A gestão de riscos nas empresas

mauricio

Mauricio Ferraz de Paiva – 

Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão. Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas.

Gerenciar riscos considera os contextos externo e interno da organização, incluindo o comportamento humano e os fatores culturais. Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento, como ilustrado na figura. Estes componentes podem já existir total ou parcialmente na organização. Contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente.

A NBR ISO 31000 de 03/2018 – Gestão de riscos – Diretrizes fornece diretrizes para gerenciar riscos enfrentados pelas organizações. A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto. Este documento fornece uma abordagem comum para gerenciar qualquer tipo de risco e não é específico para qualquer indústria ou setor. Este documento pode ser usado ao longo da vida da organização e aplicado a qualquer atividade, incluindo a tomada de decisão em todos os níveis.

Este documento é para uso por pessoas que criam e protegem valor nas organizações, gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o desempenho. As organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos que tornam incerto se elas alcançarão seus objetivos. Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas.

O propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos. Os princípios fornecem orientações sobre as características da gestão de riscos eficaz e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os princípios são a base para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura e os processos de gestão de riscos da organização.

Convém que estes princípios possibilitem uma organização a gerenciar os efeitos da incerteza nos seus objetivos. A gestão de riscos eficaz requer os elementos descritos e pode ser explicada como a seguir. Ela é parte integrante de todas as atividades organizacionais, tem uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis.

A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos. O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada.

Os riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna. As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras.

A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes. O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de riscos em cada nível e estágio.

A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências. O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interessadas, em particular da Alta Direção.

O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da organização. Convém que a organização avalie suas práticas e processos existentes de gestão de riscos, avalie quaisquer lacunas e aborde estas lacunas no âmbito da estrutura. Convém que os componentes da estrutura e o modo como funcionam em conjunto sejam personalizados para as necessidades da organização.

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento por: personalizar e implementar todos os componentes da estrutura; emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos; assegurar que os recursos necessários sejam alocados para gerenciar riscos; atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização.

Isto vai ajudar a organização a: alinhar a gestão de riscos com seus objetivos, estratégia e cultura; reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários; estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas; comunicar o valor da gestão de riscos para a organização e suas partes interessadas; promover o monitoramento sistemático de riscos; assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.

O termo accountability foi traduzido como responsabilização com o sentido de responsabilidade por atribuições e atos, ou seja, por prestar contas. Assim, o termo accountable é entendido como responsabilizado. A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são responsabilizados por supervisionar a gestão de riscos.

Com frequência, é requerido ou esperado que os órgãos de supervisão: assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização; compreendam os riscos aos quais a organização está exposta na busca de seus objetivos; assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente; assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização; assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.

A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. O risco é gerenciado em todas as partes da estrutura da organização. Todos na organização têm responsabilidade por gerenciar riscos.

A governança orienta o rumo da organização, suas relações externas e internas, e as regras, processos e práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho sustentável e viabilidade a longo prazo. Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização.

Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, estratégia, objetivos e operações. Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno.

Examinar o contexto externo da organização pode incluir, mas não está limitado a: fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; direcionadores-chave e tendências que afetem os objetivos da organização; relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; relações e compromissos contratuais; complexidade das redes de relacionamento e dependências.

Examinar o contexto interno da organização pode incluir, mas não está limitado a: visão, missão e valores; governança, estrutura organizacional, papéis e responsabilizações; estratégia, objetivos e políticas; cultura da organização; normas, diretrizes e modelos adotados pela organização; capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); dados, sistemas de informação e fluxos de informação; relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; relações contratuais e compromissos; interdependências e interconexões.

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização.

Convém que o comprometimento inclua, mas não se limite a: o propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; reforçar a necessidade de integrar a gestão de riscos na cultura global da organização; liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; autoridades, responsabilidades e responsabilizações; tornar disponíveis os recursos necessários; a maneira pela qual os objetivos conflitantes são tratados; medição e relato no âmbito dos indicadores de desempenho da organização; análise crítica e melhoria.

Convém que o comprometimento com a gestão de riscos seja comunicado na organização e às partes interessadas, como apropriado. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que: enfatizem que a gestão de riscos é uma responsabilidade principal; identifiquem indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos riscos).

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem a alocação de recursos apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a: pessoas, habilidades, experiência e competência; processos, métodos e ferramentas da organização a serem usados na gestão de riscos; processos e procedimentos documentados; sistemas de gestão da informação e do conhecimento; necessidades de treinamento e desenvolvimento profissional. Convém que a organização considere as capacidades e restrições dos recursos existentes.

Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos. A comunicação envolve compartilhar informação com públicos-alvo. A consulta também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá para as decisões e sua formulação ou outras atividades.

Convém que os métodos e conteúdo da comunicação e consulta reflitam as expectativas das partes interessadas, onde for pertinente. Convém que a comunicação e a consulta sejam oportunas e assegurem que a informação pertinente seja coletada, consolidada, sintetizada e compartilhada, como apropriado, e que o retorno seja fornecido e as melhorias sejam implementadas.

Para a implementação, convém que a organização implemente a estrutura de gestão de riscos por meio de: desenvolvimento de um plano apropriado, incluindo prazos e recursos; identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por quem; modificação dos processos de tomada de decisão aplicáveis, onde necessário; garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados.

A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão, enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à medida que ela surja. Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que o processo de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as mudanças nos contextos externo e interno serão adequadamente capturadas.

Segundo a NBR ISO/IEC 31010 de 04/2012 – Gestão de riscos – Técnicas para o processo de avaliação de riscos, a avaliação de riscos consiste em comparar os níveis estimados de risco com critérios de risco definidos quando o contexto foi estabelecido, a fim de determinar a significância do nível e do tipo de risco. Essa é uma norma de apoio à NBR ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.

O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.

Assim, a avaliação de riscos utiliza a compreensão do risco, obtida durante a análise de riscos, para tomar decisões sobre as ações futuras. Considerações éticas, legais, financeiras e outras, incluindo as percepções do risco, são também dados de entrada para a decisão. As decisões podem incluir: se um risco necessita de tratamento; as prioridades para o tratamento; se uma atividade deve ser realizada; e qual de um número de caminhos alternativos deve ser seguido.

A natureza das decisões que necessitam ser tomadas e os critérios que serão utilizados para tomar essas decisões foram decididos no estabelecimento do contexto, mas precisam ser revistos em mais detalhes nesta fase, agora que se sabe mais sobre os riscos identificados em particular. A estrutura mais simples para a definição dos critérios de risco é um nível único que divide os riscos que necessitam de tratamento daqueles que não necessitam. Isso fornece resultados atrativamente simples, porém não reflete as incertezas envolvidas na estimativa de riscos e na definição da fronteira entre aqueles que necessitam de tratamento e aqueles que não necessitam.

A decisão sobre se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e os custos e benefícios da implementação de controles melhorados. Uma abordagem comum é dividir os riscos em três faixas: uma faixa superior, onde o nível de risco é considerado intolerável quaisquer que sejam os benefícios que possam trazer à atividade, e o tratamento de risco é essencial qualquer que seja o seu custo; uma faixa intermediária (ou área cinzenta) onde os custos e benefícios são levados em consideração, e oportunidades são comparadas com potenciais consequências; uma faixa inferior, onde o nível de risco é considerado desprezível ou tão pequeno que nenhuma medida de tratamento de risco seja necessária.

O sistema de critérios tão baixo quanto for razoavelmente praticável ou ALARP (As Low As Reasonably Practicable) utilizado em aplicações de segurança segue esta abordagem, onde, na faixa intermediária, há uma escala móvel para baixos riscos − onde os custos e benefícios podem ser diretamente comparados −, enquanto que para altos riscos o potencial de danos tem que ser reduzido até que o custo de redução adicional seja inteiramente desproporcional ao benefício de segurança adquirido.

A norma diz que convém que o processo de avaliação de riscos seja documentado juntamente com os resultados do processo de avaliação. Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em que o nível de risco é expresso sejam claras. A extensão do relatório dependerá dos objetivos e do escopo da avaliação.

Exceto para avaliações muito simples, a documentação pode incluir: objetivos e escopo; descrição de partes pertinentes do sistema e suas funções; um resumo dos contextos externo e interno da organização e como eles se relacionam com a situação, sistema ou circunstâncias que estão sendo avaliados; os critérios de risco aplicados e sua justificativa; limitações, premissas e justificativa de hipóteses; metodologia de avaliação; resultados da identificação de riscos; dados, premissas e suas fontes e validação; resultados da análise de riscos e sua avaliação; análise de sensibilidade e de incerteza; premissas críticas e outros fatores que necessitam ser monitorados; discussão dos resultados; conclusões e recomendações; e referências.

Se o processo de avaliação de riscos apoia um processo sistemático de gestão de riscos, convém que seja realizado e documentado de tal forma que possa ser mantido durante o ciclo de vida do sistema, organização, equipamento ou atividade. Convém que a avaliação seja atualizada sempre que novas informações significativas estejam disponíveis e o contexto se altere, de acordo com as necessidades do processo de gestão.

O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e sua saída sejam compatíveis com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. O Anexo A ilustra a relação conceitual entre as amplas categorias das técnicas para o processo de avaliação de riscos e os fatores presentes numa determinada situação de risco e fornece exemplos ilustrativos de como as organizações podem selecionar as técnicas apropriadas para o processo de avaliação de riscos para uma situação em particular.

Em termos gerais, convém que as técnicas apropriadas apresentem as seguintes características: convém que sejam justificáveis e apropriadas à situação ou organização em questão; convém que proporcionem resultados de uma forma que amplie o entendimento da natureza do risco e de como ele pode ser tratado; convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável. Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação.

Ao integrar os resultados de diferentes estudos, convém que as técnicas utilizadas e as saídas sejam comparáveis. Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis.

Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa decisão, em outros um entendimento mais geral é suficiente.

Deve-se levar em conta o tipo e a gama de riscos que estão sendo analisados e a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora isto possa ter que ser modificado uma vez que uma avaliação preliminar foi concluída).

Outro fator seria o grau de conhecimento especializado, recursos humanos e outros recursos necessários. Um método simples e bem feito pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que atenda aos objetivos e o escopo do processo de avaliação. Normalmente, convém que o esforço aplicado ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado.

Outra questão seria a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras. Por fim, a necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a este respeito, além de quaisquer requisitos regulatórios e contratuais. O Anexo B da norma (informativo) inclui as técnicas para o processo de avaliação de risco.

riscos

Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria – mauricio.paiva@target.com.br



Categorias:Opinião

Tags:, , , ,

Deixe uma resposta

%d blogueiros gostam disto: