Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Dr. Herbert Espuny UNIDADE III Gerenciamento de Crises e Controle de Riscos A análise de riscos permite que as organizações funcionem com mais segurança. Permite que os gestores possam enfrentar as crises de forma mais organizada e responsável. Dá mais credibilidade à organização e, consequentemente, o mercado e a sociedade reconhecem esta vertente. O que é risco e elementos da análise de riscos A norma ISO-31000 define risco como o “efeito da incerteza nos objetivos” (ISO-31000 NET). Em outras palavras, é a intercorrência possível no percurso para alcançar determinado objetivo. Tudo o que poderá ocorrer na trajetória será quantificado numa escala de probabilidade e de impacto. O risco tem relação com as incertezas. Introdução à análise de riscos Apenas para exemplificar, observe a seguinte análise: Objetivo: viajar da cidade de São Paulo até a cidade de Recife. Características da viagem: a viagem será realizada num carro de passeio. O veículo tem 4 anos de uso e suas revisões estão em dia. Possui 4 pneus e um estepe em bom estado. O total de quilômetros a serem percorridos será de aproximadamente 2.700. Considerando um período de viagem de 12 horas por dia, a uma velocidade média de 60 k/h, o objetivo seria alcançado em 3,75 dias, ou quatro dias, aproximadamente. Introdução à análise de riscos Questões logísticas relevantes: locais de abastecimento do veículo. Locais para hospedagem dos viajantes. Locais para as refeições dos viajantes. Riscos inerentes à viagem: furar pneus. Problemas mecânicos no veículo. Eventuais problemas de saúde nos viajantes. Eventuais congestionamentos que atrasem a viagem. Eventuais problemas de tempo, como temporais. Introdução à análise de riscos Planejamento da viagem: o aspecto inicial do planejamento da viagem tem a ver com o tempo disponível para alcançar o objetivo. Nas condições especificadas, dirigir 12 horas por dia, a uma velocidade média de 60k/h, demandaria 4 dias para completar o percurso. Há necessidade de chegar em 4 dias? Há uma folga de tempo? Tais aspectos precisam ser dimensionados inicialmente. Definidos tais parâmetros, os seguintes pontos devem ser pesquisados: Na hipótese de sair de São Paulo em determinado horário, qual a autonomia do veículo? Suponha-se que o veículo tenha autonomia para 6 horas de viagem. Então, o planejamento poderia ser, para o primeiro dia: Introdução à análise de riscos a) Dia 1: Saída de SP às 6h00 b) Dia 1: 9h00 – Parada para café e descanso de 30 m. – Três horas dirigindo c) Dia 1: 9h30 – Retorno à estrada d) Dia 1: 12h30 – Parada para almoço e abastecimento. – Seis horas dirigindo. e) Dia 1: 14h00 – Retorno à estrada f) Dia 1: 17h00 – Parada para café e descanso de 30 m. – Nove horas dirigindo g) Dia 1: 17h30 – Retorno à estrada h) Dia 1: 20h30 – Parada para hospedagem e abastecimento – 12 horas dirigindo Introdução à análise de riscos Observe-se que faz parte do planejamento verificar no percurso os seguintes pontos de parada que correspondam, aproximadamente, ao tempo dedicado ao percurso e à respectiva quilometragem. No ponto b calcula-se que os viajantes já estariam a 180 quilômetros de São Paulo (3 horas dirigindo a 60 k/h). É necessário verificar, na estrada escolhida, qual o ponto de apoio nessa região. Evidentemente que os pontos de apoio podem ficar a alguns quilômetros antes ou depois. Pode, também, haver mais de um ponto de apoio (postos de combustíveis, com lojas de conveniência e/ou lanchonetes na estrada). O planejamento consiste em analisar tais pontos e escolher aqueles que possam oferecer os melhores serviços. Introdução à análise de riscos No ponto d, os viajantes já teriam andado 360 quilômetros (6 horas dirigindo a 60 k/h). Novamente a questão do planejamento: nesta oportunidade há a necessidade de abastecimento, portanto é preciso que seja a parada em posto de abastecimento de combustíveis. Também está previsto o almoço. Devem ser planejadas as paradas deste tipo em postos de gasolina com restaurantes nas estradas ou, ainda, em cidades de beira de estrada que possam atender a tais requisitos. Novamente, a questão da exata posição pode ser discutida, só que com alguma diferença: é necessário pesquisar a exata posição do ponto de apoio, que pode ser antes dos 360 km a serem rodados. Mas não depois, pois o aspecto limitante é a reposição do combustível. Introdução à análise de riscos Outra alternativa seria a busca do abastecimento sempre num ponto anterior ao da completa utilização do tanque. Por exemplo, ao rodar os primeiros 180 quilômetros, preparar uma parada num posto de abastecimento de combustível. Isto daria maior segurança aos viajantes e o planejamento ficaria mais efetivo. Observe-se que tais providências ficam na seara do planejamento. Esta fase bem desenvolvida, sem dúvida, é um instrumento que auxilia a prevenção de riscos. Introdução à análise de riscos O planejamento para os outros dias seriam reproduções bastante próximas do que foi planejado para o primeiro dia. Após o planejamento, há a fase de identificação dos riscos. Considerando a definição de riscos ligada às incertezas e aos riscos já levantados, pode-se elencar: Introdução à análise de riscos a) Riscos relacionados aos problemas com pneus. Mitigação dos riscos: verificar estado dos pneus. Só viajar com pneus em bom estado. Verificar estado do estepe. Verificar se há os equipamentos funcionando para a troca de pneus, se necessário. b) Riscos relacionados à manutenção do veículo. Mitigação dos riscos: mandar o veículo para uma revisão geral. Contratação de seguro com socorro mecânico, especialmente para o percurso São Paulo – Recife. Introdução à análise de riscos c) Eventuais problemas de saúde nos viajantes. Mitigação dos riscos: todos os integrantes devem possuir planos de saúde com cobertura nacional. d) Eventuais congestionamentos que atrasem a viagem. Mitigação dos riscos: esses eventuais são de difícil previsão e impossível de predizer se ocorrerão ou não. É possível verificar se há caminhos alternativos no percurso e, caso haja, deixar a informação arquivada com os viajantes. Mesmo que haja congestionamentos, a utilização de caminhos alternativos, caso haja, dependerá do trecho em que estiver o problema, se o caminho alternativo estará viável, dentre outras possibilidades. Caso ocorram problemas deste tipo, é importante ter todos os contatos do destino para, no mínimo, notificar possíveis atrasos. Introdução à análise de riscos e) Eventuais problemas meteorológicos, como temporais. Mitigação dos riscos: também difícil de prever. Da mesma forma do risco anterior, é importante ter todos os contatos do destino para, no mínimo, notificar possíveis atrasos. Após os levantamentos desenvolvidos, passa-se à formalização da análise, com os elementos explicitados. Pode-se desenvolver uma tabela que facilite a visualização de todos os elementos da análise. Tal visualização é importante na medida em que facilita a visão sistêmica da análise e facilita o planejamento e a tomada de decisões. Introdução à análise de riscos Os administradores das organizações de todas as áreas devem introduzir, no planejamento de todos os setores, uma seção específica de análise de risco. A análise básica de risco envolve os seguintes fatores (MAXIMIANO, 2009, pp. 140-141): Introdução à análise de riscos a) Risco: eventos ou condições que precisam ser identificados, que podem prejudicar ou ameaçar as atividades da organização. b) Impacto: o quanto determinado evento ou determinada condição pode efetivamente impactar se for confirmada a incidência do evento ou condição. c) Evento deflagrador: situação que confirme a incidência. d) Ações preventivas: o que pode ser feito para que o evento deflagrador não ocorra. e) Ações corretivas: o que pode ser feito depois que o evento ou condição que prejudica ou ameaçaa organização efetivamente se confirmou. Introdução à análise de riscos Considere as seguintes afirmações: I. Providências que visem minimizar as consequências causadas. II. Providências que visem minimizar a possibilidade da ocorrência. III. Providências que corrijam os danos causados. Em relação às medidas corretivas, estão corretas: a) As afirmativas I, II e III. b) As afirmativas II e III. c) As afirmativas I e III. d) As afirmativas I e II. e) Somente uma das afirmativas. Interatividade Considere as seguintes afirmações: I. Providências que visem minimizar as consequências causadas. II. Providências que visem minimizar a possibilidade da ocorrência. III. Providências que corrijam os danos causados. Em relação às medidas corretivas, estão corretas: a) As afirmativas I, II e III. b) As afirmativas II e III. c) As afirmativas I e III. d) As afirmativas I e II. e) Somente uma das afirmativas. Resposta Considerando as análises já feitas, pode ser construído o seguinte quadro: Introdução à análise de riscos Figura 15: Risco, Impacto e Medidas. Fonte: Autoria própria. RISCO IMPACTO MEDIDAS PREVENTIVAS MEDIDAS CORRETIVAS Problemas com pneus Pequeno atraso na viagem Verificar estado dos pneus. Só viajar com pneus em bom estado. Verificar estado do estepe. Verificar se há os equipamentos funcionando para a troca de pneus, se necessário Trocar o pneu furado Manutenção do veículo Atraso na viagem Mandar o veículo para uma revisão geral. Contratação de seguro com socorro mecânico, especialmente para o percurso São Paulo – Recife Chamar socorro mecânico e providenciar o conserto do veículo Problemas de saúde nos viajantes Atraso na viagem Todos os integrantes devem possuir planos de saúde com cobertura nacional Acionar o plano de saúde. Verificar unidades de atendimento mais próximas Eventuais congestionamentos que atrasem a viagem Atraso na viagem Verificar se há caminhos alternativos no percurso Notificar possíveis atrasos Problemas meteorológicos, como temporais Atraso na viagem Verificar previsões meteorológicas Notificar possíveis atrasos. Tentar abrigo em local seguro Observação: o evento deflagrador pode ou não constar no quadro de análise. Se for evidente, como um pneu furado ou como outros exemplos, não há necessidade. Outro exemplo: Risco: uma determinada máquina de uma linha de produção de três máquinas parar de funcionar. Impacto: pode comprometer 33,33% de toda a produção da empresa, prejudicando um terço da entrega de vendas. Evento deflagrador: a máquina efetivamente parar. Introdução à análise de riscos Ações preventivas: plano de manutenção que preveja revisões periódicas nas máquinas. Ações corretivas: providenciar o rápido conserto da máquina ou a sua substituição, conforme o caso. Contatar clientes eventualmente prejudicados. Introdução à análise de riscos Introdução à análise de riscos Figura 15-A: Risco, Impacto e Medidas 2. Fonte: Autoria própria. RISCO IMPACTO MEDIDAS PREVENTIVAS MEDIDAS CORRETIVAS Uma determinada máquina de uma linha de produção de três máquinas parar de funcionar. Pode comprometer 33,33% de toda a produção da empresa, prejudicando um terço da entrega de vendas. Plano de manutenção que preveja revisões periódicas nas máquinas. Providenciar o rápido conserto da máquina ou a sua substituição, conforme o caso. Contatar clientes eventualmente prejudicados. Observe que quanto mais elaborado um plano de análises para enfrentamento de riscos, mais bem preparada está a organização para lidar com tais eventualidades. Um outro ponto que não pode ser desprezado e que faz parte da análise de risco é que determinada ocorrência pode, à luz da incerteza, caminhar de forma diferente do que foi planejado. A preocupação evidente é quando as coisas caminham de maneira a comprometer o objetivo traçado ou alcançá-lo de forma menos eficaz ou eficiente. No entanto, as coisas podem acontecer de forma a superar positivamente os objetivos pretendidos. Neste caso houve um desvio positivo. Introdução à análise de riscos A figura 16 expressa exatamente isso: Introdução à análise de riscos Figura 16: O que é risco? Fonte: Adaptado de: Rosa e Toledo (2015). OBJETIVO Incerteza Incerteza EfeitoEfeito +– RISCO Maximizar Anular ou diminuir Observe-se que o objetivo pretendido é representado pela seta reta. Há uma área em vermelho à esquerda e outra área em azul, à direita. O espaço à esquerda sinaliza os desvios que comprometem o objetivo que pode ocorrer no caminho e para os quais se justificam plenamente todas as análises de risco. E o espaço à direita sinaliza, da mesma forma, possíveis desvios dos objetivos finais, só que no sentido de superar aquilo que se espera. Introdução à análise de riscos Exemplo: uma fábrica de calçados espera vender, ao final do ano, dez mil pares de calçados. Se vendesse apenas sete mil, estaria no espaço à esquerda. Se vendesse quinze mil pares, estaria à direita. Observe-se, ainda, que nesse caso específico, o desvio positivo poderia merecer estudos de enfrentamento também, pois o aumento de 50% a mais de vendas do que o previsto poderia gerar uma série de despesas agregadas para as quais a organização poderia não estar preparada. Introdução à análise de riscos De qualquer forma, é importante ressaltar que o resultado positivo sempre concorrerá para a realização da organização. Como lembram Rosa e Toledo (2015): Ressalta-se que a probabilidade relacionada aos efeitos positivo e negativo não são necessariamente iguais. Pelo contrário, idealmente, o propósito da gestão de riscos é identificar, compreender e tratar o risco de forma a aumentar a probabilidade de atingir-se o efeito positivo em detrimento do efeito negativo. A compreensão de toda a sistemática, desde o vocabulário adequado até os processos que constituem a gestão de riscos, são objetos de normativas específicas, como a ISO-31000, que será abordada mais adiante. Introdução à análise de riscos O gestor pode complementar informações para subsidiar a análise de riscos. Além da descrição do risco, impacto, evento deflagrador e medidas corretivas e preventivas, podem ser agregados os seguintes dados: Orientação: o que fazer diante da identificação do possível risco. Ação: descrever a ação ou ações específicas em cada caso, sejam preventivas ou corretivas. Elementos complementares da análise de risco Responsável: quem efetivamente executará cada ação preventiva ou corretiva. Prazo: estabelecimento de prazo para cada ação a ser executada. Para ilustrar o acréscimo dos elementos citados, segue exemplo oriundo de pesquisa realizada numa empresa de autopeças, que pode ser observado na figura a seguir: Elementos complementares da análise de risco Elementos complementares da análise de risco Atividade Risco Probabilidade Grau impacto Orientação intervenção Preventiva Corretiva Ação Responsável Prazo Ação Responsável Prazo Estudos iniciais do processo Processos fora do padrão Cpk Baixa Muito alto Mitigar Atuar no controle do processo através do CEP Operador Imediato Segregar as peças e inspecionar Operador Imediato Estudos de análise dos sistemas de medição Resultado da análise não... Remota Muito alto Mitigar Treinar operadores, calibrar instrumentos de medição Depto. qualidade De acordo com planejamento Segregar peças do lote analisado Operador Imediato Figura 17: Análise de riscos. Fonte: Adaptado de: Silva et al (2010). Observa-se no exemplo acima que apesar das probabilidades serem consideradas baixa e remota, o grau de impacto, caso ocorra, seria muito alto. A orientação de mitigar (tornar mais brando ou suave o risco) seria através das ações preventivas especificadas. Caso o risco se concretize, seguem asações corretivas. Há também prazos e responsáveis para as ações de prevenção e correção. Observação: a figura mostra apenas um exemplo de análise e o seu formato é exatamente o que foi extraído na fonte referenciada. Elementos complementares da análise de risco Outro ponto importante tem a ver com os princípios da gestão de riscos. Por exemplo, a Controladoria Geral da União (CGU) estabelece como princípios os seguintes pontos: Proteção do ambiente interno como forma de garantir a atividade desenvolvida pela organização em ambiente corporativo saudável; A atividade de gerir riscos é própria de todas as áreas da organização. Elementos complementares da análise de risco Quando uma ocorrência representa a materialização da possibilidade de um risco previsto na análise de riscos da organização, é classificada como: a) Risco. b) Impacto. c) Medida preventiva. d) Medida corretiva. e) Evento deflagrador. Interatividade Quando uma ocorrência representa a materialização da possibilidade de um risco previsto na análise de riscos da organização, é classificada como: a) Risco. b) Impacto. c) Medida preventiva. d) Medida corretiva. e) Evento deflagrador. Resposta A gestão de riscos auxilia a tomada de decisões por parte da área estratégica da organização; A incerteza é abordada sem rodeios, de forma objetiva; Tudo deve ser sistematizado de forma estruturada; As informações são fidedignas; Elementos complementares da análise de risco A análise considera aspectos próprios da cultura e dos recursos humanos envolvidos; A administração de riscos é absolutamente transparente; É dinâmica e é capaz de mudanças, se necessário; Elementos complementares da análise de risco É um instrumento de apoio da melhoria contínua de toda a organização; Está integrada às inovações. Cada organização pode adaptar estes e outros princípios, mas o importante é fazer com que a gestão de riscos seja um instrumento organizacional que apoie e auxilie o desenvolvimento da organização, bem como uma ferramenta eficiente e eficaz no gerenciamento de possíveis ocorrências de risco. O comitê de riscos pode, por exemplo, fazer reuniões periódicas com os vários setores da organização para atualizar os estudos na área. Elementos complementares da análise de risco Elementos complementares da análise de risco Quadro 5: Gestão de Riscos CGU. Fonte: Adaptado de: CGU (2018, f.9). Princípios da Gestão de Riscos da CGU Agregar valor e proteger o ambiente interno da CGU Ser parte integrante dos processos organizacionais Subsidiar a tomada de decisões Abordar explicitamente a incerteza Ser sistemática, estruturada e oportuna Ser baseada nas melhores informações disponíveis Considerar fatores humanos e culturais Ser transparente e inclusiva Ser dinâmica, interativa e capaz de reagir a mudanças Apoiar a melhoria contínua da CGU Estar integrada às oportunidades e à inovação Fontes para Estudos da Gestão de Riscos Há uma série de fontes importantes para o estudo e o aperfeiçoamento da área de gestão de riscos. Uma delas é a publicação de um comitê americano, conhecida por COSO ERM: Commitee of Sponsoring Organizations (COSO) é o Comitê das Organizações Patrocinadora da Comissão Nacional sobre Fraudes em Relatórios Financeiros. Criada em 1985, é uma entidade do setor privado – ou seja, iniciativa independente –, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros, principalmente para estudar as causas da ocorrência de fraudes em relatórios financeiros. Cabe ressaltar que a origem do modelo COSO está relacionada a um grande número de escândalos financeiros na década de 1970 nos Estados Unidos, que colocaram em dúvida a confiabilidade dos relatórios corporativos (ENAP, 2018, p.6). Elementos complementares da análise de risco O trabalho do Commitee of Sponsoring Organizations (COSO), Enterprise Risk Management Framework (ERM), traduzido por Gerenciamento de Riscos Corporativos – Estrutura Integrada, fornece parâmetros para uma gestão de riscos para qualquer organização. A Pricewaterhouse Coopers traduziu o trabalho do COSO e, a seguir, apresentamos alguns dados do que está consignados naquele manual. O COSO-ERM aborda objetivos vinculados aos níveis: Estratégicos: definições de acordo com a missão da organização; Operacionais: eficiência e eficácia nas operações; De comunicação: relatórios transparentes; Conformidade: respeito às leis e normas. Elementos complementares da análise de risco A figura a seguir mostra, na concepção do COSO, a inter-relação entre os objetivos citados, os componentes do gerenciamento de riscos e os diversos níveis da organização. Elementos complementares da análise de risco Figura 18: COSO-ERM. Fonte: Adaptado de: PWC-COSO. A figura a seguir mostra, na concepção do COSO, a inter-relação entre os objetivos citados, os componentes do gerenciamento de riscos e os diversos níveis da organização. Figura 18: COSO-ERM. Fonte: PWC-COSO. Ambiente Interno Fixação de Objetivos Identificação de Eventos Avaliação de Riscos Resposta a Risco Atividades de Controle Informações e Comunicações Monitoramento N ív e l d e O rg a n iz a ç ã o D iv is ã o U n id a d e d e N e g ó c io S u b s id iá ria Outra importante fonte de estudos é o que está estabelecido na norma ISO-31000. A International Organization for Standardization (ISO) é uma organização que promove estudos de padronização em vários segmentos. Desenvolve normas e testes e tem representantes de vários países. Há exemplos de trabalhos reconhecidos internacionalmente, como a ISO- 9000, que trata da gestão da qualidade, e a ISO-14000, que trata da certificação ambiental. Elementos complementares da análise de risco Na área de riscos foi desenvolvida a ISO 31000: A ABNT NBR ISO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação , à ISO 31000:2009, que foi elaborada pela ISO Technical Management Board Working Group on Risk Management (ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005. Elementos complementares da análise de risco Quando implementada e mantida de acordo com essa Norma, a gestão dos riscos possibilita à organização inúmeros benefícios, dos quais destacamos: aumentar a probabilidade de atingir os objetivos; encorajar uma gestão proativa; estar atento para a necessidade de identificar e tratar os riscos através de toda a organização; melhorar a identificação de oportunidades e ameaças; atender às normas internacionais e requisitos legais e regulatórios pertinentes; Elementos complementares da análise de risco melhorar o reporte das informações financeiras; melhorar a governança; melhorar a confiança das partes interessadas; estabelecer uma base confiável para a tomada de decisão e o planejamento; melhorar os controles; alocar e utilizar eficazmente os recursos para o tratamento de riscos; Elementos complementares da análise de risco melhorar a eficácia e a eficiência operacional; melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente; melhorar a prevenção de perdas e a gestão de incidentes; minimizar perdas; melhorar a aprendizagem organizacional; e aumentar a resiliência da organização (ENAP, 2018, p.6). Elementos complementares da análise de risco Elementos complementares da análise de risco Figura 19: Processo de gestão de riscos segundo a ISO 31000 Figura 19: Processo de gestão de riscos segundo a ISO 31000. Estabelecimento do contexto Identificação de riscos Análise de riscos Avaliação de riscos Tratamento de riscos Comunicação e consulta Monitoramento e análise crítica Processo de avaliação de riscos O Reino Unido, a partir de 2001, implantou um amplo programa de gerenciamento de riscos,baseado em princípios amplamente utilizados internacionalmente. Tais princípios estão relacionados numa obra publicada pelo Her Majesty’s Treasury ou HM Treasury, departamento inglês responsável pela política econômica do país. A obra foi intitulada The orange book: management of risk – principles and concepts. Elementos complementares da análise de risco Orange book: O documento The orange book: management of risk – principles and concepts (O livro laranja: gerenciamento de riscos – princípios e conceitos) foi produzido e publicado pelo HM Treasury do Governo Britânico, sendo amplamente utilizado como a principal referência do Programa de Gerenciamento de Riscos do Governo do Reino Unido, iniciado em 2001. O documento foi atualizado em 2004. Elementos complementares da análise de risco Segundo o Projeto de Desenvolvimento do Guia de Orientação para o Gerenciamento de Riscos desenvolvido pelo MP, Programa Gespública, o Orange book tem como vantagens, além de ser compatível com padrões internacionais de gerenciamento de riscos, apresentar uma introdução ao tema gerenciamento de riscos, tratando de forma abrangente e simples um tema tão complexo. Ainda do ponto de vista do referido projeto, riscos devem ser gerenciados em três níveis: estratégico, de programas e de projetos e atividades. A organização deve ser capaz de gerenciar riscos nos três níveis. Vejamos alguns detalhes sobre cada um destes níveis: Elementos complementares da análise de risco Nível estratégico Neste nível, acontece o contrato político do governo com a sociedade e é estabelecida a coerência do seu programa de governo. As decisões aqui tomadas envolvem a formulação dos objetivos estratégicos e as prioridades para a alocação de recursos públicos em alinhamento com as políticas públicas. Nível programa Neste nível, encontram-se as decisões de implementação e gerenciamento de programas temáticos previstos no nível estratégico, através dos quais são executadas as políticas e as ações prioritárias de governo. Elementos complementares da análise de risco Nível projetos e atividades Neste nível, encontram-se os projetos que contribuirão para o atingimento dos objetivos dos programas e as atividades relativas aos processos finalísticos. As lideranças em todos os níveis da organização devem estar conscientes, capacitadas e motivadas com relação à relevância do gerenciamento de riscos nos três níveis, que são interdependentes ENAP (2018, p.10). Elementos complementares da análise de risco Elementos complementares da análise de risco Quadro 6: Gestão de Riscos CGU. Fonte: Adaptado de: CGU (2018, f.9). Objetivos da Gestão de Riscos da CGU Aumentar a probabilidade de atingimento dos objetivos da CGU Fomentar uma gestão proativa Atentar para a necessidade de se identificar e tratar riscos em toda a CGU Facilitar a identificação de oportunidades e ameaças Prezar pelas conformidades legal e normativa dos processos organizacionais Melhorar a prestação de contas à sociedade Melhorar a governança Estabelecer uma base confiável para a tomada de decisão e o planejamento Melhorar o controle interno da gestão Alocar e utilizar eficazmente os recursos para a mitigação de riscos Melhorar a eficácia e a eficiência operacional Melhorar a prevenção de perdas e a gestão de incidentes Minimizar perdas Melhorar a aprendizagem organizacional Aumentar a capacidade da organização de se adaptar a mudanças Entre os objetivos da gestão de riscos da CGU estão: I. Melhorar a governança. II. Minimizar perdas. III. Melhorar o controle interno da gestão. Estão corretas: a) As afirmativas I, II e III. b) As afirmativas II e III. c) As afirmativas I e III. d) As afirmativas I e II. e) Somente uma das afirmativas. Interatividade Entre os objetivos da gestão de riscos da CGU estão: I. Melhorar a governança. II. Minimizar perdas. III. Melhorar o controle interno da gestão. Estão corretas: a) As afirmativas I, II e III. b) As afirmativas II e III. c) As afirmativas I e III. d) As afirmativas I e II. e) Somente uma das afirmativas. Resposta As técnicas de análise de risco variam. Podem se basear em cálculos supercomplexos, oriundos de organizações especializadas nas avaliações de nichos específicos ou na observação atenta do operador responsável pela análise. De uma forma geral, as melhores análises de risco estão baseadas no equacionamento de duas vertentes básicas: a probabilidade do risco e o impacto. Técnicas de análises de riscos Considerações básicas sobre as análises de riscos O primeiro ponto a ser definido é que a análise do risco deve e precisa ser absolutamente individual para cada ocorrência possível. Fazer uma única análise de risco para ocorrências semelhantes não é uma boa prática. Por exemplo, uma empresa possui cinco linhas de produção. Ainda que sejam parecidas, as análises de risco devem contemplar cada uma, com suas especificidades. Para cada linha, alguns dados que podem auxiliar numa análise pertinente dos possíveis riscos: Técnicas de análises de riscos a) Qual produto é fabricado em cada uma das linhas? b) Qual a velocidade de produção em cada uma delas? c) Quantos funcionários trabalham em cada uma? d) Quantos turnos de trabalho em cada uma das linhas? e) Qual o histórico de interrupções e quais as razões? Técnicas de análises de riscos Tais questionamentos permitiriam saber, por exemplo, as linhas com maior incidência de interrupção de trabalho e quais os motivos que levaram às interrupções. Por exemplo, um problema de manutenção registrado numa única linha pode se repetir nas outras. Um eventual acidente de trabalho com determinado funcionário pode ocorrer novamente com outros trabalhadores. A individualização do contexto e da compreensão das atividades é fundamental. Posteriormente, podem ser estabelecidas relações que podem evitar problemas semelhantes já ocorridos. Técnicas de análises de riscos Outro fator determinante para a análise de riscos é verificar o impacto que determinado evento poderia trazer para a organização. A respeito do impacto, o manual da Controladoria Geral da União (CGU) estabelece: “Considerando o resultado da etapa de Entendimento do Contexto, o fluxo do processo organizacional, e a partir da experiência da equipe técnica designada, deve-se construir uma lista abrangente de eventos que podem evitar, atrasar, prejudicar ou impedir o cumprimento dos objetivos do processo organizacional ou das suas etapas críticas. Os riscos podem ser identificados a partir de perguntas como: Técnicas de análises de riscos Quais eventos podem evitar o atingimento de um ou mais objetivos do processo organizacional? Quais eventos podem atrasar o atingimento de um ou mais objetivos do processo organizacional? Quais eventos podem prejudicar o atingimento de um ou mais objetivos do processo organizacional? Quais eventos podem impedir o atingimento de um ou mais objetivos do processo organizacional?” (CGU, 2018, p.19). Técnicas de análises de riscos Observe-se que após a individualização de possibilidade de ocorrência de cada evento, o estabelecimento do impacto permitirá orientar a organização para o enfrentamento possível do risco estudado. E, neste contexto, os estudos devem estar relacionados aos objetivos da organização: o impacto poderá evitar, atrasar, prejudicar ou impedir tais objetivos? Quanto maior a relevância do impacto, mais os objetivos serão impactados. Até, numa proporção extremada, impedir que a organização continue existindo. Por exemplo, uma empresa que tenha em seu estoque um milhão de litros de combustível (tipo gasolina) estocados num único tanque que fica próximo às instalações produtivas e administrativas. Técnicas de análises de riscos Risco 1: Pequeno vazamento de 10 litros de combustível. Se o vazamento for monitorado, imediatamente é contido e o incidente nãopossui maior relevância, seja na continuidade dos negócios da empresa, seja no aspecto do prejuízo financeiro. Risco 2: O tanque com 1 milhão de combustível explodir. Pode causar mortes e ferimentos seríssimos. Pode destruir completamente a organização e o resultado pode ser a descontinuidade dos negócios (extinção da empresa). Os prejuízos financeiros serão de grande monta. Técnicas de análises de riscos Portanto, a identificação dos impactos é fundamental para uma correta análise dos riscos. Outro ponto relevante é analisar as possíveis causas das ocorrências citadas no exemplo. Por que o tanque explodiria? Quais as motivações que poderiam levar a tal incidente? Da mesma forma, por que haveria um vazamento pequeno no tanque? Técnicas de análises de riscos Tais questões propiciam um planejamento adequado e uma verificação das possíveis causas geradoras de eventos críticos. Por exemplo, se há uma ligação elétrica muito próxima do tanque citado, ela pode ser transferida para evitar um evento deflagrador de uma explosão. A válvula de contenção do combustível deve ser periodicamente verificada para evitar um vazamento. Além disso, devem-se analisar possíveis ações criminosas, como fraudes com o objetivo de prejudicar a organização. Nesse caso, providências como o monitoramento constante do espaço físico, seja através de câmaras de monitoramento, seja através de vigilantes, permitem a manutenção de um ambiente de segurança adequado. Técnicas de análises de riscos Explorando, ainda, a abordagem e controle dos evento identificados nos estudos iniciais, a CGU observa que: Os eventos identificados inicialmente podem ser analisados e revisados, reorganizados, reformulados e até eliminados nesta etapa e, para tanto, podem ser utilizadas as seguintes questões: Técnicas de análises de riscos O evento é um risco que pode comprometer claramente um objetivo do processo? O evento é um risco ou uma falha no desenho do processo organizacional? À luz dos objetivos do processo organizacional, o evento identificado é um risco ou uma causa para um risco? O evento é um risco ou uma fragilidade em um controle para tratar um risco do processo? (CGU, 2018, p.19). Técnicas de análises de riscos Exemplos práticos de análises de riscos A seguir serão apresentadas algumas análises de riscos baseadas em dois métodos: um mais simples e objetivo, o método 1, baseado em Caruso e Steffen (2006, p.6), em que as análises são processadas de uma forma mais rápida e atende bem aos objetivos da gestão de riscos. E outro método pouco mais complexo, baseado nas análises recomendadas pela Controladoria Geral da União – CGU, de acordo com as práticas do Tribunal de Contas da União – TCU. Técnicas de análises de riscos No primeiro método, que batizamos de método 1, há definições de probabilidade e consequência (impacto) divididas em quatro níveis. Para a probabilidade de risco há os níveis extremamente improvável, improvável, possível e bem possível ou já ocorrida. E para a consequência ou impacto há os níveis de insignificante, média e alta ameaça ao negócio. Técnicas de análises de riscos Técnicas de análises de riscos Análise: R = P X C Sendo que: R = Grau de Risco P = Probabilidade C = Consequência 1 < R < 4 = Risco Baixo 4 < R < 6 = Risco Médio 6 < R < 9 = Risco Alto R > 9 = Crítico Tabela 20: Tabela de Probabilidades X Consequências Fonte: Adaptado de: Caruso e Steffen (2006, p.6). MÉTODO 1 PROBABILIDADE (P) CONSEQUÊNCIA (C) 1 EXTREMAMENTE IMPROVÁVEL INSIGNIFICANTE 1 2 IMPROVÁVEL MÉDIA 2 3 POSSÍVEL ALTA 3 4 BEM POSSÍVEL OU JÁ OCORRIDA AMEAÇA AO NEGÓCIO 4 Observe, ainda, os fatores de análise: Fator probabilidade Extremamente improvável: quando a probabilidade de ocorrência é ínfima, o gestor estabelece esse critério quando realmente a ocorrência é extremamente rara. Improvável: tal critério é estabelecido quando a ocorrência é rara e improvável. Possível: quando há possibilidade da ocorrência se materializar. Bem possível ou já ocorrida: quando a ocorrência tem forte possibilidade de ocorrer ou já ocorreu. Técnicas de análises de riscos Fator consequência Insignificante: se o fato estudado efetivamente ocorrer, mas se tal fato não representar qualquer impacto na segurança da organização. Média: tal critério é estabelecido quando a ocorrência possa trazer consequências médias para a organização. Alta: quando há possibilidade de consequências graves. Ameaça ao negócio: quando a ocorrência tem o potencial de comprometer a existência da organização. Técnicas de análises de riscos Portanto, o nível de risco é definido pela multiplicação das colunas Probabilidade (P) e Consequência (C). Após a multiplicação, o nível pode ser classificado de Baixo (se a multiplicação ficar ente 1 e menos que 4), Médio (igual ou maior que 4 e menor que 6), Alto (igual ou maior que 6 e menor que 9) e crítico (maior que 9, sendo que o grau máximo seria 16). Em relação ao Método 1, uma observação importante: é um método bastante simples e, ao mesmo tempo, eficiente. Permite uma análise bastante rápida e pode ser usado para complementar uma análise de maior relevância ou, até mesmo, ser o único método em análise menos relevante. Observe os exemplos a seguir: Técnicas de análises de riscos Exemplo 1: Análise de fato mais relevante. Hipótese: instalações que armazenem material inflamável. É uma situação de relevância, pois se houver algum acidente pode gerar danos bastante significativos. O Método 1 deve ser utilizado como complementar, sendo importante a utilização de outros métodos para que a análise seja a mais ampla possível em função da relevância. De qualquer forma, neste caso, uma possível análise está representada na figura a seguir: Técnicas de análises de riscos Técnicas de análises de riscos Figura 21: Análise de fato de maior relevância – Método 1. Fonte: Adaptado de: Caruso e Steffen (2006, p.6). MÉTODO 1: INSTALAÇÕES COM COMBUSTÍVEL PROBABILIDADE (P) CONSEQUÊNCIA (C) 1 EXTREMAMENTE IMPROVÁVEL INSIGNIFICANTE 1 2 IMPROVÁVEL MÉDIA 2 3 POSSÍVEL X X ALTA 3 4 BEM POSSÍVEL OU JÁ OCORRIDA AMEAÇA AO NEGÓCIO 4 No caso específico, foi considerado que se o combustível pegasse fogo, por exemplo, a consequência seria alta. E, conforme a análise realizada, as circunstâncias apresentadas indicaram uma ocorrência possível. Neste caso, temos: R = 3 X 3 => R = 9. Ou seja, o risco é igual a 9, que define um risco alto. Neste caso é importante se concentrar ao máximo nas medidas preventivas, além da utilização de outros métodos, principalmente aqueles vinculados à saúde e à segurança do trabalho. Técnicas de análises de riscos Exemplo 2: Análise de fato menos relevante. Hipótese: possibilidade de um carro da empresa ter o pneu furado nas garagens internas. O Método 1 pode ser utilizado como principal, haja vista que a ocorrência não trará problemas de maior relevância. Evidentemente que tal método pode também ser utilizado em outras situações. Contudo, para situações mais complexas pode ser utilizado o método que apresentaremos a seguir. Técnicas de análises de riscos Neste caso, uma possível análise está representada na figura a seguir: Técnicas de análises de riscos Figura 22: Análise de fato de menor relevância – Método 1. Fonte: Adaptado de: Caruso e Steffen (2006, p.6). MÉTODO 1: PNEU FURADO NAS GARAGENS DA EMPRESA PROBABILIDADE (P) CONSEQUÊNCIA (C) 1 EXTREMAMENTE IMPROVÁVEL X INSIGNIFICANTE 1 2 IMPROVÁVEL MÉDIA 2 3 POSSÍVEL ALTA 3 4 BEM POSSÍVEL OU JÁ OCORRIDA X AMEAÇA AO NEGÓCIO 4 No caso específico, a ocorrência de um pneu furado nas dependências da organização pode ser considerada um evento de forte probabilidade ou, até mesmo, conforme o caso concreto, de fato já ocorrido. Contudo, apesar do incômodo, um pneu furado não tem a relevância para causar maiores riscos.Neste caso, temos: R= 4 X 1 => R = 4. Ou seja, o risco é igual a 4, que define um risco médio. Neste caso, é importante verificar as possibilidades de enfrentamento adequado do problema, como a reposição imediata do pneu furado, a devida sinalização interna, entre outras providências. Observe que o risco somente é médio em função da alta possibilidade de ocorrência. Técnicas de análises de riscos Há tabelas mais complexas que naturalmente podem ser aplicadas em organizações mais complexas. A Controladoria Geral da União (CGU), baseada nas formulações do Tribunal de Contas da União (TCU), recomenda um programa específico de gestão de riscos que estabelece a seguinte Escala de Probabilidade: Técnicas de análises de riscos Técnicas de análises de riscos Quadro 7: Gestão de Riscos CGU. Fonte: Adaptado de: CGU (2018, p.20). Escala de Probabilidade Probabilidade Descrição da probabilidade, desconsiderando os controles Peso Muito Baixa Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas nada nas circunstâncias indica essa possibilidade. 1 Baixa Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as circunstâncias pouco indicam essa possibilidade. 2 Média Possível. De alguma forma, o evento poderá ocorrer, pois as circunstâncias indicam moderadamente essa possibilidade. 5 Alta Provável. De forma até esperada, o evento poderá ocorrer, pois as circunstâncias indicam fortemente essa possibilidade. 8 Muito Alta Praticamente certa. De forma inequívoca, o evento ocorrerá, as circunstâncias indicam claramente essa possibilidade. 10 Técnicas de análises de riscos Quadro 8: Escala de Impacto CGU. Fonte: Adaptado de: CGU (2018, p.20). Escala de Impacto Impacto Descrição do impacto nos objetivos, caso o evento ocorra Peso Muito Baixo Mínimo impacto nos objetivos (estratégicos, operacionais, de informação/comunicação/divulgação ou de conformidade) 1 Baixo Pequeno impacto nos objetivos (idem) 2 Médio Moderado impacto nos objetivos (idem), porém recuperável 5 Alto Significativo impacto nos objetivos (idem), de difícil reversão 8 Muito Alto Catastrófico impacto nos objetivos (idem), de forma irreversível 10 RI = NP x NI Em que: RI = Nível do risco inerente NP = Nível de probabilidade do risco NI = Nível de impacto do risco Técnicas de análises de riscos Quadro 9: Classificação de Risco CGU. Fonte: Adaptado de: CGU (2018, p.20). Classificação do Risco Classificação Faixa Risco Baixo – RB 0 – 9,99 Risco Médio – RM 10 – 39,99 Risco Alto – RA 40 – 79,99 Risco Extremo – RE 80 – 100 As análises de risco estão baseadas no equacionamento de duas vertentes básicas: a) A probabilidade do risco e o impacto. b) O custo do material e o custo dos salários. c) O custo das máquinas e o salário dos funcionários. d) O custo da reputação e o custo dos equipamentos. e) A probabilidade do risco e o salário dos funcionários. Interatividade As análises de risco estão baseadas no equacionamento de duas vertentes básicas: a) A probabilidade do risco e o impacto. b) O custo do material e o custo dos salários. c) O custo das máquinas e o salário dos funcionários. d) O custo da reputação e o custo dos equipamentos. e) A probabilidade do risco e o salário dos funcionários. Resposta CARUSO, C. A. A.; STEFFEN, F. D. Segurança em informática e de informações. 3. ed. São Paulo: Senac, 2006. MAXIMIANO, A. C. A. Fundamentos de administração: manual compacto para as disciplinas TGA e introdução à administração. 2. ed. São Paulo: Atlas, 2009. Referências ATÉ A PRÓXIMA!
Compartilhar