada, gerenciamento por confiança.
O que são Riscos Tecnológicos e como diferentes níveis de apetite se aplicam a eles?
Riscos Tecnológicos estão associados à tecnologia que não fornece os serviços esperados devido ao desenvolvimento inadequado ou deficiente de sistemas/processos ou falta de resiliência.Níveis de apetite:
  • Muito Baixo: Evita geralmente desenvolvimentos de sistemas/tecnologia.
  • Baixo: Apenas desenvolvimentos essenciais de sistemas/tecnologia para proteger operações atuais.
  • Médio: Considera a adoção de sistemas e melhorias tecnológicas estabelecidas/maduras.
  • Médio Alto: Desenvolvimentos de sistemas e tecnologia considerados para permitir a melhoria da entrega, podendo seguir princípios ágeis.
  • Alto: Vê novas tecnologias como um facilitador chave da entrega operacional, abraçando princípios ágeis.
O que são Riscos de Informação ou Dados e como diferentes níveis de apetite se aplicam a eles?
Riscos de Informação ou Dados referem-se à falha em produzir dados/informações robustas, adequadas e apropriadas e de não explorar dados/informações ao seu pleno potencial.Níveis de apetite:
  • Muito Baixo: Bloqueia dados e informações, acesso rigorosamente controlado, altos níveis de monitoramento.
  • Baixo: Minimiza o nível de risco devido ao potencial dano da divulgação.
  • Médio: Aceita a necessidade de eficácia operacional com riscos mitigados através de gerenciamento cuidadoso limitando distribuição.
  • Médio Alto: Aceita a necessidade de eficácia operacional na distribuição e compartilhamento de informações, minimizando o nível de controles.
  • Alto: Minimiza o nível de controles com dados e informações sendo compartilhados abertamente.
O que são Riscos de Segurança e como diferentes níveis de apetite se aplicam a eles?
Riscos de Segurança referem-se à falha em prevenir acesso não autorizado ou inapropriado a sistemas e ativos chave do governo, incluindo pessoas, plataformas, informações e recursos. Isso engloba um subconjunto de segurança cibernética.Níveis de apetite:
  • Muito Baixo: Nenhuma tolerância para riscos de segurança que causam perda ou dano à propriedade do governo, informações ou pessoas. Medidas rigorosas em vigor.
  • Baixo: Risco de perda ou dano minimizado através de medidas de segurança rigorosas.
  • Médio: Riscos de segurança limitados aceitos para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
  • Médio Alto: Risco de segurança considerado aceito para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
  • Alto: Disposto a aceitar riscos de segurança para apoiar a necessidade de negócios, com verificações e equilíbrios adequados.
O que são Riscos de Projetos e como diferentes níveis de apetite se aplicam a eles?
Riscos de Projetos são riscos de que programas e projetos de mudança não estejam alinhados com prioridades estratégicas e não entreguem com sucesso e segurança os requisitos e benefícios pretendidos dentro do tempo, custo e qualidade esperados.Níveis de apetite:
  • Muito Baixo: Abordagem defensiva para atividades transformacionais, priorizando controle e supervisão rígidos.
  • Baixo: Inovações evitadas a menos que essenciais, com autoridade de decisão mantida pela alta gestão.
  • Médio: Apoia inovações com demonstração de melhorias correspondentes no controle de gestão.
  • Médio Alto: Inovação incentivada, com decisões não críticas podendo ser descentralizadas.
  • Alto: Deseja inovar e desafiar práticas de trabalho atuais, com altos níveis de autoridade descentralizada.
O que são Riscos Reputacionais e como diferentes níveis de apetite se aplicam a eles?
Riscos Reputacionais decorrem de eventos adversos, incluindo violações éticas, falta de sustentabilidade, falhas sistemáticas ou repetidas, ou qualidade pobre ou falta de inovação, levando a danos à reputação ou destruição de confiança e relações.Níveis de apetite:
  • Muito Baixo: Zero apetite por decisões com alta chance de repercussão para a reputação da empresa.
  • Baixo: Apetite por riscos limitado a eventos onde não há chance de repercussões significativas.
  • Médio: Apetite limitado por riscos em eventos onde há pouca chance de repercussões significativas.
  • Médio Alto: Apetite por tomar decisões com potencial de expor a empresa a questionamento adicional, mas apenas onde passos apropriados são tomados para minimizar a exposição.
  • Alto: Apetite por tomar decisões que provavelmente trarão problemas com o governo adicional apenas onde os benefícios potenciais superam os riscos.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

O Apetite ao Risco e a Tolerância ao Risco

Artigo

Apetite de Risco: Equilibrando oportunidades e ameaças nas Instituições Financeiras

Artigo

Estrutura de Apetite à Risco para Riscos Não Financeiros e sua Governança