Por Francesco De Cicco - Diretor Executivo do QSP     

Quaisquer que sejam os objetivos a serem alcançados por uma organização, o Processo de Gestão de Riscos estabelecido na norma internacional ISO 31000:2018 (que é o mais referenciado e utilizado no mundo todo) deveria ser parte integrante de todas as atividades de uma organização, incluindo a tomada de decisão em todos os níveis.

Isso é válido para qualquer tipo de risco relacionado por exemplo:

• à proteção e privacidade de dados pessoais (nova LGPD no Brasil);

• às questões ambientais, sociais e de governança (ESG, na sigla em inglês);

• a programas de integridade, antissuborno e 'compliance';

• à segurança da informação, à segurança e saúde no trabalho, à segurança de sistemas e processos;

• a sistemas de gestão da qualidade, gestão da inovação, gestão ambiental, gestão de crises e continuidade de negócios;

• ao COSO de controles internos;

• ao novo 'Modelo das Três Linhas' (atualização das 'Três Linhas de Defesa' do IIA - The Institute of Internal Auditors);

• etc., etc...

A ISO 31000 recomenda que o Processo de Gestão de Riscos (PGR) seja integrado na estrutura, operações e processos da organização, e que seja parte integrante da gestão do negócio e da tomada de decisão, podendo ser aplicado nos níveis estratégico, operacional, de programas e de projetos. Recomenda também que a natureza dinâmica e variável do comportamento humano seja considerada ao longo de todo o Processo de Gestão de Riscos.

DICA: Este é um dos assuntos centrais do Exame Nacional para a obtenção da Certificação Profissional Internacional C31000 - Certified ISO 31000 Risk Management Professional.

O PGR descrito na norma ISO 31000 compreende cinco etapas principais que, embora mostradas sequencialmente na imagem abaixo, na prática são aplicadas de forma iterativa. Essas etapas permitem que o risco seja identificado, compreendido e modificado (tratado), se necessário, em relação a critérios de risco que são definidos pela própria organização como parte do processo.

O detalhamento do Processo de Gestão de Riscos, mostrado na ilustração a seguir, foi extraído do nosso Manual de Diretrizes para a Implementação da ISO 31000:2018.

A espinha dorsal do PGR

A espinha dorsal do Processo de Gestão de Riscos (que é a parte central da imagem acima) está voltada para a preparação e condução do Processo de Avaliação de Riscos ('risk assessment') que leva, conforme necessário, ao tratamento de riscos. O PGR começa definindo o que a organização deseja alcançar e os fatores externos e internos que podem influenciar o sucesso em alcançar tais objetivos. Essa etapa é chamada de estabelecimento do contexto e é um precursor essencial para a etapa de identificação de riscos.

Na ilustração acima, também pode ser notado que existem três etapas do PGR que interagem continuamente com as demais etapas do processo. Essas três etapas são:

• Comunicação e consulta às partes interessadas internas e externas, quando praticável, para obter seus ‘inputs’ para o processo e sua participação ativa nos ‘outputs’ do processo. Também é importante entender os objetivos das partes interessadas, de modo que seu envolvimento possa ser planejado e suas opiniões possam ser levadas em consideração na definição dos critérios de risco.

• Monitoramento e análise crítica, para que ações apropriadas sejam implementadas à medida que surgem novos riscos, e os riscos existentes sejam modificados como resultado de mudanças nos objetivos da organização ou no ambiente interno e externo. Isso envolve uma varredura do ambiente pelos proprietários de risco e auditores internos, levando em conta novas informações disponíveis e as lições aprendidas sobre riscos e controles a partir da análise de sucessos e fracassos ocorridos.

• Registro e relato de cada etapa do PGR, visando a: mostrar às partes interessadas que o processo está sendo conduzido adequadamente; fornecer evidências de uma abordagem sistemática de identificação e análise de riscos; possibilitar que as decisões ou os processos de tomada de decisão sejam analisados criticamente; possibilitar o registro dos riscos e desenvolver uma base de dados do conhecimento da organização; fornecer aos responsáveis pela tomada de decisão um plano de tratamento de riscos para sua aprovação e posterior implementação; oferecer um mecanismo e uma ferramenta para a prestação de contas; facilitar o monitoramento e a análise crítica contínuos; indicar os caminhos para a auditoria interna e externa; e compartilhar e comunicar informações sobre as etapas do processo e seus resultados.

‘Risk Assessment’ e Tratamento de Riscos

O Processo de Avaliação de Riscos ('risk assessment'), segundo a ISO 31000, compreende três etapas do PGR: identificação de riscos, análise de riscos e avaliação de riscos ('risk evaluation'). 

A identificação de riscos requer a aplicação sistemática de técnicas e ferramentas para entender o que pode acontecer, como, quando e por quê. As diretrizes da nova norma NBR IEC 31010:2021 podem ajudar consideravelmente nessa e nas demais etapas do ‘risk assessment’ e do PGR como um todo. A figura abaixo é um exemplo disso.

A análise de riscos, por sua vez, está preocupada em desenvolver uma compreensão de cada risco, suas consequências e a probabilidade dessas consequências. Quer o resultado final seja expresso de forma qualitativa, semiquantitativa ou quantitativa, obter esse entendimento requer a consideração do efeito e da eficácia dos controles existentes e de quaisquer lacunas nesses controles (a Análise BowTie, diga-se, atende muito bem a esses propósitos...).

A ISO 31000 estabelece que “a análise de riscos fornece uma entrada para a avaliação de riscos ('risk evaluation'), para decisões sobre se o risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados para o tratamento de riscos. Os resultados propiciam discernimento para decisões, em que escolhas estão sendo feitas e as opções envolvem diferentes tipos e níveis de risco”.

Portanto, segundo a norma, “o propósito da avaliação de riscos ('risk evaluation') é apoiar decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional”.

Em outras palavras: os resultados da análise de riscos são uma entrada para a avaliação de riscos (‘risk evaluation’), envolvendo a tomada de decisão sobre o nível de risco e a prioridade de atenção a ser dada, por meio da aplicação dos critérios de risco desenvolvidos quando o contexto foi estabelecido.

Por fim, o tratamento de riscos é a etapa na qual os controles existentes são aprimorados ou novos controles são desenvolvidos e implementados. Envolve a avaliação e seleção de opções, incluindo análise de custos e benefícios e avaliação de novos riscos que eventualmente podem surgir em decorrência de cada opção de tratamento.

Na sequência, é priorizado e implementado o tratamento selecionado por meio de um processo planejado. Se esse plano for seguido, a forma sistemática como os riscos foram avaliados irá denotar que o tratamento de riscos pode prosseguir com confiança.

Há uma grande interação entre a avaliação de riscos e o tratamento de riscos na medida em que cada conjunto de opções de tratamento é testado, até que seja encontrado o conjunto preferido que produza o maior benefício pelo menor custo.

A ISO 31000:2018 fornece um conjunto de opções gerais a serem consideradas quando o risco é tratado. A ordem da lista abaixo reflete de alguma forma a preferência. É importante ressaltar também que as opções abaixo abrangem riscos que têm consequências negativas e / ou positivas. As opções de tratamento são as seguintes:

• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;

• assumir ou aumentar o risco de maneira a perseguir uma oportunidade;

•  remover a fonte de risco;

• mudar a probabilidade;

• mudar as consequências;

• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros);

• reter o risco por decisão fundamentada.

Considerações Finais e um Pouco de Humor

O Processo de Gestão de Riscos (PGR) deve ser aplicado sempre que:

• alguém em uma organização toma decisões - para garantir que os riscos criados ou modificados pela decisão sejam compreendidos e estejam dentro dos critérios de risco da organização;

• houver uma mudança nos objetivos;

• ocorrerem mudanças efetivas no ambiente interno ou externo;

• for necessária a garantia de que a compreensão atual dos riscos é correta, abrangente e está de acordo com os critérios de risco.

O PGR também pode (e deve) ser usado para atender a requisitos legais e outras obrigações e comprometimentos de 'compliance' da organização.

O sucesso do Processo de Gestão de Riscos depende da aplicação de todas as etapas mencionadas neste artigo. Portanto, se o propósito de uma determinada atividade está focado em uma das etapas, ela deve ser realizada de maneira que leve em consideração as outras etapas do PGR.

Por exemplo, na etapa de análise de riscos, uma pessoa (ou um grupo de pessoas) com habilidades analíticas específicas pode estar modelando a gama de consequências possíveis. Porém, esse trabalho só terá validade se a tarefa de modelagem tiver sido informada pelas etapas anteriores do processo, mesmo que o modelador possa não ter se envolvido em tais etapas.

Frequentemente, é necessário aplicar o PGR mais de uma vez, à medida que mais informações se tornam disponíveis ou à medida que a tomada de decisão se torna mais detalhada.

O Processo de Gestão de Riscos geralmente será aplicado de forma mais eficaz se houver preparação e planejamento adequados (incluindo preparação para quaisquer decisões que precisam ser tomadas rapidamente), e os participantes possuírem habilidades adequadas.

Dependendo da finalidade e da complexidade das atividades, da natureza dinâmica do ambiente operacional e do tempo disponível para a tomada de decisão, o PGR pode ser aplicado de forma visível envolvendo, por exemplo, diversas pessoas em reuniões estruturadas ou como parte de uma linha específica de pensamento (intuitivo ou não). Em ambos os casos, o PGR deve ser aplicado em sua totalidade, conforme enfatizado acima.

Por falar em pensamento intuitivo, alguns anos atrás publicamos esta bem-humorada e rápida história em quadrinhos sobre o PGR... 

---------------------------------------------------------------------------

Esse ano, o tradicional Congresso Brasileiro de Direito de Seguro e Previdência será realizado nos dias 14 e 15 de março no Rio de Janeiro.

Serão dois dias de produtiva e alegre convivência no hotel Prodigy Santos Dumont, com muito estudo, aprimoramento, atualização e troca de experiências. O hotel está estrategicamente conectado a um dos aeroportos de maior movimentação do país, o Aeroporto Santos Dumont.

Garanta sua reserva: Associados ABGR terão desconto, conforme política e categoria de participação da AIDA.

Interessados no Congresso: Enviar o nome, empresa, e-mail, profissão à abgr@abgr.com.br para posterior contato de representante da AIDA, visando a inscrição.

Vagas limitadas!!