É um prazer tê-lo como visitante. Espero que você goste dos assuntos abordados e que de alguma forma lhe seja útil.


Plano de Gestão de Riscos Corporativos e a ISO 31.000:2009

“Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tornam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado “risco”.”

Essa definição de risco está na introdução da ABNT NBR ISO 31.000:2009 Norma Brasileira que traz os princípios e diretrizes para a gestão de riscos.
No meu curso de especialização de Master Business Security, ficou marcado uma definição simples e objetiva para riscos, que carrego até os dias atuais: “risco é tudo aquilo que pode trazer perdas reais e mensuráveis.”
O material que quero apresentar abaixo, é uma síntese de como implantar um Plano de Gestão de Riscos Corporativos (PGRC), alinhado com conceitos que aprendi e com o conhecimento da ISO 31.000.
A gestão de riscos pode ser aplicada a toda uma organização, em suas várias áreas e níveis, a qualquer momento, bem como a funções, atividades e projetos específicos.
Quero enumerar abaixo os benefícios que uma companhia poder ter com a implantação do processo de gestão de riscos:
  • Aumentar as chances de atingimento de metas e objetivos;
  • Despertar o interesse de uma gestão pró-ativa;
  • Estender à toda organização a necessidade de estar atenta à identificação e tratativa dos riscos;
  • Ter a possibilidade de melhorar a identificação de oportunidades e ameaças;
  • Estar adequada às Normas Internacionais;
  • Melhorar o reporte das informações;
  • Melhorar a gestão e a governança de um modo geral;
  • Aumentar a confiança entre as partes relacionadas/interessadas;
  • Ter uma base confiável para tomada de decisões e planejamentos;
  • Melhorar os controles dos processos;
  • Disponibilizar e utilizar de forma eficaz os recursos para o tratamento dos riscos;
  • Aumentar a eficácia e a eficiência operacional;
  • Atender requisitos de outras normas relacionadas;
  • Aumentar a prevenção de perdas e gestão de incidentes;
  • Trocar experiências entre as áreas relacionadas contribuindo para melhora no aprendizado organizacional; e,
  • Aumentar a resiliência da organização;

Gestão de riscos, nada mais é do que o desenho de um processo de gerenciar os riscos. É como diz a norma: “é a arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente.”
A gestão de riscos em linhas gerais, segue um princípio de melhoria contínua, sendo esse processo um “organismo vivo” e “dinâmico”, assim como  as ameaças na qual as organizações estão expostas.
Podemos dizer que esse processo de melhoria contínua na gestão de riscos, assemelha-se muito a um PDCA (Planejar – Executar – Verificar – Ajustar), também conhecido como ciclo de Deming ou simplesmente do inglês PDSA (plan-do-study-act). Digamos que essa semelhança no planejamento da gestão de risco ainda é mais forte com a evolução do método para OPDCA, onde o “O” é a observação ou o status da condição atual.
Na verdade, se constrói uma situação de “onde estou, para onde vou, como vou e quando vou” e depois que cheguei reavalio o processo para fazer possíveis e necessários ajustes para estar sempre em condições de fazer novos deslocamentos de forma mais eficaz e eficiente.
Em cima desse princípio, se constrói a pirâmide do PGRC – Plano de gestão de Riscos Corporativos.

  • Comunicação/Informação: é o pontapé inicial. É a divulgação do interesse da
    organização em implantar o processo. É a alta gestão da companhia manifestando e oficializando o inicio do processo.
  • Contexto: primeira etapa do processo. Momento em que será feito o levantamento de todos os dados de cenários (político, econômico, mercadológico, social e criminal) que incide direta ou indiretamente no meu negócio.
  • Identificação dos riscos: trata-se do levantamento e identificação de todas as minha ameaças, sejam internas ou externas. Cabe aqui relembrar a definição de riscos:”tudo aquilo que pode trazer perdas reais e mensuráveis”. 
  • Análise dos Riscos: é o momento em que os riscos identificados serão “dissecados”. Uma das metodologias mais utilizada é o diagrama de Ishikawa. Nessa etapa do processo, o objetivo é levantar todas as variáveis que incidem em um determinado risco e classificá-la. Possibilitando assim a identificação de causa-raiz. 
  • Avaliação dos Riscos: nesse momento iremos avaliar e classificar os riscos de acordo o grau de importância. Para tanto, leva-se em consideração a probabilidade de materialização versus o impacto desta materialização para os negócios da empresa. Cabe ressaltar que nesse momento haverá um link entre os riscos identificados, analisados e agora sendo tratados com os FCS’s (Fatores Críticos de Sucesso) definidos no plano diretor da organização. As metodologias para avaliação dos riscos poderão ser subjetivas (quando não tenho registros e nem dados anteriores) ou estatísticas. Os métodos subjetivos mais comuns são: T-Fine e Mosler.
  • Tratamento dos Riscos: etapa em que, com base no meu orçamento e na classificação dos riscos prioritários, vou definir um plano de ação para tratar os riscos, conforme a criticidade. Nesse caso, utiliza-se comumente a ferramenta do 5W2H.
  • Monitoramento: o monitoramento fecha o ciclo do PGRC. Nesta etapa instituímos uma ferramenta de gestão de ocorrências e incidentes para acompanhar a efetividade das ações tomadas no tratamento dos riscos. Havendo novos registros de materialização dos riscos, automaticamente se inicia o processo de avaliação e planejamento, a fim de mitigar novas reincidências.

Muito longe de querer esgotar a magnitude deste tema, fica aqui apena uma visão geral de como elaborar um Plano de Gestão de Riscos Corporativos alinhado com os princípios da ISSO 31.000:2009.
Postado por

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)