“Organizações de todos os tipos e
tamanhos enfrentam influências e fatores internos e externos que tornam incerto
se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem
sobre os objetivos da organização é chamado “risco”.”
Essa definição de risco está na
introdução da ABNT NBR ISO 31.000:2009 Norma Brasileira que traz os princípios
e diretrizes para a gestão de riscos.
No meu curso de especialização de
Master Business Security, ficou marcado uma definição simples e objetiva para
riscos, que carrego até os dias atuais: “risco é tudo aquilo que pode trazer
perdas reais e mensuráveis.”
O material que quero apresentar
abaixo, é uma síntese de como implantar um Plano de Gestão de Riscos
Corporativos (PGRC), alinhado com conceitos que aprendi e com o conhecimento da
ISO 31.000.
A gestão de riscos pode ser
aplicada a toda uma organização, em suas várias áreas e níveis, a qualquer
momento, bem como a funções, atividades e projetos específicos.
Quero enumerar abaixo os
benefícios que uma companhia poder ter com a implantação do processo de gestão
de riscos:
- Aumentar as chances de atingimento de metas e
objetivos;
- Despertar o interesse de uma gestão pró-ativa;
- Estender à toda organização a necessidade de
estar atenta à identificação e tratativa dos riscos;
- Ter a possibilidade de melhorar a identificação
de oportunidades e ameaças;
- Estar adequada às Normas Internacionais;
- Melhorar o reporte das informações;
- Melhorar a gestão e a governança de um modo
geral;
- Aumentar a confiança entre as partes
relacionadas/interessadas;
- Ter uma base confiável para tomada de decisões e
planejamentos;
- Melhorar os controles dos processos;
- Disponibilizar e utilizar de forma eficaz os
recursos para o tratamento dos riscos;
- Aumentar a eficácia e a eficiência operacional;
- Atender requisitos de outras normas relacionadas;
- Aumentar a prevenção de perdas e gestão de
incidentes;
- Trocar experiências entre as áreas relacionadas
contribuindo para melhora no aprendizado organizacional; e,
- Aumentar a resiliência da organização;
Gestão de riscos, nada mais é do
que o desenho de um processo de gerenciar os riscos. É como diz a norma: “é a arquitetura (princípios, estrutura e
processo) para gerenciar riscos eficazmente.”
A gestão de riscos em linhas
gerais, segue um princípio de melhoria contínua, sendo esse processo um “organismo
vivo” e “dinâmico”, assim como as
ameaças na qual as organizações estão expostas.
Podemos dizer que esse processo
de melhoria contínua na gestão de riscos, assemelha-se muito a um PDCA
(Planejar – Executar – Verificar – Ajustar), também conhecido como ciclo de
Deming ou simplesmente do inglês PDSA (plan-do-study-act). Digamos que essa
semelhança no planejamento da gestão de risco ainda é mais forte com a evolução
do método para OPDCA, onde o “O” é a observação ou o status da condição atual.
Na verdade, se constrói uma
situação de “onde estou, para onde vou, como vou e quando vou” e depois que
cheguei reavalio o processo para fazer possíveis e necessários ajustes para
estar sempre em condições de fazer novos deslocamentos de forma mais eficaz e
eficiente.
Em cima desse princípio, se
constrói a pirâmide do PGRC – Plano de gestão de Riscos Corporativos.
- Comunicação/Informação:
é o pontapé inicial. É a divulgação do interesse da
organização em implantar o
processo. É a alta gestão da companhia manifestando e oficializando o inicio do
processo.
- Contexto:
primeira etapa do processo. Momento em que será feito o levantamento de todos
os dados de cenários (político, econômico, mercadológico, social e criminal)
que incide direta ou indiretamente no meu negócio.
- Identificação
dos riscos: trata-se do levantamento e identificação de todas as minha
ameaças, sejam internas ou externas. Cabe aqui relembrar a definição de riscos:”tudo
aquilo que pode trazer perdas reais e mensuráveis”.
- Análise
dos Riscos: é o momento em que os riscos identificados serão “dissecados”.
Uma das metodologias mais utilizada é o diagrama de Ishikawa. Nessa etapa do
processo, o objetivo é levantar todas as variáveis que incidem em um
determinado risco e classificá-la. Possibilitando assim a identificação de
causa-raiz.
- Avaliação
dos Riscos: nesse momento iremos avaliar e classificar os riscos de acordo
o grau de importância. Para tanto, leva-se em consideração a probabilidade de
materialização versus o impacto desta materialização para os negócios da
empresa. Cabe ressaltar que nesse momento haverá um link entre os riscos
identificados, analisados e agora sendo tratados com os FCS’s (Fatores Críticos
de Sucesso) definidos no plano diretor da organização. As metodologias para
avaliação dos riscos poderão ser subjetivas (quando não tenho registros e nem
dados anteriores) ou estatísticas. Os métodos subjetivos mais comuns são:
T-Fine e Mosler.
- Tratamento
dos Riscos: etapa em que, com base no meu orçamento e na classificação dos
riscos prioritários, vou definir um plano de ação para tratar os riscos,
conforme a criticidade. Nesse caso, utiliza-se comumente a ferramenta do 5W2H.
- Monitoramento:
o monitoramento fecha o ciclo do PGRC. Nesta etapa instituímos uma ferramenta de
gestão de ocorrências e incidentes para acompanhar a efetividade das ações
tomadas no tratamento dos riscos. Havendo novos registros de materialização dos
riscos, automaticamente se inicia o processo de avaliação e planejamento, a fim
de mitigar novas reincidências.
Muito longe de
querer esgotar a magnitude deste tema, fica aqui apena uma visão geral de como
elaborar um Plano de Gestão de Riscos Corporativos alinhado com os princípios da
ISSO 31.000:2009.