Se risco está associado a eventos que impactam objetivos, gerenciar risco é gerenciar eventos que, pela sua probabilidade e sua severidade (ou magnitude, ou impacto), dada uma avaliação, podem afetar negativa ou positivamente os objetivos de uma organização.
Por essa consideração, a gestão de risco é algo que agrega valor a uma organização, seja pela oportunidade, geradora de consequências positivas, seja pelo risco puro, gerador de consequências negativas para a organização.
Todas as organizações devem estabelecer um sistema de gestão de riscos, se pretendem dar sustentação ao alcance de seus objetivos e a ISO/IEC 31000:2009 é o modelo de referência para essa finalidade.
Um sistema de gestão de riscos considera as seguintes vantagens, conforme descreve a AIRMIC, Alarm, IRM(2010, p.2):
1. conformidade – a garantia de que as práticas estarão de acordo com requisitos legais, normativos, regulamentares e com a estratégia organizacional;
Também pode afetar a probabilidade e as consequências dos riscos se materializarem, promovendo os seguintes benefícios:
1. decisões estratégicas melhor implementadas; 2. mudanças melhores implantadas;
3. melhoria da eficiência operacional; 4. redução do custo de capital;
5. relatórios financeiros mais precisos; 6. vantagem competitiva;
7. melhoria na percepção da organização; 8. melhoria da imagem no mercado;
Assim sendo, considerando que gerenciar é o mesmo que controlar, que gerenciar pressupõe um método que envolve o planejamento, a execução, a avaliação e as ações corretivas, isto é, o PDCA, que pode ser aplicado ao planejamento, à melhoria e à manutenção dos processos e resultados organizacionais, podemos dizer, então, que o gerenciamento do risco é o mesmo que controle, que é o mesmo que estabelecer uma sistemática para definir os riscos, executar ações para manter riscos sob controle, avaliar os resultados obtidos, tanto do ponto de vista da eficiência do controle dos riscos, quanto da eficiência dos métodos aplicados, assim como a eficácia quanto aos objetivos organizacionais, estabelecendo ações corretivas nas práticas e na execução das atividades, para manter e melhorar, continuamente, a eficiência e eficácia desse gerenciamento.
Mais uma vez podemos atestar uma aderência muito grande entre as bibliografias estudadas e as metodologias e métodos apresentados para o gerenciamento de risco, alguns mais prescritivos que outros.
Especificamente, a ISO/IEC 31000:2009, uma norma que não propõe certificação, fornece princípios e diretrizes genéricas para a gestão de riscos. Friso a palavra “genéricas”, para reforçar seu caráter não prescritivo e modelador.
Essa norma apresenta um conjunto de 11 princípios, uma estrutura de cinco tópicos, que poderiam ser denominados de macroprocessos e que delineiam o sistema de gestão de risco, e
seis processos dos quais o processo de avaliação de riscos é subdivido em mais três subprocessos, conforme Figura 6, abaixo.
Figura 6 – Princípios, estrutura e processos para o gerenciamento de riscos, conforme a ISO/IEC 31000:2009
Os princípios acima apresentados corroboram fortemente com os benefícios aqui descritos. Cabe lembrar que, sendo a proposta dessa norma a elaboração de um sistema de gestão focado nos riscos que são eventos impeditivos da realização dos objetivos, tudo que se refere ao sucesso organizacional é impactado beneficamente.
No entanto, os resultados organizacionais podem, eventualmente, ser bons sem estarem sustentados por um sistema de gestão. Mas friso aqui a palavra “sustentados”. É intencional este realce, pois o sucesso atual de uma organização não garante o sucesso futuro.
A expectativa que os modelos de gestão enfocam é a perspectiva de prover a organização de uma robustez tal que um sistema de gestão seja aquilo que assegura vantagem competitiva de forma sustentável.
Vantagem competitiva sustentável é, obviamente, uma visão sistemática de assegurar que todos os aspectos relevantes e que possam impactar os objetivos sejam, constantemente,
identificados, analisados, priorizados e tratados, considerando-se, ainda, a participação de todas as pessoas.
Essa é a lógica de um sistema de gestão de riscos. Mais especificamente, é a lógica de um sistema baseado na ISO/IEC 31000:2009.
A ISO/IEC 31000:2009, quando comparada com a sua congênere AS/NZS 4364:2004, demonstra ser uma cópia fiel. Já quando comparada com a FERMA:2003 - Risk management, apenas os processos guardam correspondências.
Existem outros modelos de gestão de risco que não são detalhadas neste trabalho de dissertação. Muitos deles não descrevem especificamente riscos. No entanto, uma análise preliminar e comparativa demonstra que os aspectos tratados por eles se relacionam, indubitavelmente, aos riscos.
Esses modelos foram consultados como forma de conhecimento da diversidade e na busca de detalhes que poderão ser destacados para melhor entendimento da matéria e melhoria da aplicação do gerenciamento de riscos. Esses modelos são normas como: COSO ERM, CoCo, Cobit, Itil e modelos de auto-avaliação, tais como: Critérios de Excelência, CSA, BSC, 6 Sigma e GQT.
Conforme a norma FERMA:2003, “a gestão de risco é um elemento central na gestão da estratégia de qualquer organização”. Esse mesmo documento afirma que “o ponto central de uma boa gestão de risco é a identificação e tratamento dos mesmos”. Analisando os processos apresentados na ISO/IEC 31000:2009, podemos observar que o processo de avaliação de riscos demonstra ser o foco principal da norma, tal qual sugere a norma FERMA:2003.
Brasiliano (2010) apresenta um diagrama com os elementos da norma ISO/IEC 31000:2009 correlacionados ao PDCA, essencial para entender como a gestão está incorporada nesta norma. Observe na Figura7, abaixo, que essa proposta de integração força o entendimento de que, como um modelo de gestão, a norma incorpora a “alma” da dinâmica de um sistema, ou seja, uma circularidade, com o intuito de manter a constância de tratamento dos riscos.
Figura 7 – Ciclo PDCA x fases de gestão e análise de riscos do Método Brasiliano
Neste caso, fica clara uma dinâmica, uma visão sistêmica, num modelo em que um ciclo constante de planejamento, execução, verificação e ação corretiva integra cada um dos requisitos da norma.
Os elementos do framework, retirados da Figura 6 e destacados na Figura 9, estabelecem, em si, a dinâmica de um processo circular, sistêmico, para o gerenciamento do Risco. Estudaremos esta estrutura, considerando, principalmente, duas fontes que detalham toda a estrutura da ISO/IEC 31000:2009, da AIRMIC, Alarm, IRM:2010 e VMIA:2010 - Risk
Management: Developing & Implementing a Risk Management Framework.
Preliminarmente, é importante que a organização estabeleça um entendimento claro sobre três fatores fundamentais para o gerenciamento: a definição de risco, uma forma de registro da avaliação do risco e uma sistemática de classificação. Além de ser uma ação para a comunicação, também é uma forma de manter uma cultura única, formada sobre um termo e uma definição únicos, de modo a garantir a plena comunicação entre todas as pessoas.
O padrão de registro é a forma de anotação de todas as informações relevantes, quando da identificação dos riscos. Bom exemplos estão demonstrados pela AIRMIC, Alarm,
A tabela de classificação compreende matrizes que correlacionam probabilidade e impactos, estabelecem uma priorização para os riscos-chave e uma prioridade de tratamento. Em geral, são matrizes 3x3, 4x4 ou 5x5, feitas de acordo com a complexidade e interesse das organizações.
A FERMA(2010:p.7-8) e a VMIA(2010:p.79-82) apresentam exemplos de matrizes para a avaliação de risco. Esses documentos são guias bem detalhados sobre a estruturação da gestão de riscos. Acreditamos ser dispensável reproduzir suas soluções, considerando serem documentos públicos, acessíveis a qualquer pessoa. Pretendemos comentar a essência da gestão dos riscos, sem nos determos no detalhe de sua operacionalização.
A Figura 8, a seguir, é uma ilustração da forma como a VMIA:2010 estrutura o seu guia para a implementação da gestão de riscos focada na ISO/IEC 31000:2009. Com pequena diferenciação na descrição dos elementos, o modelo apresenta um fluxo de implementação das quatro fases consideradas pelo modelo de referência, traduzidas em três fases, como a seguir:
1. desenvolvendo uma estrutura de gerenciamento de risco; 2. implementando a estrutura de gerenciamento de risco; e 3. monitorando e revendo a estrutura de gerenciamento de risco.
Um framework de gerenciamento de risco é definido, na VMIA:2010, como um “conjunto de componentes que fornecem as bases e arranjos organizacionais para a concepção, execução, acompanhamento, revisão e melhoria contínua da gestão de risco em toda a organização”. Observe que essa definição está bem orientada com as definições de gestão que descrevemos acima.
Figura 8 – Estrutura de gestão de risco da VMIA:2010
A Figura 9, abaixo, é apresentada na AIRMIC, Alarm, IRM(2010:p.8). Esta é uma representação fiel da ISO/IEC 31000:2009.
Ambos os guias (AIRMIC, Alarm, IRM:2010 e VMIA:2010) detalham e apresentam, claramente, a forma de implementação da ISO/IEC 31000:2009, com checklists muito bem estruturados para essa finalidade.
Em geral, são requerimentos da implantação dessa estrutura: 1. a definição de papéis e responsabilidades;
2. o estabelecimento de um conjunto de políticas e diretrizes para orientar a cultura de gerenciamento de risco;
3. a instrumentalização do processo de documentação, registro e avaliação, incluindo um sistema informatizado para riscos, considerando o porte da empresa e a avaliação de custo
versus benefício;
4. uma sistemática para identificação, avaliação e tratamento dos riscos;
5. os meios de comunicação e de relatos dos riscos e de suas ações de tratamento; e 6. a garantia do envolvimento de todas as pessoas.
Figura 9 – Framework da gestão de risco conforme a AIRMIC, Alarm, IRM:2010
Esta é uma lista bem genérica e de entendimento direto, relacionado aos padrões normativos da série ISO9000 e suas correlatas.
Nas páginas 17 e 25 da AIRMIC, Alarm, IRM:2010 e ao longo da VMIA:2010 são encontradas diversas informações e checklist sobre esses requerimentos.
Na Figura 10, são apresentados os processos que compreendem a etapa de implementação da gestão dos riscos, do modelo sistêmico apresentado na figura anterior.
Figura 10 – Processos da implementação da gestão de risco conforme a AIRMIC, Alarm, IRM:2010
Os processos são de fácil entendimento e são apresentados num fluxo estruturado também de forma sistêmica.
À esquerda é apresentado o processo de comunicação e consulta, correlacionado aos demais processos, à exceção do processo de monitoramento e revisão. Este processo cuida, exatamente, de definir uma prática que garante o envolvimento de todos, durante todas as fases de implementação da gestão do risco.
O processo de monitoramento e revisão pressupõe o estabelecimento de uma prática que deve assegurar que os riscos tratados serão monitorados e revisados, quando da sua contextualização, avaliação e tratamento.
O processo de estabelecimento do contexto requer uma prática para delinear os ambientes interno e externo para a análise do risco. Tal como uma forma de delimitação, o que deve ser tratado, ou não, como risco.
O processo de avaliação do risco requer uma prática para identificar risco, analisar e priorizar os riscos. Essa parte requer a instrumentalização por formulários, planilhas ou sistemas informatizados e o estabelecimento da matriz de risco que será usada como parâmetro. Os guias aqui estudados apresentam boas soluções para essa finalidade.
O processo de tratamento requer o estabelecimento de uma prática para o tratamento do risco,
a priori um plano com as medidas de controle do risco.
Este fluxo é, especificamente, relativo a entendimento, identificação, tratamento e monitoramento de cada um dos riscos. É efetivamente operacional, para tratar risco a risco.
Abaixo, na Figura 11, apresentados um sumário de como a VMIA(2010:p.61) delineia o fluxo dos processos da gestão dos riscos.
Se entendermos que o gerenciamento do risco deve passar, fundamentalmente, por saber quais são os riscos e avaliar sua probabilidade e magnitude para identificar o nível do mesmo, há de se concordar com esta afirmação de que os processos de gestão dos riscos compreendem o “coração” de um sistema de gerenciamento de riscos.
Uma leitura de Broder (2000) e Marshall (2001) nos remete para os mesmos aspectos de gerenciamento propostos na ISO/IEC 31000:2009. Os processos apresentados por esses autores descrevem a ideia de identificação e mensuração dos riscos, para a priorização e tratamento.
Desta forma, podemos afirmar que a norma ISO/IEC 31000:2009 é a referência ideal para este estudo e que, mesmo existindo a necessidade de diversificação da bibliografia estudada, o gerenciamento de riscos apresentado será suficiente para a comparação das práticas do caso que será estudado.
Figura 11 – Sumário do fluxo dos processos da gestão de risco
Finalmente, vamos nos valer da definição de gestão de risco dada pela ISO GUIDE 73(2009:p.1) que é: “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”.
Mediante essa definição e pelo conjunto de atividades apresentadas acima, fica claro o que representa a gestão de risco e quais as atividades pertinentes. O gerenciamento de risco, de acordo com essas atividades, conforme descrito pela ISO/IEC 31000(2009:p.V), pressupõe: 1. aumentar a probabilidade de atingir os objetivos;
2. encorajar uma gestão pró-ativa;
3. estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;
4. melhorar a identificação de oportunidades e ameaças;
5. atender a normas internacionais e requisitos legais e regulatórios pertinentes; 6. melhorar o reporte de informações financeiras;
7. melhorar a governança;
8. melhorar a confiança das partes interessadas;
10. melhorar os controles
11. alocar e utilizar eficazmente os recursos para o tratamento de riscos; 12. melhorar a eficácia e a eficiência operacional;
13. melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
14. melhorar a prevenção de perdas e a gestão de incidentes; 15. minimizar perdas;
16. melhorar a aprendizagem organizacional; e 17. aumentar a resiliência da organização.
Estes objetivos são tratados pela norma como alguns exemplos do que a implantação e manutenção de uma gestão de acordo com ela possibilitam. Passam pelos objetivos de um programa de qualidade, com toda a certeza, mas não o esgotam.
No entanto, percebemos, em sua especificidade, o caráter preventivo quanto às operações da organização naquilo que se refere mais especificamente aos controles e à busca de evitar que as operações possam gerar danos à própria organização e, por conseguinte, aos stakeholders.
A gestão de riscos é uma sistemática para se buscar minimizar a probabilidade da ocorrência de eventos de riscos numa organização. Crises são consequência do mau gerenciamento dos riscos e levam à perda de confiança. A gestão de crises é uma sistemática para minimizar os impactos da ocorrência de um evento de risco crítico e, assim, preservar a confiança. Estes são temas que trataremos a seguir.