Publicado em Deixe um comentário

Gerenciamento de Riscos Corporativos

INTRODUÇÃO

As organizações de todos os seguimentos e porte enfrentam interferência de fatores internos e externos que tornam incerto atingimento de seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.

Todas as atividades de uma organização envolvem risco. As organizações fazem a gestão do risco, identificando, analisando e, em seguida, avaliando se o ele deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco.

As atividades envolvidas no Gerenciamento de Riscos Corporativos devem contribuir para a perenidade da organização, atendendo aos seus objetivos estatutários e estratégicos.

O modelo de Gerenciamento de Riscos Corporativos é um instrumento de tomada de decisão da alta administração que visa melhorar o desempenho da organização pela identificação de oportunidades de ganhos e de redução de probabilidade e/ou impacto de perdas, indo além do cumprimento de demandas regulatórias.

Conceituação de Risco

Alguns autores costumam definir risco como a possibilidade de um evento adverso que possa afetar negativamente a capacidade de uma organização para alcançar seus objetivos. Nesse contexto, o risco é considerado um evento indesejável. Para esses autores, a possibilidade de um evento conduzir-se a um resultado favorável é chamada de chance, enquanto a possibilidade de um evento conduzir-se a um resultado desfavorável é de risco.

Benefícios do Modelo de Gerenciamento de Risco

A adoção de um modelo de Gerenciamento de Risco visa a permitir que a alta administração e demais gestores da organização lidem eficientemente com a incerteza, buscando um balanceamento ótimo entre desempenho, retorno e riscos associados.

A implantação do Gerenciamento de Risco traz vários benefícios para a organização:

  • Preserva e aumenta o valor da organização, mediante a redução da probabilidade e/ou impacto de eventos de perda, combinada com a diminuição de custos de capital que resulta da menor percepção de risco por parte de financiadores e seguradoras e do mercado em geral;
  • Promove maior transparência, ao informar aos investidores e ao público em geral os riscos aos quais a organização está sujeita, as políticas adotadas para sua mitigação, bem como a eficácia das mesmas;
  • Melhora os padrões de governança, mediante a explicitação do perfil de riscos adotado, em consonância com o posicionamento dos acionistas e a cultura da organização, além de introduzir uma uniformidade conceitual em todos os níveis da organização, seu conselho de administração e acionistas.

PROCESSO

Segundo ABNT NBR ISO 31000:2009 o processo de gestão de riscos é a aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.

Comunicação e consulta

Uma comunicação ágil e adequada com as diversas partes interessadas, acionistas, reguladores, analistas financeiros e outras entidades externas tem a finalidade de permitir avaliações mais rápidas e objetivas a respeito dos riscos a que está exposta a organização. O conteúdo da comunicação com o ambiente externo e interno reflete as políticas, a cultura e as atitudes desejadas e valorizadas pela alta administração.

Estabelecimento do contexto

Para a ABNT NBR ISO 31000:2009 ao estabelecer o contexto, a organização articula seus objetivos, define os parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo.

Mesmo que muitos destes parâmetros sejam similares àqueles considerados na concepção da estrutura da gestão de riscos, ao se estabelecer o contexto para o processo de gestão de riscos, eles precisam ser considerados com mais detalhe.

Construção de cenários

A construção de cenários é uma ferramenta para ordenar percepções sobre ambientes futuros alternativos nos quais as consequências de sua decisão vão acontecer, ou, ainda, um salto imaginativo no futuro. Os estudos prospectivos constituem parte importante do processo de planejamento, na medida em que oferecem uma orientação para as tomadas de decisões sobre iniciativas e ações para a construção do futuro almejado pela sociedade e pelas empresas.

Processo de avaliação de riscos

Identificação de riscos

A fase de Identificação de riscos consiste na definição do conjunto de eventos, externos ou internos, que podem impactar os objetivos estratégicos da organização, inclusive os relacionados aos ativos intangíveis. É importante ressaltar que sempre existirão riscos desconhecidos pela organização. O processo de identificação e análise geral de riscos deve ser monitorado e continuamente aprimorado.

Apreciação das causas e as fontes de risco

Após a identificação dos riscos é necessário identificar as causas de cada risco, que podem estar dentro do controle da organização ou serem incontroláveis.

Análise de riscos

Para se definir qual o tratamento que será dado a determinado risco, o primeiro passo consiste em determinar o seu efeito potencial, ou seja, o grau de exposição da organização àquele risco. Esse grau leva em consideração pelo menos dois aspectos: a probabilidade de ocorrência e o seu impacto. Deve-se incorporar também o impacto “intangível” à análise.

O risco é, em termos gerais, o resultado do produto da probabilidade pela impacto. A probabilidade traduz a medida de desencadeamento do acontecimento inicial, e integra em si a duração/exposição das organizações, negócios ou pessoas ao perigo e as medidas preventivas existentes. Assim sendo, podemos afirmar que a probabilidade é a função do nível de exposição e do conjunto das deficiências (que é o oposto das medidas preventivas existentes para os fatores em análise) que contribuem para o desencadear de um determinado acontecimento não desejável.

O impacto refere-se ao dano mais grave que é razoável esperar de uma ocorrência envolvendo o perigo avaliado.

Avaliação de riscos

Segundo a ABNT NBR ISSO 31000:2009 a avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado. Sua finalidade é auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento.

Tratamento de riscos

Depois de identificados, avaliados e mensurados, deve-se definir qual o tratamento que será dado aos riscos. Na prática, a eliminação total dos riscos é impossível. A alta administração poderá determinar seu posicionamento frente aos riscos, considerando seus efeitos, grau de aversão e resposta, complementada por uma análise de custo-benefício.

O IBGC cita algumas alternativas para tratamento dos riscos como:

  • Evitar o Risco: decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.
  • Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter, reduzir, transferir/ compartilhar ou explorar o risco.
  • Reter: manter o risco no nível atual de impacto e probabilidade.
  • Reduzir: ações são tomadas para minimizar a probabilidade e/ou o impacto do risco.
  • Transferir e/ou Compartilhar: atividades que visam reduzir o impacto e/ou a probabilidade de ocorrência do risco através da transferência ou, em alguns casos, do compartilhamento de uma parte do risco.
  • Explorar: aumentar o grau de exposição ao risco na medida em que isto possibilita vantagens competitivas.
  • Prevenção e Redução dos Danos: Os riscos podem ser reduzidos pela prevenção – diminuição da probabilidade de ocorrência e/ou diminuição do impacto financeiro esperado sobre a organização, caso o evento ocorra – e/ou pela remediação – controle dos danos após a ocorrência do evento.
  • Capacitação: Na avaliação dos riscos deve-se considerar a capacitação da organização em lidar com os mesmos, o que significa ser capaz de identificá-lo, antecipá-lo, mensurá-lo, monitorá-lo e, se for o caso, mitigá-lo.

Preparando e implementando planos para tratamento de riscos

A elaboração de um mapa de riscos apoia a priorização e visa direcionar os esforços relativos ao plano de ação, a fim de minimizar os eventos que possam afetar adversamente e maximizar aqueles que possam trazer benefícios para a organização.

Com o objetivo de priorizar as ações, é necessário identificar os fatores de riscos comuns dos riscos plotados nos quadrantes vermelho e ou amarelo da matriz de riscos.

O Plano de Ação é o conjunto de medidas organizacionais, sistemas técnicos de prevenção e monitoração, recursos humanos que gerenciarão os riscos. Neste trabalho será utilizado a método 5W e 2H para a elaboração do plano de ação.

Monitoramento e análise crítica

Cabe à alta administração a avaliação contínua da adequação e da eficácia de seu modelo de Gestão de Riscos. Este deve ser constantemente monitorado, com o objetivo de assegurar a presença e o funcionamento de todos os seus componentes ao longo do tempo.

O monitoramento regular ocorre no curso normal das atividades gerenciais. Já o escopo e a frequência de avaliações ou revisões específicas dependem, normalmente, de uma avaliação do perfil de riscos e da eficácia dos procedimentos regulares de monitoramento. Vulnerabilidades e deficiências no Gerenciamento de Riscos devem ser relatadas aos níveis superiores de gestão e, dependendo da gravidade, reportadas à alta administração.

O progresso na implementação dos planos de tratamento de riscos proporciona uma medida de desempenho. Os resultados podem ser incorporados na gestão, na mensuração e na apresentação de informações a respeito do desempenho global da organização.

CONSIDERAÇÕES FINAIS

A gestão de riscos é um processo interativo composto por etapas, que, quando realizada sequencialmente possibilitam melhorias na tomada de decisão.

O modelo de Gerenciamento de Riscos Corporativos é um instrumento de tomada de decisão da alta administração que visa melhorar o desempenho da organização pela identificação de oportunidades de ganhos e de redução de probabilidade e/ou impacto de perdas, indo além do cumprimento de demandas regulatórias.

Ferramenta de Gestão de Riscos

Conheça aqui a Planilha de Gerenciamento de Riscos Corporativos, é uma ferramenta desenvolvida para para gerenciamento de riscos corporativos, com o processo de Gestão de Riscos Corporativos alinhado com a ISO 31000.

Planilha de Gerenciamento de Riscos Corporativos

Publicado em Deixe um comentário

RISCO – A IMPORTÂNCIA DE UMA POLÍTICA DE AUDITORIA

A Importância de Politicas de Auditoria de Risco

No contexto atual do mundo globalizado, é fundamental que as organizações de todos os segmentos de mercado aprimorem e inovem seus recursos (humanos, operacionais, tecnológicos e ferramentas de gestão), a fim de obterem diferenciais que sustentem seus lucros em meio ao quadro de mudanças e crescente competitividade.

O desenvolvimento do cenário empresarial impõe a busca por medidas que visem minimizar as necessidades e atender expectativas a qualquer custo, os riscos potenciais de todos os processos corporativos.

Pode-se entender por risco, um elemento de surpresas que sempre se refere ao futuro. É a probabilidade de ocorrência de um evento desfavorável. É a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.

Prevenir falhas e evitar problemas que coloquem em risco a imagem da empresa diante dos acionistas, dos clientes e do mercado em geral, têm sido os objetivos fundamentais de toda companhia que quer garantir uma administração estável e segura.

O Papel da Auditoria de Risco

Com o objetivo de averiguar se as empresas desenvolvem suas atividades visando a consecução das metas estabelecidas, a Auditoria de Riscos conquista seu espaço e cada vez mais desempenha um importante papel. A Análise de Riscos se utiliza de vasta bagagem de informações buscando assegurar um alto padrão de planejamento e desenvolvimento, além de estabelecer ações preventivas, essenciais para o êxito das organizações.

No Brasil, a Auditoria Interna assumiu concretamente sua responsabilidade na avaliação e prevenção de riscos, o que reflete um aprimoramento dos enfoques, das metodologias e das ferramentas adotadas. O reconhecimento da importância dessa área como fator de articulação da companhia tem aumentado a exigência por um altíssimo grau de especialização nas estruturas de auditoria interna.

Uma eficiente e eficaz gestão de riscos corporativos tem por finalidade, garantir a sustentabilidade no presente e futuro dos negócios e necessita de sólida estrutura de políticas de auditoria de riscos.

Avaliação de riscos

O processo de avaliação de riscos compreende uma metodologia a ser aplicada para a percepção do risco inerente a cada operação. Considerando a necessidade de aperfeiçoamento contínuo desses critérios, haverá uma melhora na compreensão relativa da vulnerabilidade correspondente a cada processo além de propiciar a oportunidade de melhoria nos controles internos e a anulação ou redução do risco identificado.

É importante ressaltar que a avaliação de riscos pode ser realizada com vários graus de detalhamento, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. A avaliação pode ser qualitativa (subjetiva), semi quantitativa, quantitativa (objetiva) ou ainda uma combinação das mesmas, dependendo das circunstâncias. Há dois parâmetros claros a serem estudados:

  1. Saber qual a chance, a probabilidade das ameaças virem a acontecer, frente à condição existente – risco;
  2. Calcular o impacto, as conseqüências para o processo impactado.

Atualmente, a dedicação das organizações ao seu negócio específico vem direcionando o crescente número de empresas que buscam parceiros confiáveis e de tradição para a terceirização das atividades que não apresentam relação direta com a tecnologia e experiência na produção dos bens ou na prestação dos serviços. 

Terceirização de Serviços de Auditoria

As vantagens da contratação de serviços de Auditoria Terceirizada estão na redução dos custos e riscos trabalhistas, pois não requer a contratação efetiva e/ou treinamento de profissionais especializados, de forma que os auditores não possuam vínculos com a administração e demais empregados da empresa, possibilitando a realização de um trabalho totalmente independente e sem conflitos de interesses.

Seguem outras vantagens da contratação da auditoria terceirizada especializada:

  • Participação intensa da continuidade dos negócios organizacionais (presente/futuro);
  • Os constantes treinamentos e experiências obtidas nos diversos clientes e ramos de atividades podem ser sugeridos e aplicados na empresa, gerando a maioria das vezes ganhos ao contratante;
  • Através de avaliações periódicas, a auditoria interna participa efetivamente da melhoria da qualidade organizacional da empresa, minimizando situações de “não conformidade” (descumprimento de especificações fixadas em normas e manuais da qualidade e visa aperfeiçoar as práticas (processos e resultados) assegurando assim metas e resultados planejados e ainda obtém total segurança quanto ao sigilo das informações.

Mais do que mitigar riscos (internos ou externos) e buscar a redução de danos à organização em situação de incidentes, sejam de ordem econômica, natural ou até um incêndio, os executivos devem pensar em caminhos e ações que garantam a continuidade de operação da corporação. As iniciativas de desenvolvimento de políticas estruturadas e eficazes de gestão de riscos devem atender toda a empresa e possibilitar a criação de diretrizes mais claras sobre quais medidas a companhia adotará.

A importância de uma política de auditoria de riscos periódica, que fiscalize todas as áreas de negócios da organização se dá como um processo de conhecimento e reconhecimento da alma da corporação.

Publicado em Deixe um comentário

Identificando Riscos Corporativos e Seus Fatores

  1. COMPREENSÃO DA EXISTÊNCIA DE PERIGOS

A identificação dos Riscos Corporativos e de seus fatores significa a compreensão das origens de cada perigo. Deve-se buscar responde porque o perigo existe na empresa. Quais são as condições que potencializam a concretização do evento estudado.

A compreensão da origem do perigo é imperiosa para a eficácia no tratamento, na priorização que a empresa vai poder dedicar para mitigar aquela situação. Somente após o entendimento do porque da existência de cada perigo, é que poder-se-á sugerir medidas eficazes para mitigar.

Na fase de identificação dos perigos na empresa devemos primeiramente saber quais são os ativos que pretendemos proteger. Podemos dividir em três fases a identificação dos ativos a serem protegidos:

1) Identificação de processos e recursos críticos da empresa – Ativos:

Isto requer percorrer a cadeia gerencial da empresa até os respectivos chefes operacionais, responsáveis pelos processos que venham influenciar nos Fatores Críticos de Sucesso. Haverá inúmeras reuniões, tendo às vezes que até desmembrar macro processos. Um processo pode ser considerado como sendo um grupo de atividades interconectadas mensuráveis que podem fluir entre os departamentos.

2) Descrição de processos e recursos críticos:

Uma vez identificados os processos e recursos, a equipe de gerenciamento de riscos deve responder perguntas estratégicas de cada processo, tais como:

  1. Qual o papel deste processo dentro da empresa?
  2. O processo é crítico, quais os Fatores Críticos de Sucesso que ele influencia?
  3. O processo significa a sobrevivência da empresa?
  4. Quanto tempo eu preciso para pode colocar o processo em andamento, sem prejudicar o core business?
  5. Quais recursos eu necessito?
  6. Quais pessoas eu preciso?
  7. Quais informações são cruciais para meu planejamento?
  8. Entre outras.

Enfim as perguntas devem identificar os recursos e ou ativos considerados críticos.

3) Avaliação de processos

Uma vez que os processos e recursos tenham sido identificados e descritos, eles devem ser avaliados para identificar quais são os perigos que eles estão expostos.

Identificados os perigos e os respectivos ativos, passa-se a fase de levantamento de quais são os fatores que fazem com que os perigos possam se concretizar.

  1. IDENTIFICANDO OS FATORES DE RISCOS

É necessário o desmembramento do perigo em fatores ou causas, que podem estar dentro do controle da empresa ou serem incontroláveis.

Os fatores de risco são na realidade a origem e ou causa de cada perigo. Para compreender o risco – a condição – a soma de todos os fatores, há a necessidade de dissecar o fluxo de cada processo.

É de suma importância à compreensão dos fatores de risco e de suas origens, pois desta forma é que poder-se-á implementar medidas preventivas reais. Por esta razão é primordial identificar os reais impulsionadores da concretização do perigo.

  1. DIAGRAMA DE CAUSA E EFEITO – ISHIKAWA

Existem vários modelos para dissecar o fluxo de cada processo e separar os seus fatores de risco. Utilizamos o Diagrama de Causa e Efeito, o chamado Diagrama de Ishikawa e ou de Espinha de Peixe.

Esta metodologia é uma notação simples para identificar fatores que causam o evento estudado. Em 1953 o Professor Karou Ishikawa, da Universidade de Tóquio Japão, sintetizou as opiniões dos engenheiros de uma fábrica na forma de um diagrama de causa e efeito, enquanto eles discutiam problemas de qualidade. O diagrama bem detalhado apresenta a forma de uma espinha de peixe.

O diagrama passou a ser implantado na gestão da qualidade e de outros processos empresariais. O diagrama da qualidade possui seis macro causas ou fatores de detalhamento. São denominados de 6M: Mão de Obras, Método, Meio Ambiente, Máquina, Material e Monitoramento. O diagrama abaixo exemplifica:

ishikaua342

Na gestão de riscos da segurança é possível fazer uma adaptação nos fatores de perigo, inserindo: Meios Organizacionais, Recursos Humanos da Segurança, Meios Técnicos Passivos, Meios Técnicos Ativos, Ambiente Interno e Ambiente Externo. A idéia não é esgotar o assunto, mas sim “arrumar” de forma sistêmica os seis macros fatores que o segmento de segurança empresarial possui. O diagrama abaixo exemplifica.

ishikaua

Os fatores podem ser:

– Meios Organizacionais:

É o levantamento se na empresa possui normas de rotina e de emergência, políticas de tratamento de riscos, gerenciamento de riscos entre outras. A não formalização ou o não detalhamento pode ser um fator de influência para a concretização do perigo.

– Recurso Humano da Segurança:

É o levantamento do nível de qualificação, quantidade, posicionamento tático da equipe.

– Meios Técnicos Passivos:

É o levantamento da não existência de recursos físicos, tais como lay-out de portaria, salas, resistências de paredes, vidros entre outros.

– Meios Técnicos Ativos:

É o levantamento da não existência de sistemas eletrônicos, indo desde CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurança.

– Ambiente Interno:

É o levantamento do nível de relacionamento dos colaboradores e empresa. Inclui desde políticas de remuneração até políticas de recursos humanos.

– Ambiente Externo:

É o levantamento de cenários prospectivos, identificando fatores externos incontroláveis, mas que influenciam na concretização de perigos. Inclui o levantamento dos índices de criminalidade, estrutura do crime organizado, mercados paralelos, estrutura do judiciário, corrupção policial, ambiência no entrono, entre outros.

A técnica para detalhar os fatores é fazendo a pergunta PORQUE até esgotar o respectivo fator. O objetivo é identificar quais sub-fatores influenciam na concretização do perigo. O risco passa ser então o somatório dos fatores.

  1. CONCLUSÃO

A realização do Diagrama de Ishikawa, por perigo, nos fornece, através dos inúmeros fatores de riscos, o nível de probabilidade – nível de possibilidade – do perigo vir a acontecer.

Desta forma, entendendo as origens é que de fato poderemos implementar medidas preventivas. A partir do Diagrama de Causa e Efeito é que será construído um plano de ação para reduzir ou eliminar os inúmeros fatores de risco de cada perigo.