Dissecando a gestão de riscos

NR10 – Atendendo às exigências do Ministério do Trabalho – Reciclagem Obrigatória
Essa Norma Regulamentadora n.º 10, constante da Portaria n.º 598 de 07/12/2004 do Ministério do Trabalho e Emprego (MTE), estabelece os requisitos e condições mínimas para a implementação de medidas de controle e sistemas preventivos de acidentes com eletricidade. Hoje, observa-se uma grande quantidade de acidentes de trabalho que vem ocorrendo nesta atividade. Principalmente com mortes de trabalhadores que lidam com alta tensão. Igualmente, a terceirização de trabalhadores tem contribuído muito para a elevação de acidentes. Clique para mais informações.

imagesCA0KHYND“Quando penso em controles internos, sempre caio na mesma questão: implementação de processos de controle e gestão de negócios. Mas o tempo me demonstrou uma visão que, até então, desconhecia no dia a dia – a cultura”. Essa é a opinião de Marcos Assi, da Daryus Consultoria. Para ele, implementar controles internos e compliance, além das dificuldades existentes, têm a questão do desconhecimento da atividade. Este profissional nada mais é que um facilitador, pois a responsabilidade dos controles são justamente dos gestores, e são eles quem exercem a atividade e quem, geralmente, têm conhecimento dos riscos envolvidos.

“Antes de implementar qualquer tipo de controle, devemos identificá-los, juntamente com os procedimentos da organização, geralmente conhecida como mapear os processos, entender o que a empresa e seus departamentos fazem para, depois, partirmos para controles mais seguros e implementar uma gestão de riscos efetiva. Sem conhecer a atividade de cada um e o que pode ser feito ou evitado, dificilmente teremos controles internos confiáveis, sem contar a tal conformidade com as normas internas e externas”, explica.

O profissional acredita que a ausência de controle é muito evidente a cada dia, pois quem possui um órgão regulador que emite uma enormidade de normas e procedimentos semanalmente, já tem problemas para que os mesmos sejam implementados. Agora imaginem quem utiliza isso somente como melhores práticas conforme o COSO (Committee of Sponsoring Organizations)? A questão de como consolidar a confiança na gestão dos negócios vai além de controle e da gestão de riscos operacionais. “Devemos evidenciar a cada dia que os objetivos da organização estão sendo alcançados de forma segura e fidedigna, com responsabilidade e ética. Os controles internos na gestão de riscos são atualmente muito mais que uma necessidade, já deveriam ser inerentes as atividades de todas as empresas, afinal qual empresa não possui riscos? E quando questionamos os gestores sobre os riscos envolvidos nas atividades, sabe qual é a resposta? Nenhuma, mas eles, por desconhecerem o assunto, acham que se a sua atividade tiver riscos eles podem perder o emprego. Óbvio que isso é a ausência de controles internos e riscos. Devemos buscar uma maior mobilização e, principalmente, valorizar a implementação de controles e cultura organizacional, pois a gestão de riscos é parte de um processo de governança corporativa, governança de TI e compliance ou conformidade. Mesmo sem a obrigatoriedade imposta pelos órgãos reguladores, mas pela necessidade de demonstrar a efetividade do negócio e segurança dos investimentos, clientes, fornecedores.

Na verdade, a gestão de risco pode ser definida como a cultura, o processo e a estrutura relativos a perceber oportunidades enquanto são gerenciados os efeitos adversos. Uma explicação para o crescente interesse em gestão de risco é a oportunidade de aplicar novas ideias e ferramentas à realidade de risco. Ela deveria ser parte integral de boas práticas de negócios, tanto nos níveis estratégicos quanto operacionais. O principal ponto de gerenciar riscos é avaliar a incerteza do futuro de modo a tomar a melhor decisão possível.

Na verdade, o termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar (to dare, em inglês). Costuma-se entender risco como a possibilidade de algo não dar certo, mas o seu conceito atual envolve a quantificação e a qualificação da incerteza, tanto no que diz respeito às perdas como aos ganhos, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações. Assim, o risco é inerente a qualquer atividade na vida pessoal, profissional ou nas organizações, e pode envolver perdas, bem como oportunidades.

Na área financeira, a relação risco e retorno indica que quanto maior o nível de risco aceito, maior o retorno esperado dos investimentos. Esta relação vale tanto para investimentos financeiros como para os negócios, cujo retorno é determinado pelos dividendos e pelo aumento do valor econômico da organização. Dessa forma, empreender significa buscar um retorno econômico-financeiro adequado ao nível de risco associado à atividade. Ou seja, o risco é inerente à atividade de negócios, na qual a consciência do risco e a capacidade de administrá-lo, aliadas à disposição de correr riscos e de tomar decisões, são elementos chave.

Assumir os riscos diferencia empresas líderes, mas também pode levá-las a estrondosos fracassos. O resultado das iniciativas de negócios revela que o risco pode ser gerenciado a fim de subsidiar os gestores na tomada de decisão, visando a alcançar objetivos e metas dentro do prazo, do custo e das condições preestabelecidas. A aplicação do conceito de risco no contexto empresarial requer a definição de indicadores de desempenho, como a geração de fluxo de caixa, valor de mercado, lucro, reclamações de clientes, quebras operacionais, fraudes, etc., associados a níveis de volatilidade, ou seja, à variação dos resultados em torno de uma média. Essas possibilidades, tanto de ganho como de perda, que podem ter causas de natureza externa ou de natureza interna são oriundas do contexto em que cada organização atua.

O presidente da Target Engenharia e Consultoria, Mauricio Ferraz de Paiva, conta que por isso mesmo foi publicada em 2009 a norma NBR ISO 31000 – Gestão de Riscos – Princípios e diretrizes que fornece princípios e diretrizes genéricas para a gestão de riscos. Pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo. Pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos. Aplica-se a qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências positivas ou negativas. Não pretende promover a u niformidade da gestão de riscos entre organizações. Pretende-se que esta Norma seja utilizada para harmonizar os processos de gestão de riscos tanto em normas atuais como em futuras. Fornece uma abordagem comum para apoiar normas que tratem de riscos e/ou setores específicos, e não substituí-las. Não é destinada para fins de certificação.

“Todas as atividades de uma organização envolvem risco”, explica ele. “As organizações gerenciam o risco, identificando-o, analisando-o e, em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco. Ao longo de todo este processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja re querido. Essa norma descreve este processo sistemático e lógico em detalhes”.

Ele ainda assegura que, embora todas as organizações gerenciem os riscos em algum grau, a norma estabelece um número de princípios que precisam ser atendidos para tornar a gestão de riscos eficaz, recomendando que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em toda a organização. “A gestão de riscos pode ser aplicada a toda uma organização, em suas várias áreas e níveis, a qualquer momento, bem como a funções, atividades e projetos específicos. Embora a pratica d e gestão de riscos tenha sido desenvolvida ao longo do tempo e em muitos setores a fim de atender as necessidades diversas, a adoção de processos consistentes em uma estrutura abrangente pode ajudar a assegurar que o risco seja gerenciado de forma eficaz, eficiente e coerentemente. A abordagem genérica descrita na norma fornece os princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de qualquer escopo e contexto”.

Segundo a NBR ISO 31000, cada setor específico ou aplicação da gestão de riscos traz consigo necessidades particulares, vários públicos, percepções e critérios. Portanto, uma característica chave é a inclusão do estabelecimento do contexto como uma atividade no início deste processo genérico de gestão de riscos. O esta belecimento do contexto captura os objetivos da organização, o ambiente em que ela persegue esses objetivos, suas partes interessadas e a diversidade de critérios de risco – o que auxiliará a revelar e avaliar a natureza e a complexidade de seus riscos. Para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios abaixo descritos. a) A gestão de riscos cria e protege valor. A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho referente, por exemplo, a segurança e saúde das pessoas, a segurança, a conformidade legal e regulatória, a aceitação pública, a proteção do meio ambiente, a qualidade do produto, ao gerenciamento de projetos, a eficiência nas operações, a governança e a reputação.

b) A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças.

c) A gestão de riscos é parte da tomada de decisões. A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação.
d) A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incerteza, e como ela pode ser tratada.

e) A gestão de riscos é sistemática, estruturada e oportuna. Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e confiáveis.

f) A gestão de riscos baseia-se nas melhores informações disponíveis. As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados históricos, experiências, retroalimentação das partes interessadas, observações, previsões, e opiniões de especialista s. Entretanto, convém que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou modelagem utilizados, ou a possibilidade de divergências entre os especialistas.

g) A gestão de riscos é feita sob medida. A gestão de riscos está alinhada com o contexto interno e externo da organização e com o perfil do risco.

h) A gestão de riscos considera fatores humanos e culturais. A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo que podem facilitar ou dificultar a realização dos objetivos da organização.

i) A gestão de riscos é transparente e inclusiva. O envolvimento apropriado e oportuno d e partes interessadas e, em particular, dos tomadores de decisão em todos. Os níveis da organização assegura que a gestão de riscos permaneça pertinente e atualizada. O envolvimento também permite que as partes interessadas sejam devidamente representadas e terem suas opiniões levadas em consideração na determinação dos critérios de risco.

j) A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos continuamente percebe e reage as mudanças. Na medida em que acontecem eventos externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a analise crítica de riscos são realizados, novos riscos surgem, alguns se modificam e outros desaparecem.

k) A gestão de riscos facilita a melhoria cont 7;nua da organização. Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua maturidade na gestão de riscos juntamente com todos os demais aspectos da sua organização.

“Enfim, a analise de riscos envolve desenvolver a compreensão dos riscos. A analise de riscos fornece uma entrada para a avaliação de riscos e para as decisões sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento de riscos. A analise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco. Sua analise envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Convém que os fatores que afetam as consequências e a probabilidade sejam identificados. O risco é analisado determinando-se as consequências e sua probabilidade, e outros atributos do risco. Um evento pode ter várias consequências e pode afetar vários objetivos. Convém que os controles existentes e sua eficácia e eficiência também sejam levados em consideração”, acrescenta Paiva.

Convém que a forma em que as consequências e a probabilidade são expressas e o modo com que elas são combinadas para determinar um nível de risco reflitam o tipo de risco, as informações disponíveis e a finalidade para a qual a saída do processo de avaliação de riscos será utilizada. Convém que isso tudo seja compatível com os critérios de risco. É também importante considerar a interdependência dos diferentes riscos e suas fontes.

Convém que a confiança na determinação do nível de risco e sua sensibilidade a condições previas e premissas sejam consideradas na análise e comunicadas eficazmente para os tomadores de decisão e, quando apropriado, a outras partes interessadas. Convém que sejam estabelecidos e ressaltados fatores como a divergência de opinião entre especialistas, a incerteza, a disponibilidade, a qualidade, a quantidade e a continua pertinência das informações, ou as limitações sobre a modelagem.

A analise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da analise e das informações, dados e recursos disponíveis. Dependendo das circunstâncias, a analise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas. As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis.

As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns casos, e necessário mais que um valor numérico ou descritor para especificar as consequências e suas probabilidades em diferentes períodos, locais, grupos ou situações. No item 5.4.4 Avaliação de riscos da norma, está especificado que a finalidade da avaliação de riscos e auxiliar na tomada de decisões com base nos resultados da analise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado. Com base nesta comparação, a necessidade do tratamento pode ser considerada.

Assim, convém que as decisões levem em conta o contexto mais amplo do risco e considerem a tolerância aos riscos assumida por partes que não a própria organização que se beneficia do risco. Convém que as decisões sejam tomadas de acordo com os requisitos legais, regulatórios e outros requisitos. Em algumas circunstâncias, a avaliação de riscos pode levar a decisão de se proceder a uma analise mais aprofundada. A avaliação de riscos também pode levar a decisão de não se tratar o risco de nenhuma outra forma que seja manter os controles existentes.

Essa decisão sera influenciada pela atitude perante o risco da organização e pelos critérios de risco que foram estabelecidos. Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos legais, regulatórios ou quaisquer outros, tais como o da responsabilidade social e o da proteção do ambiente natural.

Convém que as decisões também levem em consideração os riscos que demandam um tratamento economicamente não justificável, como, por exemplo, riscos severos (com grande consequência negativa), porem raros (com probabilidade muito baixa). Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas. A organização, normalmente, beneficia-se com a adoção de uma combinação de opções de tratamento.

Ao selecionar as opções de tratamento de riscos, convém que a organização considere os valores e as percepções das partes interessadas, e as formas mais adequadas para se comunicar com elas. Quando as opções de tratamento de riscos podem afetar o risco no resto da organização ou com as partes interessadas, convém que todos os envolvidos participem da decisão. Embora igualmente eficazes, alguns tratamentos podem ser mais aceitáveis para algumas das partes interessadas do que para outras. Convém que o plano de tratamento identifique claramente a ordem de prioridade em que cada tratamento deva ser implementado.

O tratamento de riscos, por si só, pode introduzir riscos. Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. O monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as medidas permaneçam eficazes. A ênfase é colocada sobre a melhoria continua na gestão de riscos através do estabelecimento de metas de desempenho organizacional, através da mensuração e de analises críticas, além das subsequentes mudanças de processos, sistemas; recursos, capacidade e habilidades. Isso pode ser indicado pela existência de metas explícitas de desempenho contra as quais o desempenho da gerência individual e da organização e medido. 8 desempenho da organização pode ser publicado e comunicado. Normalmente, haverá pelo menos uma análise crítica anual de desempenho e, em seguida, uma revisão de processos e o estabelecimento de objetivos de desempenho revisados para o período seguinte. Esta avaliação de desempenho da gestão dos riscos é parte integrante do sistema corporativo de avaliação e mensuração do desempenho de departamentos e indivíduos.

Algumas formas avançadas de gestão de riscos incluem uma forma de responsabilização abrangente, integralmente aceita e muito bem definida, relativa aos riscos, controles e tarefas do tratamento dos riscos. Indivíduos designados aceitam suas responsabilidades, são adequadamente qualificados, e possuem recursos adequados para verificar controles, monitorar riscos, melhorar os controles, e comunicar-se eficazmente com as partes interessadas internas e externas sobre os riscos e sua gestão. Isto pode ser indicado quando todos os membros de uma organização estão totalmente conscientes dos riscos, controles e tarefas para os quais são responsáveis. Normalmente, isso estará registrado em descrições de cargo/posição, em bancos de dados ou sistemas de informação. Convém que a definição das funções e responsabilidades relativas a gestão dos riscos faça parte de todos os programas de formação da organização.

O processo de tomada de decisão dentro da organização, seja qual for o nível de sua importância e significância, envolve explicitamente a consideração dos riscos e aplicação da gestão de riscos em algum grau apropriado. Isso pode ser indicado por registros de reuniões e decisões que demonstrem que discussões explícitas sobre os riscos ocorreram. Além disso, convém que seja possível ver que todos os componentes da gestão de riscos estão representados dentro dos processos chaves para a tomada de decisão na organização, por exemplo, para as decisões sobre a alocação de capital, sobre grandes projetos e sobre reestruturação e mudanças organizacionais. Por estas razões, uma base sólida de gestão de riscos é vista dentro da organização como fornecendo a base para a governança eficaz.

Mais informações sobre a norma: NBR ISO 31000 – Gestão de riscos – Princípios e diretrizes

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: