A mentalidade do risco

A melhor maneira de gerenciar os riscos é evitá-los.

progress2Vicente Córdoba Galve

Uma das principais mudanças na ISO 9001:2015 foi que o conceito de potencial de não conformidade foi substituído pelo conceito de risco. Devido a essa alteração, o objetivo principal de um sistema de gestão da qualidade (SGQ) – prevenção – deve ser restaurado. Os gerentes e profissionais de SGQ lidam com erros, defeitos, não conformidades e perdas, que exigem ações corretivas, não preventivas.

Esse desvio da prevenção para a correção nos SGQ ocorreu por várias razões. Há três principais motivos e como resolvê-los:

– Razão um: o conceito de potencial de não conformidade era difícil de entender.

– Solução 1:substitua potencial de não conformidade por risco.

– Razão dois: não havia um método claro disponível para identificar e resolver possíveis não conformidades.

– Solução 2: aplique um método, como o descrito na ISO 31000 – Gestão de riscos – Diretrizes.

Razão três: a correção vende melhor que a prevenção, especialmente em organizações que gerenciam no curto prazo. Uma correção resolve um problema existente e a preocupação que o acompanha, enquanto a prevenção impede que o problema ocorra, o que significa que as ações preventivas passam despercebidas e, portanto, são subavaliadas.

– Solução 3: Demonstrar e convencer a alta gerência de que é melhor prevenir do que remediar.

O conceito de risco ajuda a gestão da qualidade a retornar à prevenção. As seções a seguir não apenas explicam como buscam entender o risco, mas também descrevem diferentes métodos de gestão de riscos e um processo para isso.

Entenda o risco

Antes de aplicar um método, deve-se entender seus elementos e razões – algo que a demanda imediata do mundo atual nem sempre permite fazer. Em vez disso, leva a aplicar receitas padrão que geralmente criam problemas maiores do que aqueles que estamos tentando resolver (ou impedir).

A gestão de riscos não é nova – estamos fazendo isso para sempre, embora inconscientemente e intuitivamente. A novidade agora é que as organizações gerenciam riscos de maneira holística, coordenada, inteligente e sistemática. O termo risco tem significados e definições diferentes, mas, no que se refere à gestão de riscos nas organizações, significa a incerteza de que um evento que ocorra no futuro afetará a consecução dos objetivos de uma organização.

Portanto, gerenciar riscos significa lidar com a incerteza e o futuro. E há um aliado inesperado: o princípio universal da causalidade. O universo que conhecemos – que foi estudado pelos filósofos da Grécia clássica – é governado pelo princípio da causalidade, que é formulado da seguinte forma: tudo é causado e, por sua vez, é a causa de alguma coisa.

Parece um truísmo, mas é de grande importância para entender e gerenciar riscos. Isso significa que um evento, como um acidente de trânsito, não acontece por si só. Pelo contrário, é causada pela ação aleatória de múltiplos e diversos fatores, como velocidade excessiva, falta de atenção ou condições climáticas adversas. E quando o evento ocorre, é a causa de múltiplas e diversas consequências, como danos materiais, feridos e vítimas. Esta é a fórmula básica de risco: fatores + evento = consequências. Embora um diagrama simplificado, a figura abaixo ilustra os elementos de risco.

progress3

Devido a (fatores de risco), (evento) poderia acontecer, o que causaria (consequências). A compreensão dos fatores de risco raiz permite estabelecer ou melhorar os controles preventivos adequados. Compreender as possíveis consequências permite estabelecer ou melhorar os controles mitigadores.

Métodos de gestão de riscos

A ISO 9001:2015 especifica que uma organização deve planejar ações para lidar com riscos, mas não indica nenhum requisito referente a métodos formais de gestão de riscos ou a um processo documentado de gerenciamento de riscos. Esse vácuo metodológico causa certa confusão e consternação para os gerentes de qualidade e gerentes de organizações que podem optar por se limitar ao texto da norma ou abordar de maneira séria e rigorosa a gestão de riscos, o que é altamente recomendado e – eu diria – obrigatório. Entre os métodos mais difundidos estão os criados pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), Open Compliance and Ethics Group (OCEG) e International Organization for Standardization (ISO).

O método COSO é o mais usado no mundo inteiro porque é o mais antigo – a primeira edição foi lançada em 1992 e sua quarta revisão, Enterprise Risk Management – Integration of Strategy and Performance, foi publicada em 2017. A figura abaixo descreve os componentes de gestão de riscos do COSO.

progress4

O método COSO foi inicialmente usado para evitar fraudes em organizações financeiras e de seguros por meio de auditorias e controles internos. As revisões subsequentes abriram o método para todos os tipos de riscos, organizações e setores. Essa estrutura complementa a abordagem e o vocabulário da ISO 31000.

O método OCEG – conhecido pelo acrônimo GRC, que significa governo, risco, conformidade – foi lançado há mais de uma década. O modelo de recursos GRC é um conjunto integrado de recursos que permite que uma organização alcance seus objetivos, abordando incertezas e agindo com integridade. Os componentes do modelo de capacidade GRC estão descritos na figura abaixo. Ele é baseado no conceito de um sistema complexo, dinâmico e adaptável.

progress5

“Para crescer e ter sucesso, existem muitas funções de uma organização que devem operar juntas e todas devem usar muitos dos mesmos dados e contribuir para a coleta e geração de outras pessoas, mas de maneiras diferentes; assim como as funções separadas de um organismo vivo que usa os mesmos aminoácidos em diferentes combinações e fornece informações para o organismo global”. (1)

O método ISO refere à publicação, em 2009, da ISO 31000, que foi revisada em 2018 para facilitar o entendimento e a concisão. Tornou-se uma norma de referência internacional para a gestão de riscos, porque é integrada aos sistemas de gestão ISO (qualidade, meio ambiente, saúde e segurança, conformidade, segurança da informação e continuidade dos negócios, por exemplo).

O processo da ISO 31000:2018

Além dos princípios de gestão de riscos e da sua estrutura, a ISO 31000:2018 fornece um processo para a gestão de riscos, conforme mostrado na figura abaixo.

progress6

O processo inclui as seguintes etapas:

– Escopo, contexto e critérios – Embora o processo possa ser aplicado em diferentes níveis (programa, processo, produto, serviço e projeto, por exemplo), é conveniente aplicá-lo em toda a organização, porque tudo está interconectado e interage.

Identificar o contexto da organização é uma tarefa necessária para qualquer sistema de gestão. Trata-se de entender como sua organização é (interna) e para onde ela está indo, alcançando seus objetivos (externos). Para a gestão de riscos, o contexto é uma fonte de fatores e oportunidades de risco, por isso é importante analisá-lo em detalhes.

Os critérios são termos de referência usados para avaliar a importância dos riscos (probabilidade e impacto) e, com base nos objetivos, no contexto da organização e no nível de risco aceito por ela (apetite ao risco).

– Identificação – Esta etapa consiste em reconhecer e descrever adequadamente os eventos que podem dificultar ou impedir a consecução dos objetivos (riscos), ou facilitar ou permitir (oportunidades). Essa é a atividade mais importante porque gera a matéria prima dos processos.

As técnicas usadas para executá-lo variam, mas as mais eficazes são entrevistas para coleta de informações e workshops de debate liderados por especialistas. É melhor que os especialistas sejam externos para evitar atritos pessoais, discussões estéreis e manifestações polarizadas. Esse processo ajuda a identificar os eventos que não aconteceram e que provavelmente acontecerão, que já aconteceram, mas que provavelmente ocorrerão novamente – talvez com piores consequências – e situações de risco que, por hábito, passam despercebidas.

– Análise – O objetivo desta etapa é estimar com a maior precisão possível a probabilidade de que os eventos ocorram e o efeito que eles teriam se acontecessem. Procure as causas que podem acionar o evento e as consequências, se ele for acionado. Se sua organização já estabeleceu controles para evitar eventos de risco, considere também a eficácia de tais controles.

– Avaliação – O objetivo desta etapa é decidir qual evento deve ser tratado, de acordo com a análise realizada. Normalmente, uma matriz de probabilidade/impacto ou mapa de calor é desenhado e configurado de acordo com o nível de risco aceitável em que os eventos estão localizados. Este é o mapa de risco da organização, área, produto, projeto ou processo.

Tratamento – Ações preventivas são aplicadas nesta etapa. Elas consistem em estabelecer ou melhorar os controles preventivos (ou aceleradores, se o evento representar uma oportunidade) e controles mitigadores.

– Comunicação e consulta – Um ambiente de comunicação aberta e livre do medo de repercussão é essencial. Todas as partes interessadas devem ter o direito e o dever de identificar os possíveis riscos. Para criar esse ambiente, use todos os meios à sua disposição, como e-mail, canais anônimos, entrevistas e workshops.

– Relatório e registro – A gestão de riscos identifica informações vitais que ajudam a gerência sênior, entre outros, a alocar com precisão os recursos. É por isso que é essencial registrar os riscos e seu tratamento e relatá-los às funções e níveis que foram definidos, de acordo com sua importância. A tecnologia é uma ferramenta conveniente para esta tarefa.

– Monitoramento e revisão – Essa etapa garante e melhora a qualidade e a eficácia do processo de gestão de riscos. O monitoramento refere-se à verificação contínua da conformidade do processo, enquanto a revisão refere-se ao controle periódico (de preferência realizado por um departamento diferente), incluindo coleta e análise de informações e registro de resultados e relatórios para validar que o processo atende aos seus objetivos, se adapta às mudanças no contexto e melhora continuamente.

Alcançar e sobreviver

Gerenciar riscos é uma das tarefas mais importantes e lucrativas que uma organização pode executar. Para fazer isso de maneira mais eficaz e eficiente:

– Reconheça que tudo está interconectado e interage. Portanto, para gerenciar riscos, deve-se impedir que os departamentos operem em departamentos estanques.

– Trate a gestão de riscos de forma holística. Considere todos os tipos de risco (operacional, financeiro, estratégico, de reputação e externo, por exemplo). Haverá fatores de risco e consequências comuns entre os diferentes tipos de risco, portanto, não os classifique em departamentos estanques.

– As chaves do cofre não são os sistemas ou os métodos – são as pessoas.

Comece com um sistema, como a ISO 31000 e adicione as ideias dos métodos do COSO ou GRC que melhor se adequam à organização. Não se esqueça de que os regulamentos são meios e não fins – são ferramentas que ajudam a alcançar os objetivos.

A gestão de riscos é vital em todas as áreas da vida. Fazer certo ou errado pode significar alcançar objetivos ou fracassar, subsistir ou desaparecer.

Referência

(1) Open Compliance and Ethics Group (OCEG), Introduction to Principled Performance and GRC, GRC Capability Model, version 3.0.

Vicente Córdoba Galve é coach e consultor freelancer em Madri. Ele obteve um mestrado em gestão da qualidade total pela Know How Business College, em Madri, e é membro sênior da ASQ.

Fonte: Quality Progress/2019 November

Tradução: Hayrton Rodrigues do Prado Filho



Categorias:Qualidade

Tags:, , , , , , ,

1 resposta

Trackbacks

  1. A mentalidade do risco | eustaquio diniz

Deixe uma resposta

%d blogueiros gostam disto: