Última Atualização 24 de abril de 2025
No gerenciamento de riscos, uma das etapas cruciais é a definição de respostas adequadas aos riscos identificados. Após avaliar os riscos, a organização precisa escolher como abordá-los para minimizar seus impactos negativos ou até mesmo aproveitar oportunidades. As principais respostas a riscos podem ser classificadas em quatro categorias: evitar, reduzir, compartilhar e aceitar.
- Evitar: Implica a decisão de interromper ou descontinuar atividades que geram riscos. Essa abordagem pode ser adotada quando os riscos são considerados altos demais ou incontroláveis, e a atividade em questão não é essencial para os objetivos organizacionais.
- Reduzir: Envolve a adoção de medidas que diminuam tanto a probabilidade quanto o impacto do risco. Isso pode incluir ações preventivas ou corretivas para controlar ou mitigar os efeitos negativos do risco, como a melhoria de processos ou a implementação de novos controles internos.
- Compartilhar: Nesta abordagem, a organização transfere parte do risco para outra parte. Isso pode ser feito por meio de seguros, contratos de terceirização ou outras formas de transferência, permitindo que o impacto e a probabilidade do risco sejam distribuídos entre as partes envolvidas.
- Aceitar: Quando a organização decide não tomar nenhuma medida específica para reduzir o risco, mas aceitar o impacto caso ele se concretize. Essa resposta é geralmente adotada quando o custo de mitigação do risco é maior do que o impacto potencial que ele possa causar.
Essas respostas são escolhas estratégicas baseadas no apetite ao risco da organização, ou seja, na quantidade de risco que ela está disposta a assumir para alcançar seus objetivos. As respostas a riscos devem ser alinhadas com as metas organizacionais e com a capacidade de lidar com os possíveis impactos negativos ou positivos que os eventos possam gerar.
CEBRASPE (2018):
QUESTÃO CERTA: A administração de uma universidade estadual identificou e avaliou os riscos associados com a gerência da residência estudantil: concluiu que a referida gerência não possuía internamente os requisitos necessários e as funcionalidades para administrar eficazmente essa grande propriedade residencial, razão pela qual optou por terceirizar a administração da residência para uma empresa especializada, que, entre outros fatores, tivesse condições de reduzir o impacto e a probabilidade de riscos. De acordo com o COSO, a categoria de resposta a risco descrita na situação hipotética apresentada é: compartilhar.
As respostas a riscos classificam-se nas seguintes categorias:
- EVITAR – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão.
- REDUZIR – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até́ mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decisões do negócio no dia-a-dia.
- COMPARTILHAR – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade.
- ACEITAR – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos.”
Fonte: COSO – Gerenciamento de Riscos Corporativos – Estrutura Integrada.
FUNDATEC (2025):
QUESTÃO ERRADA: Estatística é o nível de risco que uma organização está disposta a aceitar na busca de seus objetivos.
O conceito descrito está mais relacionado ao risco aceitável ou apetite ao risco de uma organização do que à estatística propriamente dita. Estatística é uma disciplina que coleta, organiza, analisa e interpreta dados para ajudar a fazer previsões ou tomar decisões informadas. Já o nível de risco aceitável refere-se à quantidade de risco que uma organização está disposta a assumir ao buscar seus objetivos, levando em consideração a possibilidade de ocorrência de eventos adversos e suas consequências.
Esse nível de risco é determinado pela gestão da organização com base em sua estratégia, objetivos e recursos disponíveis, bem como na sua capacidade de gerenciar as incertezas e eventos que possam afetar a realização de seus objetivos. O risco aceitável envolve equilibrar a busca por oportunidades com a proteção contra ameaças, ajustando-se de acordo com a tolerância da organização para lidar com a incerteza.
Exemplo: Uma empresa pode decidir que está disposta a aceitar um determinado risco financeiro, como investir em novos mercados, desde que o retorno esperado compense o risco assumido. Esse apetite ao risco é uma parte crítica da estratégia organizacional e deve ser alinhado com a capacidade de gestão do risco.
Portanto, embora a estatística forneça ferramentas para medir e analisar o risco, o nível de risco aceitável é uma decisão estratégica que a organização deve tomar de acordo com seus objetivos e sua abordagem geral de gestão de riscos.
CEBRASPE (2013):
QUESTÃO ERRADA: Após o tratamento de riscos, a aceitação do risco residual é mandatória, independentemente do nível desse risco.
O tratamento de riscos é a tomada de decisões pela Diretoria Executiva com a supervisão do Conselho de Administração, e com base na matriz de avaliação de riscos residuais e dentro dos limites de apetite aos riscos.
Envolve a seleção de uma ou mais opções para mitigar os riscos e a implantação dessas opções na realização dos seus objetivos.
Uma vez implantado, o tratamento fornece novos controles ou modifica os existentes.
As alternativas para Tratamentos dos Riscos classificam-se da seguinte forma:
a) eliminar as atividades que geram o evento de risco;
b) diminuir a probabilidade de ocorrência e/ou a magnitude de impacto do evento de risco;
c) transferir ou compartilhar de parte do evento de risco; e
d) aceitar o evento de risco.
CEBRASPE (2013):
QUESTÃO ERRADA: Se uma organização estiver envolvida com a mitigação de riscos, então ela deverá estabelecer e implantar ações para que os riscos sejam eliminados.
CEBRASPE (2012):
QUESTÃO ERRADA: A avaliação de riscos é um dos aspectos contemplados pela estrutura de controle interno. A resposta ao risco considera não apenas as hipóteses de sua eliminação ou redução, mas também as de sua aceitação ou compartilhamento.
Segundo o COSO I, o processo de avaliação de riscos da entidade inclui a maneira como a administração identifica riscos de negócio relevantes. Além disso, inclui também a forma como estima a sua significância, avalia a probabilidade de sua ocorrência e decide por ações para responder (evitar, reduzir, compartilhar ou aceitar), e administrar tais riscos e os resultados dessas ações.
Resposta a Risco – Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
