Gestão de riscos é um conjunto de atividades coordenadas para o controle de riscos, como define a ISO 31000.
Então, como coordenar essas atividades? De onde elas devem partir? Quem e o que elas devem envolver?
A maioria das empresas que deseja estruturar formalmente a gestão de riscos se faz essas perguntas, independentemente da finalidade da estruturação.
Neste artigo, trazemos pontos que vão ajudar você a dar os primeiros passos. Entenda as vantagens e melhores práticas para fazer a gestão de riscos de maneira efetiva.
O que é gestão de riscos e qual o seu propósito?
Risco é tudo – eventos, atividades, situações etc. – que pode desviar negativamente a sua empresa dos objetivos esperados. De acordo com a ISO 9000, “é um efeito da incerteza nos objeivos”.
Então, como podemos definir gestão de riscos?
A gestão de riscos é uma atividade coordenada que visa identificar e lidar com esses fatores que ameaçam os objetivos da organização. Por isso, a gestão de riscos é uma atividade preventiva.
Por que a orgaizaçã a realizaria? Por que quando gerencia riscos, ela se prepara para o inesperado, minimizando ameaças e custos extras antes que aconteçam.
Logo, ao gerenciar riscos, a empresa protege mas também amplifica o nível de segurança sobre seus resultados.
Quais são os tipos de risco?
Ameaças podem ter origem em uma variedade de fatores, entre eles:
- Riscos estratégicos: por exemplo, de um concorrente entrando no mercado, mudanças econômicas ou no cenário político etc.
- Riscos de compliance: por exemplo, introdução de novas regras ou legislação, perda de documentação etc.
- Riscos financeiro: aumento da taxa de juros, endividamento, cliente inadimplente etc.
- Riscos operacionais: quebra ou roubo de equipamentos importantes, ou toda ação que possa gerar retrabalho para sua equipe etc.
- Riscos ambientais: desastres naturais etc.
- Riscos cibernéticos: ciberataques e fraudes virtuais etc.
- Riscos no ambiente de trabalho: ruídos, temperaturas extremas, substâncias tóxicas etc.
Princípios da gestão de riscos
A ISO 31000, referência normativa em gerenciamento de riscos, traz alguns princípios que devem orientar a estruturação desse controle na organização. Eles também servem de critérios para avaliar sua eficácia e a eficiência após instaurados.
São eles:
- Integração: todas as atividades organizacionais devem ser integradas à gestão de riscos.
- Abordagem estruturada: a empresa que tem uma gestão de riscos bem desenhada tende a ter resultados mais consistentes e um histórico de comparação.
- Personalização: Como depende dos objetivos, contexto e processos da empresa, o processo de gestão de risco tende a ser personalizado.
- Inclusão das partes interessadas: uma boa fundamentação e conscientização da gestão de riscos envolve oportuna e apropriadamente as partes interessadas.
- Dinamismo: uma gestão de riscos deve ser sensível às mudanças que levem a novos riscos.
- Baseada na melhor informação disponível: o material de base deve ser adequado, oportuno e tão completo quanto possível. A gestão de riscos não deve sair da cabeça de um gestor.
- Consideração de fatores humanos e culturais: fatores como esses podem influenciar o apetite a risco da empresa, o enfoque da gestão de riscos, entre outro pontos.
- Melhoria contínua: é claro que ela também estaria aqui. Sua gestão de risco deve ser voltada à melhoria contínua baseada em aprendizados e experiências.
Gestão de Riscos e ISO
A ISO 31000 é a referência normativa em gestão de riscos. Ela vem com uma formulação que estabelece os princípios, a estrutura e o processo para gerenciar riscos de maneira transparente e sistemática.
Mas ISO 9001 também aborda a questão. Só que sob o olhar da gestão da qualidade. Essa, aliás, é uma das grandes mudanças da versão 2015 dessa norma, que realçou a mentalidade de riscos.
O requisito 6.1 – Ações para abordar riscos e oportunidades da ISO 9001 aponta que:
6.1.1 Ao planejar o sistema de gestão da qualidade, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e oportunidades que precisam ser abordados para:
a) assegurar que o sistema de gestão da qualidade possa alcançar seus resultados pretendidos;
b) aumentar efeitos desejáveis;
c) prevenir, ou reduzir, efeitos indesejáveis;
d) alcançar melhoria. (…)
Embora a mentalidade de riscos de que a ISO 9001 fala não implique uma metodologia formal para gestão de riscos (como posto no Anexo 4) ela já traz a necessidade da organização identificar e lidar de alguma forma com riscos (assim como com oportunidades).
Mas as organizações têm total liberdade para escolher como vão abordar riscos dentro do SGQ.
A ISO 31010 é outra referência normativa em gestão de riscos, quando o assunto é ferramentas para gestão de riscos. O rol inclui mais de 40 opções de ferramentas para todas as etapas do gerenciamento de riscos. Vale a pena conferir.
Quem faz a gestão de riscos?
De acordo com a ISO 31000, é a Alta Direção a responsável por gerenciar riscos, “enquanto órgãos de supervisão são responsabilizados por supervisionar a gestão de riscos” (ver 5.2).
Porém, mais adiante (5.3), lemos que todos na organização têm responsabilidade por gerenciar riscos.
Em 5.4.3 vemos a sugestão da determinação de proprietários dos riscos, pessoas que possuam responsabilização e tenham autoridade para gerenciar riscos.
O processo da gestão de risco
A ISO 31000 tem um processo com etapas em claras:
1. Estabelecimento do escopo, contexto e critérios da gestão de riscos
Defina inicialmente a abrangência da gestão de riscos. Vais ser apenas operacional? Envolve também riscos estratégicos? Ou será apenas feita em projetos? Isso precisa estar claro para você manter o foco da gestão.
O mesmo vale para o contexto. Em que contexto organizacional e externo se insere a gestão de riscos? Você precisa mapear o terreno para entender quais os riscos que existem nele.
Quanto aos critérios, implica basicamente a definição do apetite a risco da organização. Quantos riscos a empresa pode assumir e que tipo de riscos são esses?
2. Avaliação dos riscos
A avaliação de riscos envolve a identificação, análise e avaliação de riscos. Vejamos cada um deles:
2.1 Identificação de riscos
Envolve o levantamento, reconhecimento e descrição de riscos, dentro do escopo, contexto e critérios definidos.
2.2 Análise quantitativa e qualitativa
Identificou os riscos? Agora faça uma análise qualitativa (natureza do risco) e quantitativa (nível de risco).
O nível de complexidade da análise de riscos pode variar bastante, de acordo com recursos disponíveis, mas normalmente envolve:
- Probabilidade de consequências
- Complexidade
- Fatores temporais
- Eficácia de controles existentes
- Níveis de confiança.
2.3 Avaliação do risco
Momento de comparar as análises com os critérios definidos inicialmente, a fim de decidir pela realização ou não de uma ação, que pode envolver mais análises, manutenção dos controles atuais ou implantação de tratativas.
3. Tratamento de riscos
Decida que ações vai tomar, faça o planejamento e a implantação das tratativas dos riscos e, por fim, a análise da eficácia.
Se o risco remanescente for aceitável, o processo termina aqui (não definitivamente, pois esse risco poderá ser reavaliado futuramente), mas se não for realize tratativas adicionais.
4. Monitoramento e análise crítica
Seu processo de gestão de riscos precisa ser analisado em todas as etapas periodicamente. Planeje também esta etapa, para garantir a performance adequada.
5. Registro e relato
Resultados do processo de gestão de risco devem ser registrados e comunicados a partes interessadas.
Software para gestão de riscos
Um software de mercado é uma ferramenta capaz de acelerar a implantação e a continuidade da gestão de riscos na organização. Ferramentas como o Qualyteam Gestão de Riscos são desenhadas em total acordo com a ISO 31000.
Ela vem com o processo de gerenciamento pronto. Para usar, portanto, basta você imputar os riscos na ferramenta. Todo o gerenciamento da análise, avaliação, plano de ação, implementação e eficácia podem ser realizados dentro da ferramenta, que envia emails automáticos para os envolvidos.
Além de você não perder tempo estruturando o processo em si, você centraliza e se mantém focado na lida com os riscos. Inicie um perído de teste grátis de 7 dias.
Vantagens do gerenciamento de riscos
Toda empresa está exposta a riscos. Mas se a direção acha que ainda assim não é preciso se preocupar com o gerenciamento proativo deles, veja que vantagens ela pode estar perdendo:
Desenvolvimento de uma mentalidade de risco
As práticas de gerenciamento de risco permitem que você desenvolva um mindset voltado à consideração de riscos em qualquer iniciativa. Você passa a enxergar onde e quais projetos precisam de atenção.
Maior probabilidade de sucesso
Fazer a gestão de riscos não significa deixar de arriscar ou nunca expandir, aumentar ou escalar suas operações. Pelo contrário.
Se há uma ideia de expandir a empresa em outro estado ou país, com uma boa análise de riscos, você consegue avaliar formas de assumir novos empreendimentos de forma sustentável.
Isso evita que você tome decisões no escuro, sem embasamento, que pode custar um preço muito alto no futuro.
Redução de custos
Ações preventivas são mais baratas que ações corretivas. Além disso, quanto mais clareza das ameaças que precisam ser eliminadas ou prevenidas, menores são as chances de impactar no bolso da empresa.
Por isso, se você quer reduzir seus custos operacionais, seja com multas, fraudes, sanções legais ou outros, tenha mapeado os riscos que possam atrapalhar o crescimento do seu negócio.
Satisfação das partes interessadas
Um negócio que evita problemas é mais seguro, confiável e eficiente na busca de seus objetivos. Logo tem mais facilidade de satisfazer as expectativas das partes interessadas.
Além disso, empresas com um gerenciamento de risco sólido possuem uma equipe mais engajada, que investe em melhores resultados para o cliente, o que também pode levar a clientes satisfeitos.
Gestão de riscos: diminua a distância da sua organização dos objetivos que ela almeja
Riscos afetam a capacidade das empresas chegarem aonde querem. Estar preparado para eles por meio de uma gestão de riscos eficiente é o que diferencia empresas que visam crescimento sustentável em médio e longo prazo.
Ter um processo para identificar, analisar e tratar riscos como o da ISO 31000 é essencial para a organização agir de forma preventiva e também promover a mentalidade de riscos.
Como você tem gerenciado riscos na sua organização? Compartilhe sua experiência conosco nos comentários.
]]>