Um guia para a gestão de riscos

No mundo dos negócios, a gestão de risco se refere à prática de identificar os riscos potenciais com antecedência, analisando-os e tomando medidas cautelares para reduzir o risco. O processo de identificar riscos, avaliar riscos e desenvolver estratégias contra eles é conhecido como gestão de riscos. Um plano e uma análise de impacto nos negócios são partes importantes do projeto de continuidade de negócios. Entendendo os riscos potenciais para o negócio e encontrando maneiras de minimizar seus impactos, pode-se ajudar a empresa a se recuperar rapidamente se ocorrer um incidente.

hayrton2

Hayrton Rodrigues do Prado Filho –

Os tipos de risco variam de empresa para empresa, mas a preparação de um plano de gerenciamento de riscos envolve um processo comum. Esse plano deve detalhar a estratégia para lidar com os riscos específicos do negócio. É importante alocar tempo, orçamento e recursos para preparar esse processo e uma análise de impacto nos negócios. Isso ajudará a se cumprir as obrigações legais de fornecer um local de trabalho seguro e reduzir a probabilidade de um incidente afetar negativamente a empresa.

Assim, a gestão de riscos permite identificar os fatores que podem impactar negativamente os negócios ou projetos. A empresa pode, então, implementar medidas de prevenção e/ou desenvolver ações para resposta se algum desses fatores ocorrer.

Um plano de gestão de risco claro indicará a propriedade de cada ação e delineia claramente as respostas exigidas por cada pessoa. Isso permite uma resposta consistente a quaisquer problemas que possam ocorrer. Ao desenvolver isso, as contingências são incorporadas ao escopo geral e todas as partes interessadas estão cientes de quais medidas devem ser tomadas, caso ocorra algum dos riscos identificados.

Para o planejamento estratégico, os registros dos riscos são úteis tanto do ponto de vista operacional quanto estratégico. Eles servem como ferramentas úteis para as equipes de liderança para revisão e planejamento antecipado.

Ninguém entende sua empresa ou projeto melhor do que o líder da empresa. Criar um plano de gestão de riscos específico para os próximos projetos ou negócios do dia-a-dia é uma maneira altamente personalizada de identificar desafios.

A gestão de riscos ajuda a construir a confiança com as partes interessadas. Ele cria um esboço claro para todos os envolvidos em um projeto e ajuda a gerenciar as expectativas, caso quaisquer fatores afetem negativamente o projeto.

risks2

A ABNT ISO/TR 31004 de 10/2015 – Gestão de riscos – Guia para implementação da ABNT NBR ISO 31000 fornece orientações para que as organizações gerenciem riscos de forma eficaz por meio da implementação da NBR ISO 31000. Este Relatório Técnico fornece: uma abordagem estruturada para as organizações na transição de seus arranjos de gestão de riscos de forma a serem consistentes com a NBR ISO 31000, de uma maneira ajustada às características da organização; uma explicação sobre os seus conceitos básicos; as orientações sobre os aspectos dos princípios e da estrutura para gerenciar riscos descritos. Pode ser usado por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo. (para ler sobre a gestão de riscos nessa revista clique no link)

As organizações usam vários métodos para gerenciar o efeito da incerteza nos seus objetivos, isto é, para gerenciar riscos, pela detecção e compreensão do risco, e modificando-o onde necessário. Este Relatório Técnico destina-se a assistir as organizações a aumentar a eficácia dos seus esforços de gestão de riscos, pelo alinhamento com a NBR ISO 31000, que fornece uma abordagem de gestão de riscos genérica que pode ser aplicada a todas as organizações para ajudar a atingir os seus objetivos.

Este Relatório Técnico destina-se a ser utilizado por aqueles que, dentro das organizações, tomam decisões que impactam no alcance de seus objetivos, incluindo aqueles responsáveis pela governança e aqueles que fornecem às organizações, serviços de aconselhamento e suporte em gestão de riscos. Também se destina a ser utilizado por qualquer pessoa interessada em riscos e em sua gestão, incluindo professores, estudantes, legisladores e reguladores.

Destina-se a ser lido em conjunto com a NBR ISO 31000 e é aplicável a todos os tipos e tamanhos de organização. Os conceitos centrais e definições que são fundamentais para a compreensão da NBR ISO 31000 são explicados no Anexo A. A Seção 3 fornece uma metodologia genérica para ajudar a transição dos arranjos de gestão de riscos existentes nas organizações para alinhamento com a NBR ISO 31000, de forma planejada e estruturada.

Ela também fornece ajustes dinâmicos à medida que mudanças ocorrem no ambiente interno e externo da organização. Anexos adicionais fornecem aconselhamento, exemplos e explicações relacionadas à implementação de determinados aspectos da NBR ISO 31000, a fim de auxiliar os leitores de acordo com os seus conhecimentos e necessidades individuais. Exemplos fornecidos neste Relatório Técnico podem ou não ser diretamente aplicáveis a situações ou organizações específicas, e são apenas para fins ilustrativos.

Determinadas palavras e conceitos são fundamentais para a compreensão tanto da NBR ISO 31000 quanto deste Relatório Técnico, e são explicados na Seção 2 da NBR ISO 31000 e no Anexo A. Essa norma oferece 11 princípios para a gestão de riscos eficaz. O papel dos princípios é informar e orientar sobre todos os aspectos da abordagem da organização para gestão de riscos.

Os princípios descrevem as características de uma gestão de riscos eficaz. Em vez de simplesmente implementar os princípios, é importante que a organização os reflita em todos os aspectos da gestão. Estes princípios servem como indicadores de desempenho da gestão de riscos e reforçam o valor para a organização de gerenciar riscos eficazmente.

Eles também influenciam todos os elementos do processo de transição descritos neste Relatório Técnico, e as questões técnicas que são tratadas nos anexos. Mais informações são dadas no Anexo B. Neste Relatório Técnico, as expressões Alta Direção e organismo de supervisão são utilizadas: Alta Direção refere-se à pessoa ou grupo de pessoas que dirige e controla uma organização no mais alto nível, enquanto organismo de supervisão se refere à pessoa ou grupo de pessoas que governa uma organização, define direções, e a quem a Alta Direção presta contas.

Em muitas organizações, o organismo de supervisão pode ser chamado de conselho diretor, conselho de curadores, conselho de supervisão, etc. Ressalte-se que independentemente do motivo para a implementação da NBR ISO 31000, ao fazê-la, espera-se possibilitar a uma organização gerenciar melhor seus riscos, em apoio aos seus objetivos.

Todas as organizações gerenciam riscos em alguma extensão. Convém que a estratégia para a implementação da NBR ISO 31000 reconheça como uma organização já está gerenciando riscos. O processo de implementação, conforme descrito, irá avaliar os arranjos existentes e, se necessário, adaptá-los e modificá-los para alinhá-los com a NBR ISO 31000 que identifica vários elementos de uma estrutura para gerenciar riscos.

Há diversas vantagens que podem surgir quando os elementos desta estrutura são integrados na governança, funções e processos de uma organização. Estas relacionam-se com a eficácia organizacional, sólida tomada de decisões e eficiência.

Convém que a estrutura para gerenciar riscos seja realizada pela integração de seus componentes dentro do sistema global de gestão e tomada de decisões da organização, não importando se o sistema é formal ou informal; os processos de gestão existentes podem ser melhorados pela referência à NBR ISO 31000. A compreensão e a gestão da incerteza tornam-se um componente integral no (s) sistema (s) de gestão, estabelecendo uma abordagem comum para a organização.

A implementação do processo de gestão de riscos pode ser proporcionalmente ajustada ao tamanho e aos requisitos da organização. A governança (isto é, direção e supervisão) da política, estrutura e processo (s) de gestão de riscos podem ser integrados nos atuais arranjos da governança organizacional.

O reporte da gestão de riscos é integrado com outros reportes de gestão. O desempenho da gestão de riscos torna-se uma parte integral da abordagem de desempenho geral. A interação e a conexão entre os frequentemente separados campos da gestão de riscos de uma organização (por exemplo, gestão de riscos corporativos, gestão de riscos financeiros, gestão de riscos em projetos, gestão da segurança, gestão da continuidade de negócios, gestão de seguros) podem ser asseguradas ou melhoradas, já que a atenção será agora prioritariamente focada na definição e no atingimento dos objetivos da organização, levando-se em conta os riscos.

A comunicação sobre incerteza e risco entre as equipes de gestão e os níveis gerenciais é melhorada. Silos de atividades de gestão de riscos dentro da organização centram-se em atingir os objetivos organizacionais como um foco comum. Pode haver benefícios indiretos à sociedade, uma vez que as partes interessadas externas à organização podem estar motivadas a melhorar suas respectivas atividades de gestão de riscos.

O tratamento de riscos e os controles podem tornar-se parte integral das operações diárias. Qualquer atividade de gestão de negócio se inicia com uma análise da fundamentação e etapas dos processos e uma análise de custo-benefício. Isto é seguido por uma decisão da Alta Direção e do organismo de supervisão para implementar e fornecer o comprometimento e os recursos necessários.

Tipicamente, o processo de implementação inclui o seguinte: o estabelecimento de mandato e comprometimento, se necessário; análise de deficiências (gap analysis); adaptação e escalonamento baseados nas necessidades organizacionais, cultura e criação e proteção de valor; avaliação dos riscos associada à transição; desenvolvimento de um plano de negócios: estabelecendo objetivos, prioridades e métricas; estabelecendo o caso de negócios, incluindo o alinhamento aos objetivos organizacionais; determinando o escopo, responsabilizações, prazo e recursos; e a identificação do contexto da implementação, incluindo comunicação com as partes interessadas.

Convém que as abordagens existentes para a gestão de riscos na organização sejam avaliadas incluindo contexto e cultura. É importante considerar quaisquer obrigações legais, regulatórias ou de clientes e requisitos de certificação que surjam de quaisquer sistemas de gestão e normas que a organização escolheu adotar. A finalidade desta etapa é permitir uma adaptação cuidadosa da concepção da estrutura para gerenciar riscos e do próprio plano de implementação, e permitir o alinhamento com a estrutura, a cultura e o sistema geral de gestão da organização.

É importante considerar tanto o processo para gerenciar riscos quanto os aspectos da estrutura existente para gerenciar riscos, que possibilitam que esse processo seja aplicado. Convém que os critérios de risco apropriados sejam estabelecidos. Os critérios de risco precisam ser consistentes com os objetivos da organização e alinhados à sua atitude perante o risco.

Se os objetivos mudam, os critérios de risco precisam ser ajustados de acordo. É importante para uma gestão de riscos eficaz que os critérios de risco sejam desenvolvidos de modo a refletir a atitude perante o risco e os objetivos da organização. O monitoramento e a análise crítica têm por objetivo assegurar razoavelmente que os riscos estão adequadamente gerenciados, para identificar deficiências na gestão de riscos e identificar oportunidades para melhorar a gestão de riscos.

Ambos são necessários a fim de assegurar que a organização mantenha um entendimento atual de seus riscos em relação aos seus critérios de risco, consistente com a sua atitude perante o risco. Ambos requerem uma abordagem sistemática integral dos sistemas gerais de gestão da organização. As atividades de monitoramento e análise crítica e as ações tomadas em resposta às constatações são muitas vezes caracterizadas como um sistema de garantia porque têm o potencial de detectar e remediar as fraquezas antes da ocorrência de efeitos adversos ou para fornecer a confiança de que os riscos ainda estão dentro dos critérios da organização.

Essas atividades também podem ser usadas para assegurar razoavelmente às partes interessadas internas e externas de que o risco está gerenciado de forma eficaz. Como os fatores no contexto interno e externo mudam, assim também o risco. Da mesma forma, o monitoramento do contexto externo pode alertar a organização para mudanças que possam apresentar uma oportunidade para melhorar o desempenho ou uma nova atividade.

Ao permanecer alerta para tais mudanças, desempenho, não conformidades e quase acidentes, a organização será capaz de identificar oportunidades de melhoria da estrutura de gestão de riscos e desempenho global da organização. Convém que exista um programa abrangente implementado para monitorar e registrar indicadores de desempenho de risco que estejam alinhados com os indicadores de desempenho da organização.

Convém que o programa forneça alertas precoces sobre tendências adversas que possam requerer ações preventivas e intervenção. Uma única atividade de monitoramento ou análise crítica pode ser dirigida a um risco individual ou uma série de riscos relacionados. Isto pode ser focado nos riscos ou sobre os controles a eles endereçados.

Deve ser estabelecida uma linha de base para a gestão de riscos na organização. A linha de base pode ser descrita de várias maneiras, mas convém que inclua: os componentes da estrutura (como descrito na NBR ISO 31000:2009, 4.3) que fornecem a capacidade que possibilita que esta intenção seja alcançada; a extensão do apoio fornecido pelo organismo de supervisão e pela Alta Direção no mandato e compromisso para a gestão de riscos (muitas vezes expressa na forma de uma política de gestão de riscos).

A forma e arquitetura da estrutura pretendidas, em geral, seria registrada quando concebida, e a informação, como a mostrado na tabela abaixo, estaria disponível. Isso forma uma linha de base ou ponto de referência para comparações feitas durante o monitoramento e análise crítica.

risks3

Deve-se, também, estabelecer os indicadores de desempenho que estão ligados aos objetivos organizacionais para fornecer uma indicação da eficácia da estrutura global para a gestão de riscos. Indicadores de desempenho, algumas vezes denominados coletivamente como indicadores de resultado, incluem o seguinte: incidentes, acidentes e quase acidentes; perdas reais; desalinhamentos; reclamações de clientes; dívida ativa; disponibilidade do sistema; a extensão em que os objetivos da organização estão sendo alcançados; a extensão em que os objetivos da gestão de riscos estão sendo alcançados.

Não se pode esquecer de que, assim como na integração da gestão de riscos aos processos centrais do negócio, é necessário criar uma interação entre todas as abordagens de sistema de gestão, isto é, gestão da qualidade, gestão ambiental, gestão da segurança, gestão financeira, da conformidade e de reporte, e até a gestão de seguros que lida com os eventos que podem ser financeiramente transferidos para outras organizações. Convém que estes sistemas de gestão individuais formem um sistema de gestão integrado, baseado na política e estratégia de qualquer organização.

Até no caso de uma organização ter um sistema de gestão individual para gerenciar riscos particulares, convém que a estrutura para gerenciar riscos se estenda e incorpore esses sistemas. Tal abordagem de gestão de riscos interorganizacional pode: aumentar o foco da Alta Direção nos objetivos estratégicos da organização; permitir que todos os riscos no sistema de gestão integrado sejam tratados de acordo com os princípios e diretrizes da NBR ISO 31000.

Esta abordagem pode envolver o seguinte: a aplicação no sistema de gestão da qualidade de técnicas de gestão de riscos concernentes principalmente à gestão de riscos de produto e projeto; lidar com as incertezas da gestão ambiental, por exemplo, incidentes e acidentes potenciais em instalações perigosas, descarte de materiais e substâncias perigosas; o tratamento de riscos combinado com operações, como segurança ocupacional; lidar com os riscos de segurança, isto é, atos de violência contra a organização ou seus empregados ou clientes; lidar com os riscos de segurança da tecnologia da informação (TI), isto é, a queda das operações de TI, perda de dados, violação da confidencialidade e assegurar a continuidade dos negócios; gerenciar os riscos de continuidade de negócios que asseguram a preparação para, e a resposta rápida a, eventos disruptivos; estabelecer os controles para proteger os ativos da organização, para assegurar o correto reporte e a conformidade aos requisitos legais ou para gerenciar riscos seguráveis de maneira a minimizar os prêmios.

Por fim, deve-se lembrar que o risco pode ser positivo ou negativo, embora a maioria das pessoas assuma que os riscos são inerentemente os últimos. Quando o risco negativo implica algo indesejado que tem o potencial de danificar irremediavelmente um projeto, os riscos positivos são oportunidades que podem afetar o projeto de maneiras benéficas.

Os riscos negativos fazem parte do seu plano de gerenciamento de risco, assim como o risco positivo também, mas a diferença está na abordagem. Ao se gerenciar e contabilizar os riscos negativos conhecidos para neutralizar seus impactos, os riscos positivos também podem ser gerenciados para tirar total proveito deles.

Existem muitos exemplos de riscos positivos em projetos: pode-se concluir o projeto antecipadamente; pode-se adquirir mais clientes do que foram contabilizados; pode-se imaginar como um atraso no envio da informações ou pode-se abrir uma janela em potencial para melhores oportunidades de marketing, etc.

É importante notar, no entanto, que essas definições não estão gravadas em pedra. O risco positivo pode rapidamente se transformar em risco negativo e vice-versa, portanto, deve-se certificar de planejar todas as eventualidades com a equipe.



Categorias:Normalização, Opinião, Qualidade

Tags:, , , , , ,

1 resposta

  1. Bom dia.

    Gosto muito dos artigos publicados pela Revista AdNormas. Nesta edição 51, no artigo UM GUIA PARA A GESTÃO DE RISCOS, consta a versão da NBR ISO 31000, como sendo versão 2009, portanto desatualizada. A última versão foi aprovada em março de 2018.
    Com respeito e admiração.

Deixe uma resposta

%d blogueiros gostam disto: