// PSM Expert — Página Gerenciamento de Riscos Corporativos (GRC / ERM)
function GerenciamentoRiscosPage() {
  return (
    <React.Fragment>
      <Header current="servicos" />
      <PageHero
        kicker="Soluções Técnicas · Governança de Riscos"
        title="Gerenciamento de Riscos Corporativos"
        subtitle="Framework estruturado baseado na ISO 31000 e COSO — da matriz de risco à governança integrada."
        badges={["ISO 31000:2018", "COSO ERM 2017", "ISO/IEC 31010", "NR-1/GRO"]} />

      {/* Abertura */}
      <Section>
        <P>Riscos não gerenciados custam caro — em multas, em incidentes, em valor de mercado e em reputação. Em empresas de médio e grande porte que operam em setores industriais regulados, a ausência de um framework estruturado de gerenciamento de riscos expõe a organização a decisões mal calibradas e a uma postura reativa diante de eventos que poderiam ter sido antecipados.</P>
        <P>A PSM Expert oferece consultoria técnica independente para estruturar, adequar e fortalecer sistemas de <strong>Gerenciamento de Riscos Corporativos (GRC / ERM)</strong>, com base na <strong>ISO 31000:2018</strong> e no framework <strong>COSO ERM (2017)</strong> — da revisão e calibração da matriz de risco corporativa à estruturação da governança de riscos, integrando a perspectiva de risco operacional e de segurança de processos à visão estratégica da organização.</P>
      </Section>

      {/* Seção 1 — Frameworks */}
      <Section title="Dois frameworks complementares — um objetivo comum" bg="#F4F6F8"
        intro="A ISO 31000 fornece o rigor metodológico do processo. O COSO ERM fornece a estrutura de governança e o alinhamento estratégico. Aplicamos ambos de forma integrada.">

        <h3 style={grStyles.h3}>ISO 31000:2018 — Princípios, Framework e Processo</h3>
        <P>Norma internacional de referência para gerenciamento de riscos. Não é certificável: é um guia de boas práticas aplicável a qualquer organização, setor ou porte, estruturado em três camadas.</P>
        <PillarCards pillars={[
          { icon: "shield-check", tag: "Camada 1", t: "Princípios", items: ["Integração", "Estruturação", "Customização", "Inclusão", "Dinamismo", "Informação disponível", "Melhoria contínua"] },
          { icon: "layers", tag: "Camada 2", t: "Framework", items: ["Liderança e comprometimento", "Integração", "Design", "Implementação", "Avaliação", "Melhoria"] },
          { icon: "refresh-cw", tag: "Camada 3", t: "Processo", items: ["Comunicação e consulta", "Escopo, contexto e critérios", "Identificação de riscos", "Análise e avaliação", "Tratamento", "Monitoramento e registro"] },
        ]} />
        <Callout>A norma enfatiza que o gerenciamento de riscos é <strong>parte integrante da tomada de decisão</strong> — não um processo paralelo. No Brasil, é adotada como <em>ABNT NBR ISO 31000:2018</em>.</Callout>

        <h3 style={{ ...grStyles.h3, marginTop: 44 }}>COSO ERM 2017 — Enterprise Risk Management</h3>
        <P>Framework do <em>Committee of Sponsoring Organizations of the Treadway Commission</em>, referência global para gestão de riscos corporativos com foco na criação e proteção de valor. A revisão de 2017 integrou a gestão de riscos à estratégia, superando a visão estritamente de controle interno. Seus cinco componentes interrelacionados:</P>
        <DataTable
          head={["Componente COSO ERM", "Descrição"]}
          rows={[
            ["Governança e Cultura", "Define o tom da gestão de riscos: estruturas de governança, papéis e responsabilidades, cultura de riscos e comprometimento da liderança."],
            ["Estratégia e Objetivos", "Integração do apetite a risco na formulação da estratégia e no desdobramento de objetivos de negócio."],
            ["Desempenho", "Identificação e avaliação dos riscos que afetam os objetivos, priorização e desenvolvimento de respostas."],
            ["Revisão e Acompanhamento", "Monitoramento contínuo da eficácia do ERM e identificação de mudanças no contexto de riscos."],
            ["Informação e Reporte", "Fluxos de informação sobre riscos entre todos os níveis organizacionais e partes externas relevantes."],
          ]} />

        <h3 style={{ ...grStyles.h3, marginTop: 44 }}>Complementaridade ISO 31000 × COSO ERM</h3>
        <DataTable
          head={["Dimensão", "ISO 31000", "COSO ERM"]}
          rows={[
            ["Foco", "Processo e framework de GR", "Estratégia e valor corporativo"],
            ["Escopo", "Qualquer organização e tipo de risco", "Riscos corporativos / empresariais"],
            ["Certificação", "Não há", "Não há"],
            ["Aplicação", "Operacional e estratégica", "Estratégica e de governança"],
            ["Integração", "Com ISO/IEC 31010 (técnicas)", "Com controle interno (COSO IC)"],
          ]} />
      </Section>

      {/* Seção 2 — Matriz de Risco */}
      <Section title="Matriz de Risco Corporativa — Adequação e Governança"
        intro="A matriz de risco é o instrumento central de priorização e comunicação de riscos. Quando mal calibrada, gera subestimação (falsa segurança) ou superestimação generalizada (paralisia decisória). Ambos têm custo.">
        <h3 style={grStyles.h3}>Problemas comuns em matrizes corporativas</h3>
        <BulletList items={[
          "Escalas de probabilidade e impacto sem critérios quantitativos claros, gerando inconsistência entre áreas e gestores.",
          "Ausência de distinção entre risco inerente (antes de controles) e risco residual (após controles).",
          "Categorias de impacto restritas à dimensão financeira, ignorando segurança, reputação, meio ambiente, continuidade e conformidade.",
          "Apetite e tolerância a risco não formalizados, impedindo a calibração das escalas e das decisões de tratamento.",
          "Matriz desatualizada e desconectada do contexto estratégico atual da organização.",
          "Ausência de integração entre riscos corporativos e riscos de processo / segurança operacional.",
        ]} />
        <h3 style={{ ...grStyles.h3, marginTop: 36 }}>O que entregamos na adequação da matriz</h3>
        <NumberedList items={[
          { t: "Diagnóstico da matriz atual", d: "Avaliação da estrutura vigente: escalas, critérios de classificação, categorias de risco, processo de atualização e uso efetivo pela liderança." },
          { t: "Apetite e tolerância a risco", d: "Workshop com a liderança para formalizar o apetite por categoria e estabelecer limites de tolerância que guiem as escalas da matriz." },
          { t: "Calibração das escalas", d: "Revisão das escalas de probabilidade e impacto com critérios quantitativos e qualitativos consistentes, alinhados ao apetite formalizado." },
          { t: "Estrutura multicritério de impacto", d: "Critérios por dimensão — financeira, segurança de processos, SSO, ambiental, reputacional e regulatória — com ancoragem numérica por nível." },
          { t: "Risco inerente × risco residual", d: "Avaliação em duas etapas (sem e com controles), com identificação dos gaps de controle existentes." },
          { t: "Matriz revisada e documentada", d: "Nova matriz com manual de uso, critérios de classificação, exemplos aplicados e instrução de atualização periódica." },
        ]} />
      </Section>

      {/* Seção 3 — Governança */}
      <Section title="Governança de Riscos — Estrutura, Papéis e Responsabilidades" bg="#F4F6F8"
        intro="Uma matriz bem construída só tem valor se houver uma estrutura de governança que garanta sua atualização, uso e integração à decisão. A governança define quem faz o quê, quando e como.">
        <NumberedList items={[
          { t: "Modelo de três linhas (IIA)", d: "Gestão operacional (1ª) proprietária dos riscos · funções de risco e conformidade (2ª) · auditoria interna (3ª) como assurance independente. Compatível com COSO ERM." },
          { t: "Política de Gerenciamento de Riscos", d: "Formaliza o comprometimento da alta direção, o escopo do programa GRC, os princípios adotados, as responsabilidades por linha e a revisão da política." },
          { t: "Estrutura de comitê e reporte", d: "Define a cadeia de reporte: como os riscos sobem das áreas para a liderança, o papel do Comitê de Riscos e como a direção usa essas informações." },
          { t: "Integração ao planejamento estratégico", d: "Alinha o ciclo de avaliação de riscos ao ciclo de planejamento estratégico, garantindo que os riscos relevantes orientem objetivos e recursos." },
          { t: "Interface com auditoria e conformidade", d: "Conecta o GRC à auditoria interna, à conformidade regulatória e à continuidade de negócios, evitando duplicação e dando visão integrada de exposição." },
          { t: "Suporte à comunicação de riscos", d: "Modelos de reporte executivo e materiais para comunicação ao Conselho, partes interessadas e órgãos reguladores, quando aplicável." },
        ]} />
      </Section>

      {/* Seção 4 — Integração com Segurança de Processos */}
      <Section title="Risco Corporativo e Segurança de Processos — Uma visão integrada">
        <P>Um diferencial da PSM Expert é integrar a visão de <strong>risco corporativo</strong> (COSO / ISO 31000) com a perspectiva de <strong>risco de processo</strong> (PSM, HAZOP, QRA). Em empresas industriais de alto risco, esses dois domínios precisam conversar.</P>
        <P>Riscos de processo — como a liberação acidental de substâncias perigosas ou a falha de sistemas críticos de segurança — são frequentemente subestimados em matrizes corporativas porque profissionais de GRC não têm o background técnico para avaliá-los. Da mesma forma, gestores de PSM raramente estruturam seus riscos no formato corporativo exigido pelo Conselho ou por auditores.</P>
        <Callout kind="alert">Nossa consultoria faz essa ponte: <strong>traduzimos riscos técnicos de processo para a linguagem da governança corporativa</strong> e garantimos que a matriz de risco reflita adequadamente a exposição operacional real.</Callout>
      </Section>

      {/* Seção 5 — Quando contratar */}
      <Section title="Quando sua organização precisa desta consultoria?" bg="#F4F6F8">
        <CheckList items={[
          "Estruturação de um programa GRC do zero, sem saber por onde começar.",
          "Revisão e adequação de uma matriz de risco existente que não é usada de forma consistente.",
          "Exigência de auditores, reguladores ou seguradoras que identificaram lacunas no programa GRC.",
          "Preparação para requisitos de mercado de capitais (IPO, debêntures, relatórios ESG e divulgação de riscos).",
          "Integração de riscos corporativos e operacionais ainda não refletidos na visão corporativa.",
          "Revisão pós-incidente que evidenciou lacunas no programa de GRC.",
          "Fusões, aquisições e due diligence, com mapeamento de exposições não evidentes.",
        ]} />
      </Section>

      {/* Seção 6 — Entregáveis */}
      <Section title="Entregáveis da consultoria em GRC">
        <DeliverableGrid items={[
          { icon: "search", t: "Diagnóstico do programa GRC", d: "Avaliação do estado atual frente à ISO 31000 e COSO ERM, com lacunas identificadas e mapa de prioridades para adequação." },
          { icon: "filter", t: "Matriz de risco adequada", d: "Nova matriz calibrada, escalas multicritério, critérios documentados e distinção entre risco inerente e residual." },
          { icon: "activity", t: "Apetite e tolerância formalizados", d: "Política de apetite a risco validada pela liderança, com limites de tolerância por categoria e ancoragem nas escalas." },
          { icon: "file-text", t: "Política de gerenciamento de riscos", d: "Documento formal com escopo, princípios adotados, responsabilidades por linha de defesa e processo de revisão periódica." },
          { icon: "clipboard-check", t: "Catálogo de riscos (Risk Register)", d: "Inventário estruturado com risco inerente e residual, planos de tratamento, proprietários e indicadores de monitoramento." },
          { icon: "bar-chart", t: "Modelo de reporte executivo", d: "Template de reporte de riscos para a alta direção e o Conselho, adaptado ao formato e detalhe de cada audiência." },
          { icon: "file-shield", t: "Manual de processo GRC", d: "Guia operacional para identificar, avaliar, tratar, monitorar e reportar riscos, com instruções para as três linhas." },
        ]} />
      </Section>

      {/* Seção 7 — Referências normativas */}
      <Section title="Fundamentação técnica e normativa" bg="#F4F6F8">
        <NormBadgeList items={[
          { tag: "ISO 31000:2018", title: "Risk Management — Guidelines", desc: "Principal norma internacional de gerenciamento de riscos. Define princípios, framework e processo aplicáveis a qualquer organização. Adotada no Brasil como ABNT NBR ISO 31000:2018. Não é certificável, mas é a referência técnica de facto para programas GRC." },
          { tag: "COSO ERM 2017", title: "Integrating with Strategy and Performance", desc: "Framework de gestão de riscos corporativos do COSO. Referência global para integração de riscos à estratégia, apetite a risco e governança. Amplamente adotado por empresas de capital aberto e auditores externos." },
          { tag: "ISO/IEC 31010:2019", title: "Risk Assessment Techniques", desc: "Norma complementar à ISO 31000. Cataloga e orienta a aplicação de mais de 40 técnicas (HAZOP, What-If, Bow-Tie, FMEA, FTA, AHP, Delphi). Referência para selecionar a técnica adequada a cada análise." },
          { tag: "Three Lines Model (IIA, 2020)", title: "", desc: "Modelo do Institute of Internal Auditors para organização das responsabilidades de gestão de riscos e controle interno em três linhas. Substituiu o antigo \u201cThree Lines of Defense\u201d e é compatível com COSO ERM." },
          { tag: "ABNT NBR ISO 31000:2018", title: "", desc: "Versão brasileira da ISO 31000, com terminologia em português. Referência para documentação e comunicação de programas GRC no Brasil." },
          { tag: "NR-1 / GRO", title: "", desc: "O Gerenciamento de Riscos Ocupacionais da NR-1 exige processos de identificação de perigos e avaliação de riscos. Alinhamos o GRC corporativo ao GRO, evitando duplicidade e garantindo coerência metodológica." },
        ]} />
      </Section>

      {/* Seção 8 — Setores */}
      <Section title="Setores com atuação comprovada">
        <TagFlow items={["Petróleo e Gás", "Petroquímica", "Química", "Mineração", "Fertilizantes", "Farmacêutica", "Energia", "Infraestrutura", "Empresas Reguladas"]} />
      </Section>

      {/* Seção 9 — FAQ */}
      <Section title="Perguntas frequentes" bg="#F4F6F8">
        <FaqList items={[
          { q: "Qual a diferença entre ISO 31000 e COSO ERM?", a: "A ISO 31000 é uma norma de processo — define como estruturar e operar o gerenciamento de riscos de forma universal. O COSO ERM é um framework corporativo com ênfase na integração dos riscos à estratégia e à criação de valor. São complementares, e usamos ambos de forma integrada." },
          { q: "A ISO 31000 é certificável?", a: "Não. É uma norma de diretrizes (guidelines), não de requisitos — não há auditoria de certificação de terceira parte, diferente da ISO 9001 ou ISO 45001. Seu valor está na qualidade do processo que orienta, verificável em auditorias internas ou externas de conformidade." },
          { q: "O que é apetite a risco e por que importa?", a: "É a quantidade e o tipo de risco que a organização está disposta a aceitar na busca dos seus objetivos. Sem apetite a risco formalizado, a matriz não tem ancoragem — qualquer classificação de \u201calto\u201d, \u201cmédio\u201d ou \u201cbaixo\u201d torna-se subjetiva e inconsistente entre áreas." },
          { q: "Como integrar o GRC corporativo aos riscos de processo?", a: "É exatamente o diferencial da PSM Expert: não tratamos o GRC como um silo separado da segurança operacional. Cenários de perda de contenção, falha de barreiras críticas ou eventos identificados no HAZOP precisam estar representados na matriz corporativa com a devida gravidade." },
          { q: "Qual o escopo mínimo de um programa GRC funcional?", a: "No mínimo: política aprovada pela alta direção; processo periódico de identificação e avaliação; matriz calibrada com critérios claros; risk register com proprietários definidos; mecanismo de reporte à liderança; e monitoramento de riscos e da eficácia dos controles — proporcional ao perfil de risco da organização." },
          { q: "Seguradoras e investidores exigem GRC estruturado?", a: "Cada vez mais. Seguradoras industriais usam a maturidade do programa de gestão de riscos como fator de subscrição e precificação. Investidores institucionais e processos de ESG / rating também consideram a qualidade da governança de riscos como critério de avaliação." },
        ]} />
        <RelatedServices exclude="gerenciamento-de-riscos.html" />
      </Section>

      <CtaFinal
        title="Sua organização gerencia riscos — ou apenas os registra?"
        sub="Um programa GRC bem estruturado protege valor, orienta decisões e demonstra maturidade para reguladores, auditores e investidores." />
      <Footer />
    </React.Fragment>
  );
}

const grStyles = {
  h3: { fontFamily: "'Barlow Condensed', sans-serif", fontWeight: 700, fontSize: 24, color: "#071C36", margin: "0 0 12px", textTransform: "uppercase", letterSpacing: ".01em" },
};

ReactDOM.createRoot(document.getElementById("root")).render(<GerenciamentoRiscosPage />);