Gestão de Riscos

Introdução
 
"Vivemos em um mundo em constante mudança no qual somos forçados a lidar com incertezas todos os dias e como uma organização lida com essas incertezas pode ser um direcionador chave para seu sucesso." (ISO.org)
 
Ao "efeito da incerteza nos objetivos" de uma organização denominamos de "risco" (ameaça) e nos últimos anos intensificou-se o foco e a preocupação das organizações com a gestão de riscos, tornando- se cada vez mais clara e objetiva a necessidade de definição de uma estratégia sólida, capaz de identificar, avaliar e controlar os riscos em todos os níveis organizacionais, incluindo as oportunidades. Se observarmos cuidadosamente o atual movimento ESG perceberemos que se trata da estruturação da Governança Corporativa considerando-se cuidadosamente os riscos Ambientais e Sociais.
​

​“O verdadeiro gênio reside na capacidade de avaliar informações incertas, perigosas e conflitantes."
(Winston Churchill)

A gestão de riscos visa criar e proteger valor nas organizações mediante a tomada de decisões fundamentadas que assegurem o estabelecimento e o alcance dos objetivos com melhoria do desempenho, levando em conta os contextos externo e interno, o comportamento humano, os fatores culturais e a interação com as partes interessadas, visando compreender a natureza dos eventos potenciais nos quais seus efeitos representam ameaças, para a elaboração de planos para mitigá-las.
 
Na gestão de riscos o efeito é um desvio em relação ao esperado, podendo ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em ameaças e oportunidades, ressaltando que:
 

• a evento de risco nunca ocorreu efetivamente na organização;
• os efeitos da incerteza não são os mesmos para todas as organizações; e,
• as oportunidades podem conduzir a novas ameaças.

 
A premissa inerente à gestão de riscos é que toda organização existe para gerar valor às partes interessadas e que elas enfrentam incertezas, sendo o desafio da Alta Direção e das lideranças determinar até que ponto aceitar essas incertezas - "apetite ao risco", assim como definir como essas incertezas pode interferir no esforço para gerar valor às partes interessadas. A gestão de riscos possibilita tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor contribuindo no alcance das metas e da lucratividade da organização, bem como evitando a perda de recursos.
 
Os eventos que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor.
 
Princípios
 
Segundo a norma ABNT NBR ISO 31000:2018, é preciso considerar alguns princípios para se estabelecer a estrutura e os processos da gestão de riscos de uma organização pois eles fornecem orientações e, ao serem devidamente comunicados, esclarecem a intenção e o propósito de sua aplicação, para que possibilitem o gerenciamento dos efeitos da incerteza nos seus objetivos.

Os princípios da gestão de riscos são:
 

• Integrada: A gestão de riscos é parte integrante de todas as atividades organizacionais;
• Estruturada e abrangente: Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis;
• Personalizada: A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos;
• Inclusiva: O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada;
• Dinâmica: Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna;
• Melhor informação disponível: As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes;
• Fatores humanos e culturais: O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de riscos em cada nível e estágio; e,
• Melhoria contínua: A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.

 
Estrutura
 
A decisão estratégica de uma organização em implementar uma gestão de riscos formal inclui a determinação de uma estrutura de gerenciamento de riscos para suportar sua integração em todos os processos e atividades organizacionais, em todos os seus níveis.
 
Uma estrutura de gerenciamento de riscos fornece as políticas, procedimentos e arranjos que incorporarão o gerenciamento de riscos em toda a organização em todos os níveis, definindo quando e como os riscos serão avaliados considerando:
 

• o contexto e os objetivos da organização;
• a extensão e o tipo de riscos que são toleráveis ​​e como os riscos inaceitáveis ​​devem ser tratado;
• como a avaliação de riscos se integra aos processos organizacionais;
• métodos e técnicas a serem usados ​​para avaliação de risco e sua contribuição para o risco processo de gestão;
• prestação de contas, responsabilidade e autoridade para realizar a avaliação de risco;
• recursos disponíveis para realizar a avaliação de risco; e,
• como a avaliação de risco será comunicada e revisada.

 
O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da organização. 

A Alta Direção é responsável por prestar contas e gerenciar os riscos, assim como determinar as autoridades e responsabilidades envolvidas e prover recursos adequados para que os processos da gestão de riscos estejam devidamente implementados e integrados aos demais processos, assim como por assegurar que sua estrutura se mantenha alinhada e consistente com o contexto organizacional.
 
Ao conceber a política e diretrizes da gestão de riscos a Alta Direção promove a comunicação formal a todos os níveis da organização e possibilita que os riscos sejam identificados, mensurados, avaliados, tratados, monitorados e reportados.
 
Os riscos são gerenciados em todas as partes da estrutura da organização e todos na organização têm responsabilidade por gerenciar riscos que podem ser categorizados em: estratégicos, social, operacional, tecnológico, compliance, financeiro, ambiental, reputacional, etc., dependendo do modelo de negócio da organização.

Processo
 
O processo de gestão de riscos é composto por 6 (seis) componentes mas esses componentes não funcionarão de forma idêntica em todas as organizações. A sua aplicação em organizações de pequeno e médio portes, por exemplo, poderá ser menos formal e menos estruturada. Não obstante, as pequenas organizações podem apresentar um gerenciamento de riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando adequadamente.
 
De outra forma, a eficácia e eficiência no tratamento das incertezas possuem limitações derivadas da ação de eventos externos nem sempre sob o controle da organização; da confiabilidade e quantidade de informações disponíveis e da subjetividade do julgamento humano no processo decisório, pois o estabelecimento dos controles necessitam levar em conta os custos e benefícios relativos.
 
Por fim, é preciso entender que o processo de gestão de riscos é multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.
 
Os componentes do processo de gestão de risco são os seguintes:
 

• Comunicação e consulta
• Escopo, contexto e critérios
• Avaliação dos riscos
  • Identificação dos riscos
  • Análise dos riscos
  • Avaliação dos riscos
• Tratamento dos riscos
• Monitoramento e análise crítica
• Registro e relato

 
Os componentes de identificação, análise e avaliação dos riscos podem ser considerados como o sub-processo de avaliação de riscos e são conduzidos de forma sistemática, iterativa e colaborativa, com base no conhecimento e nos pontos de vista das partes interessadas.

Comunicação e consulta
 
Uma comunicação e consulta efetiva é essencial para assegurar àqueles que são responsáveis pela identificação dos riscos e para àqueles que possuam interesse sobre os riscos entendam a base na qual as decisões sobre as informações dos riscos definidos e as razões pela qual as ações para seu tratamento são selecionadas.
 
É um processo contínuo e interativo para fornecer, compartilhar e obter informações e para conscientizar e engajar as partes interessadas a dialogarem a respeito do gerenciamento de riscos considerando que são pessoas ou organizações que podem afetar, serem afetadas ou se sentirem afetadas pelas decisões e ações tomadas.
 
Comunicação busca conhecimento e entendimento dos riscos, enquanto consulta envolve obter opiniões e informações para apoiar a tomada de decisão em cada etapa ao longo de todo o processo de gestão de riscos.
 
Uma abordagem coordenada e colaborativa é adequada para:
 

• Auxiliar a estabelecer o contexto apropriado e assegurar que os interesses de todas as partes interessadas são entendidos e considerados;
• Assegurar que incertezas, riscos, ameaças e oportunidades são adequadamente identificadas e gerenciadas;
• Envolva pessoas de diferentes áreas de conhecimento nas análises e avaliações dos riscos para assegurar que diferentes, e muitas vezes opostos, pontos de vista são considerados na definição dos critérios e na avaliação do risco e endossando as ações de tratamento do risco; e,
• Melhorar quaisquer mudanças no gerenciamento dos riscos associados a forma de decidir sobre as informações de risco.

 
Escopo, contexto e critérios
 
Como as atividades de gerenciamento de riscos podem ser aplicadas em diferentes níveis (Ex: estratégico, operacional, programas, projetos, etc.) é importante ser claro quanto ao escopo da gestão de riscos, os seus objetivos relevantes e o alinhamento esperado desses objetivos com os resultados planejados.
 
Ao estabelecer o escopo da gestão de riscos a organização personaliza o processo com as inclusões e exclusões específicas em termos de tempo e local, permitindo que se definam as técnicas e ferramentas apropriadas para a avaliação dos riscos, os recursos requeridos, as responsabilidades e registros a serem mantidos, bem como a interface com outros projetos, processos e atividades.
​

​“A gestão de riscos não diz respeito a decisões futuras e sim ao futuro de decisões presentes.”
(Robert Charette)

Estabelecer o contexto externo e interno, o ambiente no qual a organização define e busca alcançar seus objetivos, é fundamental para o processo de gestão de riscos pois esclarece as razões para se realizar a avaliação dos riscos e o cenários para a sua identificação e análise.
 
É preciso refletir sobre esse ambiente específico e as atividades na qual a gestão de riscos será aplicada pois fatores individuais, de equipe e organizacionais podem ser uma fonte de incertezas, ameaças e oportunidades que podem interferir, também, nos objetivos globais da organização.
 
De outra forma, a organização precisa especificar a quantidade e o tipo de riscos que podem ou não assumir em relação aos objetivos e estabelecer os critérios de riscos personalizados que servirão de referência para determinar a significância do risco que reflitam os valores, objetivos e recursos da organização e sejam consistentes com as políticas e diretrizes da gestão de riscos.
 
Um conjunto de critérios de riscos serve para:
 

• Decidir se um risco ou oportunidade pode ser aceito na busca pelos objetivos;
• Especificar uma técnica para determinar a magnitude do risco ou parâmetro do risco associado a um limite além do qual o risco se torna inaceitável;
• Especificar a variação da aceitação do risco em medidas de desempenho específicas vinculadas aos objetivos; e,
• Diferenciar critérios de risco específicos pois a aceitação de riscos financeiros pode não ser a mesma para riscos à vida humana.

 
É muito conveniente que os critérios de riscos sejam estabelecidos antes de se iniciar a avaliação de riscos para que se possa focar em quais riscos serão priorizados para tratamento com base no seu potencial para gerar resultados fora dos limites estabelecidos em torno dos objetivos. Os critérios de riscos são dinâmicos sendo adequado que sejam continuamente analisados criticamente e alterados, se necessário.
 
Ao se estabelecer os critérios de riscos deve-se considerar a possibilidade de que custos e benefícios possam diferir para diferentes partes interessadas e a maneira pela qual diferentes formas de incertezas devem ser consideradas. É neste momento que precisamos entender sobre a atitude, apetite e tolerância ao risco:
 

• Atitude de risco: É a abordagem da organização para avaliar e eventualmente perseguir, reter, assumir ou afastar-se do risco; e,
• Apetite ao risco: É a quantidade e os tipos de riscos que a organização está disposta a correr ou reter para alcançar seus objetivos e resultados; e,
• Tolerância ao risco: É a prontidão da organização para assumir o risco depois que as ações para tratamentos ao risco são implementadas para atingir os objetivos e resultados.

 
Avaliação de riscos
 
A avaliação de riscos consiste das sub-etapas de identificação, análise e avaliação dos riscos cujos resultados serão comparados com os critérios de riscos para determinar sua magnitude e qual a estratégia será adotada para o risco.
 
É adequado que seja conduzida de forma sistemática, iterativa e colaborativa, e subsidiada por informações relevantes, apropriadas e confiáveis para que, com base no conhecimento e na percepção das partes interessadas envolvidas, sejam associados aos objetivos que possam influenciar e norteiem as decisões quanto as ações a serem implementadas, ou não.
 
A identificação dos riscos visa descobrir, reconhecer e descrever os riscos que podem contribuir ou impedir que os objetivos da organização sejam alcançados. É necessário identificar as fontes de riscos, os eventos, as causas e as possíveis consequências, tangíveis ou intangíveis, que serão analisados e avaliados para uma tomada de decisão pelas partes interessadas.
 
Importante ressaltar que os riscos devem ser identificados, independentemente se sua fonte estar ou não sob o controle da organização. e registrados adequadamente.
 
Ao identificar os riscos devemos considerar:
 

• O que pode acontecer - o que pode dar errado;
• Como poderia acontecer;
• Onde poderia acontecer;
• Porque pode acontecer;
• Qual pode(m) ser a(s) consequência(s);
• Quem influencia ou pode influenciar o resultado; e,
• Quem é o proprietário do risco.

 
A norma ABNT ISO/IEC 31010 fornece orientações sobre seleção e aplicação de técnicas sistemáticas de avaliação de riscos.

Todo risco possui uma fonte de risco e os 3 (três) elementos principais:

Exemplo de uma descrição de risco: Mudanças tardias nas especificações do projeto (causa) conduzem à atrasos no projeto de engenharia (evento) resultando em atrasos na entrega do projeto e custos excessivos ​​(impacto).
 
Com os riscos identificados, descritos e registrados é preciso analisá-los para compreender sua natureza e características e, quando apropriado o nível do risco, que representa a magnitude expressa em termos de consequências (impacto) e sua probabilidade (Ex.: Matriz de Riscos).
 
A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia. Um evento pode ter múltiplas causas e consequências, as quais podem mudar ao longo do tempo, e podem afetar múltiplos objetivos.
 
As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo do grau de detalhamento e complexidade, bem como do propósito, da disponibilidade e confiabilidade da informação, e dos recursos disponíveis.
 
A análise quantitativa se concentra em dados numéricos (Ex.: estatísticas), enquanto a análise qualitativa se concentra em dados não numéricos, tais como palavras (Ex.: descrição).
 
É preciso ressaltar que a análise de riscos é subjetiva pois envolve pessoas que podem ter divergência de opiniões, vieses, percepções do risco e julgamentos distintos, as quais devem ser documentadas e comunicadas aos tomadores de decisão.
 
Quanto maior a incerteza de um evento em função das suas consequências severas, mais difícil será sua quantificação, sendo aconselhável a aplicação de uma combinação de técnicas de análise para seu entendimento.
 
As análises de riscos visa subsidiar o processo de decisão quanto ao tratamento a ser dado ao risco envolvendo a análise dos controles existentes e uma comparação com os critérios de riscos determinados pela organização para decidir por implementar, ou não, ações adicionais.
 
Considerações éticas, legais, financeiras e outras, incluindo percepção de risco devem ser consideradas na condução da decisão de:
 

• fazer mais nada;
• considerar as opções de tratamento de riscos;
• realizar análises adicionais para melhor compreender o risco;
• manter os controles existentes; e,
• reconsiderar os objetivos.

A avaliação e as decisões sobre o tratamento a ser dado aos riscos pode ser repetida com o intuito de verificar se as ações implementadas não criaram riscos adicionais e se o risco remanescente, se houver, é aceitável ou tolerável (apetite de risco).
 
Um risco pode ser aceitável ou tolerável considerando que:
 

• nenhum tratamento está disponível;
• os custos para tratamento são proibitivos ou antieconômico;
• o nível de risco é baixo não justificando aplicar recursos no seu tratamento;
• as oportunidades superam significativamente o riscos; e,
• uma decisão consciente foi tomada para não tratá-lo.

 
Tratamento de riscos
 
Após a conclusão da avaliação dos riscos é preciso tratá-lo, ou seja, selecionar e implementar uma ou mais ações para alterar a sua probabilidade de ocorrência, as suas consequências ou ambos, em um processo iterativo de:
 

• formular e selecionar opções para tratamento do risco;
• planejar e implementar o tratamento do risco;
• avaliar a eficácia deste tratamento;
• decidir se o risco remanescente é aceitável; e,
• se não for aceitável, realizar tratamento adicional.

 
O tratamento do risco é a ação tomada para gerenciar o risco, não sendo obrigatório para todos os riscos, é uma decisão tomada durante a avaliação do risco e inclui, também, atribuir as responsabilidade e propriedade do risco (dono), bem como definir os prazos para implementação das ações determinadas e emissão periódica de relatórios gerenciais.
 
As estratégias para tratar riscos não são, necessariamente, mutuamente exclusivas ou apropriadas em todas as circunstâncias. As estratégias podem envolver uma ou mais das seguintes opções:
 

• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco ou alterar como essa atividade é executada;
• reduzir o risco implementando controles (probabilidade) ou mitigando seus impactos (impactos);
• transferir o risco financeiro (Ex.: seguro, cláusulas contratuais, etc.)
• aceitar o risco por decisão fundamentada;
• compartilhar o risco;
• explorar o risco fazendo com que ele ocorra;
• Ampliar o risco (probabilidade e/ou impactos); e
• Rejeitar o risco devido ao custo elevado.

 
Obs: As opções 1 a 5 se referem a ameaças e as opções 5 a 8 se referem a oportunidades.
 
Cada estratégia possui seus próprios prós e contras, dependendo da natureza, probabilidade e impacto do risco sendo que, quanto maior a probabilidade do risco e/ou do seu impacto, mais devemos buscar ações para evitá-lo e para riscos de baixa probabilidade e/ou impacto podem ser transferidos ou aceitos.
 
Existem várias técnicas que podem ser aplicadas para implementar as ações de tratamento dos riscos determinadas, como escalonamento, contingência, reserva, prevenção, transferência, mitigação e aceitação.
 

• O escalonamento envolve elevar o risco a um nível mais alto de autoridade ou responsabilidade;
• A contingência envolve a criação de um plano alternativo caso o risco se materialize;
• A reserva envolve reservar uma parte do orçamento para cobrir os custos potenciais ou atrasos do risco;
• Prevenção envolve alterar a atividade fonte do risco ou impor maior controle para eliminar o risco ou suas causas;
• A transferência envolve a transferência do risco ou de suas consequências para terceiros por meio de contratos, seguros, parcerias ou outros mecanismos;
• A mitigação envolve a tomada de ações para reduzir a probabilidade ou o impacto do risco; e,
• A aceitação envolve aceitar o risco e seus efeitos potenciais e monitorá-lo para quaisquer alterações ou gatilhos.

 
Riscos que não possuam opções de tratamento disponíveis devem ser registrados e monitorados constantemente.
 
A análise de custo-benefício, as preferências das partes interessadas e as restrições existentes devem ser levadas em consideração ao selecionar uma estratégia de tratamento dos riscos. Além disso, a viabilidade, eficácia e eficiência de cada técnica devem ser consideradas ao definir as técnicas adequadas.
 
Uma vez que as estratégias e técnicas para tratamento dos riscos estejam selecionadas para implementação pelos proprietários dos riscos, os planos de tratamento devem ser elaborados identificando a sequência das ações a serem implementadas e monitorados, sendo adequado que estejam integrados aos planos e processos de gestão da organização, em consulta com as partes interessadas pertinentes.
 
Monitoramento de riscos
 
O monitoramento contínuo e a revisão do processo de gestão de riscos e seus resultados deve ser uma etapa planejada de suas atividades, com responsabilidades definidas, que envolve a coleta de feedback e dados das partes interessadas, fontes e ferramentas envolvidas em todas as suas etapas.
 
As informações coletadas devem ser analisadas criticamente ​​para identificar os pontos fortes e fracos, as ameaças e oportunidades ao processo de gestão dos riscos e o desempenho do tratamento dos riscos. Recomendações e ações devem ser geradas e incorporadas ao processo de gestão dos riscos para aprimorar o seu desempenho.
 
O monitoramento do processo de gestão de riscos permite:
 

• detectar quaisquer mudanças no contexto interno e externo;
• detectar riscos emergentes;
• as suposições sobre as incertezas, as ameaças e oportunidades continuam válidas;
• avaliar se o risco mudou e requer escalonamento;
• avaliar se o risconão é mais válido e pode ser arquivado no registro de riscos;
• os resultados e o desempenho estão sendo alcançados;
• os resultados das avaliações de riscos estão de acordo com as experiências e expectativas;
• as técnicas de avaliação dos riscos estão devidamente aplicadas e atendem de forma eficaz; e,
• o tratamento de riscos é eficaz e eficiente.

 
Registro e relato dos riscos
 
A etapa de registro e relato é fundamental para a condução apropriada da comunicação e consulta, no detalhamento necessário, pois permite uma análise crítica consistente de todo o processo de gestão de riscos.
 
O registro e o relato visam:
 

• comunicar atividades e resultados de gestão de riscos em toda a organização;
• fornecer informações para a tomada de decisão;
• melhorar as atividades de gestão de riscos;
• auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com responsabilização por atividades de gestão de riscos.

 
Todos os resultados das atividades da gestão de riscos devem ser registradas pelos meios apropriados, respeitando a confidencialidade do nível organizacional em que são avaliados e tratados, de forma a ser entendido pelas partes interessadas e, principalmente, pelos tomadores de decisão.
 
Os registros também irão auxiliar na identificação de lições aprendidas na etapa de monitoramento, bem como suportar a melhoria contínua do processo de gestão de riscos e o aprimoramento do conhecimento organizacional a respeito do aspecto risco.
 
Um registro de risco é usado para registrar riscos e fornecer informações para gerenciá-los. Pode ser uma planilha ou fazer parte de um aplicação de software. A seguir estão os principais elementos que devem ser incluídos em um registro de risco:
 

• número e descrição do risco, incluindo a causa do risco;
• categoria;
• controles;
• eficácia dos controles;
• classificação de probabilidade;
• classificação de impacto (consequência);
• classificação atual;
• mudança para classificação de risco anterior;
• pessoa/proprietário responsável; e,
• status do plano de tratamento.

---

Controles
 
Um controle é:
 
“medida que está modificando o risco – controles incluem qualquer processo, política, dispositivo, prática ou outras ações que modifiquem o risco. Controles pode nem sempre exercer a função pretendida ou assumida efeito modificador”. (AS/NZS ISO 31000:2009)
 
Um risco pode ser classificado como muito alto ou muito baixo com base em como o controle é visto, sua eficácia ou na ausência de um controle.
 
Compreender o ambiente de controle é uma parte essencial do processo de gestão de risco. O proprietário do risco é a melhor pessoa para fornecer uma visão do controle. Uma avaliação especializada pode ser necessária para apoiar e validar esta visão.
 
Os controles são importantes porque uma organização não pode operar efetivamente sem governança, estrutura, processos e procedimentos. Cada organização terá controles para administrar e orientar a maneira como ela opera e entrega seus produtos e serviços.
 
Uma organização precisa estabelecer sua governança e ambiente de controle e muitos dos controles são estabelecidos devido a requisitos estatutários eu regulamentares. Os controles geralmente são de responsabilidade dos proprietários do risco e incluiria sua supervisão e implementação.