Modelo de otimização de recursos financeiros para o gerenciamento de riscos empresariais
Wanderlei Lima Paulo1, Francisco Carlos Fernandes2, Marcia Zanievicz Silva2
1 Programa de Mestrado Profissional em Administração, Faculdade Campo Limpo Paulista
2 Escola Paulista de Política, Economia e Negócios, Universidade Federal de São Paulo
RESUMO
Este artigo tem por objetivo propor um modelo para determinar uma alocação ótima de recursos financeiros para a gestão de riscos empresariais, permitindo ao gestor de riscos definir uma política de controle com custo mínimo que atinja uma meta de controle desejada. O problema de estudo é apresentado na forma de um problema de otimização de custos, formulado como um modelo de programação linear inteira, cujas restrições básicas estão associadas aos níveis de controle exigidos. O modelo proposto é aplicado a um problema de alocação de recursos para o controle de riscos operacionais. Os resultados mostram que o modelo se apresenta como uma ferramenta adequada para a alocação ótima de recursos financeiros, cuja utilização proporciona melhores condições para o processo decisório da gestão de riscos empresariais.
Palavras-chave: Riscos empresariais; alocação ótima de recursos; programação linear inteira.
INTRODUÇÃO
As organizações estão expostas a diferentes tipos de riscos, que são classificados pela literatura de diversas maneiras, tais como: operacionais, financeiros, ambientais, tecnológicos, de reputação ou, ainda, riscos controláveis e não controláveis (Jorion, 2006; Subramaniam et al., 2011; Zonatto et Beuren, 2010). O risco é tipicamente definido em termos de possibilidade de perigo, perda, prejuízo ou volatilidade de resultados inesperados. Conceitos, definições e classificações de riscos empresariais podem ser vistos em Merna et Al-Thani (2008) e Chapman (2006).
No que tange à gestão de riscos empresariais, os gestores têm à sua disposição uma série de metodologias para mensurar e controlar o risco, as quais seguem as abordagens qualitativas, quantitativas ou mistas. Entre tais abordagens, cita-se Rainer et al. (1991), Miller et Waller (2003), Cornalba et Giudici (2004) e Paulo et al. (2007). Em linhas gerais, todas elas buscam contribuir para a mitigação dos riscos e garantir a eficácia dos controles internos. Neste artigo, utiliza-se da abordagem qualitativa, cujo nível de risco é definido pela composição das variáveis frequência e severidade, sendo a matriz de riscos uma ferramenta normalmente aplicada na avaliação dos riscos.
Segundo Lawrence et Sommer (2007), o limite de exposição em risco depende do apetite e da tolerância ao risco em um contexto pessoal e organizacional, porém, também está condicionado às limitações econômicas dos agentes, uma vez que, dada a existência de restrições orçamentárias, a solução ótima de minimização do risco não é, necessariamente, aquela que será implementada. Segundo Lei (2011), os gerentes de risco, para minimizarem o custo de sua mitigação, necessitam determinar o nível ótimo de seus gastos ou investimentos em gerenciamento de riscos, no entanto, essa questão tem sido pouco abordada na literatura.
Ainda em relação ao custo de mitigação do risco, Lei (2011) relata que os gerentes de risco devem ter em mente que sua função é a de maximização do valor da empresa para as partes interessadas e que o valor da empresa com risco deve se igualar ao seu valor sem risco menos o custo do risco. A meta de um gestor de risco deve ser também a de minimizar o custo total do risco. Harrington et Niehaus (2002) subdividiram o custo do risco em cinco componentes: perdas esperadas; custo para controlar as perdas; custo para financiar as perdas; custo de redução dos riscos; e custo da incerteza residual.
Paulo et al. (2007) sinalizaram a preocupação com a relação custo versus benefício de adoção de medidas de controle de riscos. Para viabilizar a alocação dos recursos disponíveis para a implantação de planos de ação para o controle de riscos, os autores propõem a utilização de uma matriz de desempenho gerada a partir da mensuração do nível de controle e do nível de importância dos riscos a serem gerenciados. Entretanto, a escolha de uma estratégia de controle é subjetiva e não considera limitações de recursos financeiros.
Nesse contexto, este artigo tem por objetivo propor um modelo para determinar uma estratégia de alocação de recursos para implantação de planos de ação para o controle de riscos empresariais, permitindo ao gestor de riscos definir uma estratégia de controle com custo mínimo e que atinja uma meta de controle desejada. O problema de estudo é formulado como um modelo de programação linear inteira, cujas restrições básicas estão associadas a um conjunto de níveis de controle exigidos (meta de controle).
Este artigo está organizado em quatro seções, incluindo esta introdução. Na seção 2, são apresentados os conceitos de matriz de risco e matriz de desempenho e controle. O modelo de otimização que permite ao gestor de riscos definir uma estratégia de controle com custo mínimo e que atinja um nível de controle desejado é proposto na seção 3. Também é apresentado um exemplo numérico com o propósito de ilustrar uma aplicação do modelo em um problema de alocação de recursos financeiros para o gerenciamento de risco operacional. Por fim, na seção 4, são apresentadas algumas considerações finais.
FUNDAMENTAÇÃO TEÓRICA
Esta seção trata dos fundamentos teóricos que suportam o desenvolvimento do modelo proposto neste artigo. Especificamente, são apresentados os conceitos e o processo de construção de uma matriz de riscos e de uma matriz de desempenho e controle.
Matriz de riscos
Pela abordagem qualitativa, o nível de risco pode ser determinado pela composição das variáveis frequência e severidade (impacto financeiro), sendo a matriz de riscos uma ferramenta normalmente aplicada na avaliação dos riscos empresariais. Exemplos de aplicações, construção e cuidados com a adoção da matriz de riscos como ferramenta de análise de risco podem ser vistos em Hewett et al. (2004), Oliveira et Cunha (2015), Macedo et Salgado (2015), Baybutt (2015) e Duijm (2015).
A matriz de riscos é construída a partir de um critério de classificação qualitativa para os níveis de frequência e de impacto, que poderá variar em função do processo avaliado, do porte da empresa, do segmento de mercado de atuação da empresa, entre outros fatores. O Quadro 1 apresenta um exemplo de classificação e parametrização de níveis de frequência e severidade.
Quadro 1. Exemplo de classificação e parametrização de níveis de frequência e severidade.
Fonte: Adaptado de Paulo et al. (2007).
A partir dos níveis de frequência e severidade, a matriz de risco é particionada em regiões que caracterizam os níveis de risco avaliados. A definição dessas regiões pode variar em função do perfil de risco do gestor, dos processos avaliados e dos produtos e serviços operacionalizados.
A Figura 1 ilustra um exemplo de matriz de riscos, com níveis de risco classificados em Baixo, Médio, Alto e Extremo. Nesse caso, as regiões de risco podem ser delimitadas com base nos valores das intensidades de risco (valores de 1 a 49), calculados pelo produto entre os pesos da variável frequência (1 a 7) e da variável severidade (1 a 7). De modo geral, pode-se considerar que os riscos situados na região de alto risco seriam indicativos de necessidade de controles mais rígidos, enquanto os riscos situados na região de baixo risco seriam um indicativo de controle adequado.
Figura 1. Exemplo de matriz de riscos com critério de classificação baseado na intensidade do risco: Baixo Risco, Médio Risco, Alto Risco e Extremo.
Fonte: Elaborada pelos autores.
Matriz de desempenho de controle
Com o intuito de viabilizar a alocação de recursos disponíveis visando à implantação de planos de ação para o controle de riscos, Paulo et al. (2007) propõem a utilização de uma matriz de desempenho de controle gerada a partir da mensuração do nível de controle e do nível de importância de risco associados a cada tipo de risco avaliado.
O nível de controle de risco k associado a determinado tipo de risco, denominado NCRk, é definido da seguinte forma:
em que e
são os pesos relativos atribuídos ao i-ésimo controle praticado e ao j-ésimo controle-padrão (em conformidade com as boas práticas de controle), respectivamente, representando o grau de capacidade de um controle estabelecido mitigar um tipo de risco avaliado.
O parâmetro
é definido por
em que são os pesos relativos atribuídos ao l-ésimo atributo de controle praticado e ao m-ésimo atributo-padrão, respectivamente, representando o grau de significância de um atributo para a eficácia de um controle na mitigação de um tipo de risco.
Atributos de controle consistem nos requisitos que caracterizam determinado controle, sendo implementados a partir de planos de ações. O nível de controle de risco poderá assumir os seguintes valores: , quando o nível de controle é igual ao padrão aceitável;
, quando o nível de controle está abaixo do padrão aceitável; e
, quando o nível de controle está acima do padrão aceitável.
Considerando uma matriz de riscos com escala de pesos para as variáveis frequência e severidade, variando de (menor peso) a
(maior peso), o nível de importância de risco,
, associado a determinado tipo de risco
pode ser escrito da seguinte forma:
em que e
são, respectivamente, os pesos atribuídos à frequência e à severidade do k-ésimo risco avaliado.
A partir das componentes e
, constrói-se a matriz de desempenho de controle. A Figura 2 apresenta um exemplo de uma matriz de desempenho de controle para cinco tipos de riscos, a partir da qual é possível, ao gestor, identificar para quais riscos é necessária alguma melhoria de controle (região de melhoria), quais possuem controle adequado (região adequada) e quais controles estão em excesso (região de excesso). A região adequada é separada em sua margem inferior pela chamada fronteira de aceitabilidade, sendo ela o nível mínimo de controle tolerável pela empresa. Por exemplo, os riscos 2, 4 e 5 situam-se na região de melhoria de controle, evidenciando a necessidade de rever a política de controle praticada. Nota-se que o risco 3 apresenta maior nível de controle comparado ao risco 1, embora o risco 1 possua maior nível de importância de risco. Nesse caso, uma possível ação seria aplicar parte dos recursos alocados no risco 3 na melhoria do nível de controle do risco 1.
De modo geral, uma política de controle aceitável seria tal que todos os riscos se posicionassem na região adequada. Por fim, ressalta-se que as regiões de melhoria, de excesso, de urgência e adequadas são definidas pelo próprio gestor, mediante o seu perfil de risco e o grau de exigência de controle.
Figura 2. Exemplo de uma matriz de desempenho de controle para cinco tipos de riscos.
Fonte: Adaptado de Paulo et al. (2007).
O método proposto por Paulo et al. (2007) possibilita identificar quais riscos apresentam níveis de controle inadequados, auxiliando o gestor de riscos na tomada de decisão em relação à alocação de recursos financeiros. Por exemplo, o gestor poderia reduzir os recursos aplicados a controles de riscos situados na região de excesso da matriz de controle e desempenho para aplicá-los a controles que situam-se na região de melhoria, contribuindo, assim, com a otimização do uso de recursos disponíveis para a implantação de planos de mitigação de riscos. Porém, caberá ao gestor decidir, com base em critérios subjetivos, quais ações (especificação de controles e atributos) devem ser implementadas visando atingir uma meta de nível de controle desejada.
Uma questão relevante no momento da tomada de decisão seria: qual a estratégia de controle com custo mínimo que atenderia ao objetivo do gestor de riscos? Na próxima seção, propõe-se um modelo matemático que tem por objetivo responder à tal questão, proporcionando ao gestor de riscos menor subjetividade na tomada de decisão para o controle de riscos empresariais.
PROCEDIMENTOS METODOLÓGICOS
Esta seção apresenta o modelo proposto para determinar uma estratégia ótima de alocação de recursos relativos à implantação de planos de ação para o controle de riscos empresariais. O modelo é aplicado em um problema de alocação de recursos financeiros para o gerenciamento de risco operacional.
Modelo proposto
Para o propósito deste artigo, define-se estratégia de controle como um conjunto de controles e seus respectivos atributos a serem praticados; e meta de controle, como um conjunto de níveis de controle desejados. O problema de alocação é colocado na forma de um problema de programação linear inteira, que visa determinar uma estratégia de controle com custo mínimo e que satisfaça a um conjunto de restrições, como: meta de controle, decisões dependentes, quantidade mínima de controles etc. Considerando os conceitos e medidas apresentados na seção 2, definem-se:
Com base no indicador (1), o nível de controle de risco associado ao k-ésimo risco, , é definido desta forma:
em que a variável e os parâmetros
são como definidos anteriormente.
O problema de otimização, em sua forma básica, consiste em encontrar um conjunto de atributos que minimize o custo total (CT) e atenda a uma meta de controle, sendo escrito da forma a seguir:
minimizar
sujeito a:
em que:
são os níveis de controle mínimo e máximo desejados associados ao k-ésimo risco. Nota-se que a solução obtida é dada por um vetor de dimensão
, cujos elementos são dados por
e
, de modo que o conjunto de controles a praticar é diretamente estabelecido a partir de
, definindo assim a estratégia de controle ótima (conjunto de controles e respectivos atributos a serem praticados).
Percebe-se que, pelas duas restrições definidas em (4), tem-se como meta de controle um conjunto de intervalos de níveis de controle, ou seja, , em que n é a quantidade de riscos avaliados. Tais restrições são consideradas como as restrições básicas do modelo proposto. Porém, além destas, outras restrições poderão ser consideradas de modo a tratarem aspectos inerentes ao processo operacional da empresa ou às normas de supervisão e regulação de controle de riscos. Por exemplo: aplicação de um requisito de controle condicionada à implantação de determinado sistema operacional (escolha dependente); requisitos de controle cuja obrigação é instituída por regulamento legal e que deverão ser incorporados nos planos de ação independentemente de seu poder de mitigação ou custo de implantação.
O modelo proposto anteriormente permite ao gestor definir uma estratégia de controle com custo mínimo, que atinja um nível de controle desejado (ou um intervalo) para cada tipo de risco. Por outro lado, tal custo mínimo poderá superar o orçamento destinado à implantação de controles de risco, o que inviabilizaria a aplicação da solução ótima obtida a partir do modelo (3)-(4). Nesse caso, uma alternativa seria reescrever o modelo inicialmente proposto como um problema de otimização por metas na presença de restrição orçamentária, de modo a obter uma estratégia de controle cujo nível de controle resultante se aproxime ao máximo do nível esperado (meta de controle). O problema consistiria em encontrar um conjunto de atributos de forma a minimizar a distância entre os níveis de controle dos riscos avaliados e seus respectivos níveis de controle desejados, podendo ser escrito da forma:
minimizar
sujeito a:
em que é o nível de controle desejado (meta);
, o nível de controle de risco associado ao k-ésimo risco definido em (2); e L, o valor máximo de recurso disponível (restrição orçamentária).
Sugere-se a aplicação desse problema quando a restrição orçamentária L for menor do que o custo mínimo obtido pela aplicação do modelo (3)-(4).
Exemplo numérico
Esta subseção apresenta uma aplicação do modelo proposto anteriormente em um problema de alocação de recursos financeiros para o gerenciamento de risco operacional. Pode-se considerar que o risco operacional está associado aos eventos de perdas inerentes ao processo operacional de uma instituição, tais como falhas de sistemas, obsolescência de equipamentos, qualificação profissional, erro de digitação, fraudes, entre outros. Estudos relacionados à análise e à mensuração de risco operacional podem ser vistos em Gonçalves et al. (2014), Urbina et Guillén (2014) e Yang et al. (2015).
Baseado no estudo de caso apresentado em Paulo et al. (2007), considera-se os seguintes tipos de riscos inerentes a um processo operacional de gestão de contratos: Risco Contratual (R1), Risco de Concepção de Processos (R2), Risco de Conformidade (R3), Risco Tributário (R4) e Risco de Terceirização (R5). Para cada tipo de risco, define-se um conjunto de controles-padrão; e para cada controle, um conjunto de atributos-padrão.
Para a aplicação do modelo proposto neste artigo, foram estabelecidos custos de implementação para cada atributo. As cinco primeiras colunas da Tabela 1 mostram, respectivamente, a relação dos riscos, dos controles, dos atributos e de seus respectivos pesos. A coluna “Custo” refere-se aos custos de implementação de cada atributo. Os atributos destacados em negrito foram definidos como atributos-padrão. A coluna “Atributos Praticados” descreve os atributos praticados após um ciclo de avaliação.
Tabela 1. Classificação dos tipos de riscos, dos controles, dos atributos e dos respectivos pesos e custos, inerentes ao processo de gestão de contratos.
Fonte: Adaptado de Paulo et al. (2007).
Considerando os dados especificados na Tabela 1, a Figura 3 apresenta a matriz de desempenho de controle resultante da aplicação dos procedimentos descritos na seção 2 para o cálculo do nível de controle (NCR) e do nível de importância dos riscos (NIR). Nota-se que os riscos de Concepção de Processos (R2), Tributário (R4) e de Terceirização (R5) apresentam níveis de controle inadequados, por situarem-se na região de melhoria. A partir desse ponto, o gestor poderia definir uma estratégia de controle (conjunto de controles e seus respectivos atributos) de modo a melhorar o nível de controle de tais riscos. Dessa forma, o modelo proposto (3)-(4) permite determinar uma estratégia de controle com custo de implantação mínimo e que atenda a uma meta de controle estabelecida (níveis de controle desejados).
Figura 3. Matriz de desempenho de controle gerada após um ciclo de avaliação de riscos, referente ao processo de gestão de contratos.
Fonte: Elaborada pelos autores.
Como exemplo de aplicação do modelo (3)-(4), considera-se uma meta de controle definida pelos seguintes níveis de controle mínimo:
, de modo que o problema fica escrito desta forma:
minimizar
sujeito a
em que é a quantidade de controles (coluna "Controles" da Tabela 1) atribuída ao k-ésimo risco (coluna "Riscos" da Tabela 1);
é a quantidade de atributos (coluna "Atributos" da Tabela 1) associada ao i-ésimo controle; e
refere-se ao custo unitário (coluna "Custo" da Tabela 1) do l-ésimo atributo associado ao i-ésimo controle do k-ésimo risco. Os níveis de controle
são especificados conforme definido em (2).
A solução do problema (5)-(6) foi obtida a partir da função BINTPROG do software Matlab. A coluna “Atributos a praticar” da Tabela 2 refere-se à respectiva estratégia de controle com custo mínimo. Nesse caso, o custo mínimo para implantar tal estratégia, calculado pela aplicação da função (5), é de . Esse custo é inferior àquele decorrente da atual estratégia de controle (conjunto de atributos definidos na coluna "Atributos praticados" da Tabela 2),
.
Tabela 2. Tipos de controle, atributos praticados e atributos a praticar (estratégia de controle ótima), referente ao processo de gestão de contrato
Fonte: Elaborada pelos autores.
A Figura 4 apresenta a matriz de desempenho de controle considerando a estratégia de controle ótima descrita na Tabela 2 (coluna “Atributos a praticar”), em que os níveis de controle de risco (identificados por “∆”) foram calculados pela expressão (1), sendo .
Nota-se que as restrições definidas em (6) foram atendidas. Portanto, pode-se concluir que o modelo de otimização proposto permitiu a escolha ótima dos controles a serem praticados, minimizando o custo de implementação e posicionando todos os riscos avaliados (R1, R2, R3, R4 e R5) na região adequada da matriz de desempenho de controle, de modo que os níveis de controle de todos os riscos puderam ser melhorados.
Figura 4. Matriz de desempenho de controle gerada a partir da estratégia de controle ótima, referente ao processo de gestão de contrato.
Fonte: Elaborada pelos autores.
Visando avaliar o comportamento da solução do modelo proposto como função do grau de exigência de controle, realizou-se uma simulação do custo mínimo, calculado a partir do problema (5)-(6), considerando-se as variações na meta de controle (conjunto de níveis de controle). Definiu-se como meta de controle inicial o conjunto de níveis de controle mínimo referente à atual estratégia de controle (coluna “Atributos praticados” da Tabela 2), ou seja, .
A Tabela 3 apresenta nove metas de controle, geradas a partir da meta inicial, para as quais determinou-se seus respectivos custos mínimos (coluna “Custo Mínimo”). Conforme o esperado, verifica-se que o custo mínimo aumenta com o acréscimo do nível de controle mínimo exigido.
Tabela 3. Simulação do custo mínimo como função da média de níveis de controle mínimo
Fonte: Elaborada pelos autores.
Cabe destacar que uma estratégia de controle com custo mínimo não necessariamente será uma estratégia apropriada do ponto de vista da gestão de riscos. Por exemplo, considerando o problema (5)-(6), com níveis de controle mínimo dados pelos valores especificados na nona meta de controle apresentada na Tabela 3, , a Figura 5 mostra o posicionamento de cada tipo de risco (R1, R2, R3, R4 e R5) resultante da solução ótima obtida (identificados por “o”).
Verifica-se que todos os riscos estão acima da fronteira de aceitabilidade da matriz de desempenho de controle, porém, pode-se considerar que essa não seria uma estratégia de controle apropriada. Isso porque o risco de conformidade (R3) encontra-se na região de excesso, de modo que parte dos recursos investidos no seu controle poderia ser alocada na melhoria do nível de controle de outro tipo de risco com maior nível de importância (por exemplo, no risco de concepção de processo, R2).
Uma possível meta de controle seria definir intervalos de níveis de controle associados aos níveis de importância de risco, de modo que, aos riscos mais relevantes, atribuir-se-iam maiores níveis de controle mínimo. Por exemplo, as posições identificadas por “∆” na Figura 5 representam os níveis de controle gerados considerando-se as seguintes restrições:
.
Vê-se que, em média, o nível de controle é proporcional ao nível de importância (ou relevância) dos riscos.
Figura 5. Matriz de desempenho de controle
Fonte: Elaborada pelos autores.
*“o” representa o posicionamento de cada tipo de risco resultante da solução ótima obtida, considerando como níveis de controle mínimos (meta) àqueles especificados na nona meta de controle apresentada na Tabela 3, enquanto “∆” representa o posicionamento decorrente da estratégia de controle ótima, considerando como meta os seguintes intervalos de níveis de controle: .
Ressalta-se que o modelo aqui proposto considera constante o nível de importância de risco (NIR), sendo apenas a componente nível de controle de risco (NCR) afetada pela estratégia de controle gerada pelo modelo (3)-(4), como identifica-se pelas figuras 3 e 4 (ocorrência apenas de deslocamento vertical dos níveis de controle). Outro aspecto a ser destacado é o fato de que o modelo considera que os controles e os atributos são excludentes entre si, de modo que cada atributo está associado a apenas um controle, e cada controle está associado a um único tipo de risco.
CONSIDERAÇÕES FINAIS
Este artigo apresentou um modelo que permite determinar uma estratégia ótima de alocação de recursos para a gestão de riscos empresariais. O problema de alocação é formulado como um modelo de programação linear inteira, cuja função-objetivo representa o custo total de implementação de atributos de controle, e as restrições básicas caracterizam uma meta de controle especificada (conjunto de níveis de controle atribuídos aos riscos avaliados). O modelo proposto auxilia o gestor de riscos na definição de uma estratégia de controle com custo mínimo e que atinja um nível de controle desejado.
Os resultados obtidos mostram que o modelo proposto se apresenta como uma ferramenta adequada para a alocação ótima de recursos financeiros. Sua utilização proporciona melhores condições para o processo decisório da gestão de riscos, facilitando o posicionamento dos gestores em situações em que a melhor exposição também depende do conjunto de recursos financeiros disponíveis, no caso desenvolvido, os custos. Tais restrições são inerentes à realidade empresarial e poderiam envolver restrições legais (controles obrigatórios, por exemplo), restrições orçamentárias (recursos disponíveis, por exemplo), entre outras.
Ressalta-se que o modelo proposto considera constante o nível de importância dos riscos avaliados (NIR), sendo apenas a componente nível de controle de risco (NCR) afetada pela estratégia de controle determinada pelo modelo (3)-(4). Uma sugestão seria incorporar no modelo de otimização a componente NIR, de modo a possibilitar a ocorrência de movimentos horizontal ou oblíquo da posição de um risco na matriz de desempenho de controle. Outra sugestão seria ajustar o modelo de modo que um atributo (ou controle) possa ser aplicado a mais de um tipo de controle (ou tipo de risco).
REFERÊNCIAS
Baybutt, P. (2015), “Calibration of risk matrices for process safety”, Journal of Loss Prevention in the Process Industries, Vol. 38, pp. 163-168.
Chapman, R. J. (2006), Simple Tools and Techniques for Enterprise Risk management, John Wiley & Sons, Chichester, England.
Cornalba, A. C. et Giudici, B. P. (2004), “Statistical models for operational risk management”, Physica A, Vol. 338, pp. 166-172.
Duijm, N. J. (2015), “Recommendations on the use and design of risk matrices”, Safety Science, Vol. 76, pp. 21-31.
Gonçalves, M. A., Ferreira, B. P. e Alemão, M. M. (2014), “Risco Operacional no Setor Saúde: Financiamento pelo SUS Paralelo aos Gastos na Fundação Hospitalar do Estado de Minas Gerais”, Revista Gestão & Tecnologia, Vol. 14 No. 1, pp. 126-150, disponível em: https://revistagt.fpl.edu.br/get/article/view/532/505 (Acesso em 20 de junho de 2014).
Harrington, S. E. et Niehaus, G. (2002), “Enterprise Risk Management: the case of united grain growers”, Journal of Applied Corporate Finance, Vol. 14 No. 4, pp. 71-82.
Hewett, C.J.M., Quinn, P.F., Whitehead, P.G., Heathwaite, A.L. e Flynn, N.J. (2004), “Towards a nutrient export risk matrix approach to managing agricultural pollution at source”, Hydrology and Earth System Sciences, Vol. 8 No. 4, pp. 834-845.
Jorion, P. (2006), Value at Risk: the new benchmark for managing financial risk, McGraw-Hill, New York, NY.
Lawrence, R. E. H. et Sommer, P. (2007), “Computing value at risk: a simulation assignment to illustrate the value of enterprise risk management”, Risk Management and Insurance Review, Vol. 10 No. 2, pp. 299-307.
Lei, Y. (2011), “Minimizing the cost of risk with simulation optimization technique”, Risk Management and Insurance Review, Vol. 14 No. 1, pp. 121-144.
Macedo, M. H. B. et Salgado, E. G. (2015), “Gerenciamento de risco aplicado ao desenvolvimento de software”, Sistemas & Gestão, Vol. 04 No. 1, pp. 158-170, disponível em: http://www.revistasg.uff.br/index.php/sg/article/view/V10N1A13/SGV10N1A13 (Acesso em 11 de maio de 2016).
Merna, T. et Al-Thani, F. F. (2008), Corporate Risk Management, John Wiley & Sons, Chichester, England.
Miller, K. D. et Waller, H. G. (2003), “Scenarios, Real Options and Integrated risk management”, Long Range Planning, Vol. 36 No. 1, pp. 93-107.
Oliveira, A. M. et Cunha, A. C. (2015), “Análise de risco como medida preventiva de inundações na Amazônia: estudo de caso de enchente de 2000 em Laranjal do Jari-AP, Brasil”, Ciência e Natura, Vol. 37, pp. 110-118.
Paulo, W. L., Fernandes, F. C., Rodrigues, L. G. B. e Eidt, J. (2007), “Riscos e controles internos: uma metodologia de mensuração dos níveis de controle de riscos empresariais”, Contabilidade & Finanças, Vol. 18 No. 43, pp. 49- 60.
Rainer Jr., R. K., Snyder, C.A. e Carr, H. H. (1991), “Risk analysis for information technology”, Journal of Management Information Systems, Vol. 8 No. 1, pp. 129-147.
Subramaniam, N., Collier, D., Phang, M. e Burke, G. (2011), “The effects of perceived business uncertainty, external consultants and risk management on organizational outcomes”, Journal of Accounting & Organizational Change, Vol. 7 No. 2, pp. 132-157.
Urbina, J. et Guillén, M. (2014), “An application of capital allocation principles to operational risk and the cost of fraud”, Expert Systems with Applications, Vol. 41, pp. 7023-7031.
Yang, M., Khan, F. e Amyotte, P. (2015), “Operational risk assessment: A case of the Bhopal disaster”, Process Safety and Environmental Protection, Vol. 97, pp. 70-79.
Zonatto, V. C. S. et Beuren, I. M. (2010), “Categorias de Riscos Evidenciadas nos Relatórios da Administração de Empresas Brasileiras com ADRS”, Revista Brasileira de Gestão de Negócios, Vol. 12 No. 35, pp. 141-155.