Desenvolver a gestão de riscos dentro de uma organização pode ser um grande desafio, mesmo para profissionais superexperientes. 

Principalmente quando precisamos dar clareza do que é a gestão de riscos para outras partes interessadas, como alta gestão e até lideranças. 

Uma prática muito comum é construir um programa de gerenciamento de riscos, e é por isso que vamos abordar esse assunto aqui. Mas antes de falar do programa de gerenciamento de riscos propriamente dito, vamos por partes, no conceito.  

O que é um programa?

“Um grupo de projetos relacionados gerenciados de modo coordenado, para obtenção de benefícios e controle que não estariam disponíveis se eles fossem gerenciados individualmente”.   

Ou seja, são as várias iniciativas a serem realizadas para alcance de um objetivo comum. Essas iniciativas podem ser projetos, ações, atividades, enfim, movimentos voltados àquele objetivo.

O que é Gerenciamento de Riscos? 

Já falamos bastante sobre gestão de riscos, aqui no Blog da Qualidade. Mas só para mantermos a linha de raciocínio, segundo a ABNT ISO Guia 73 – Gestão de riscos – Vocabulário, a definição de gestão de riscos consiste em: 

“Atividades coordenadas para dirigir e controlar uma organização no que refere a riscos”. E se quebrarmos um pouco mais, podemos nos lembrar que risco é “efeito da incerteza nos objetivos”.

Portanto, gerenciar riscos, está relacionado a gerir e controlar as ações das organizações voltadas a incerteza nos objetivos.  

O que é um programa de gerenciamento de riscos? 

Agora que entendendo os dois conceitos anteriores vamos avançar. Podemos afirmar que um programa de gerenciamento de riscos considera uma série de iniciativas voltadas a reduzir as incertezas do negócio. 

Portanto, é um planejamento mais longo de como os riscos serão abordados na organização, que podem conter ações de curto prazo. Mas o foco geralmente é o médio e longo prazo. 

Desta forma, ele está estritamente ligado às metas da empresa, seus objetivos estratégicos e o desenvolvimento do seu potencial competitivo. Por isso é muito comum que seja uma iniciativa discutida no planejamento estratégico da organização. 

Geralmente existem alguns contextos que um programa de gerenciamento de riscos deve considerar, por exemplo: 

Definição de objetivos e princípios do programa 

Declaração formal dos motivos que levaram a empresa a desenvolver um programa de gerenciamento de riscos e os princípios que norteiam esse movimento. 

Política de riscos 

A formalização de quais as diretrizes que a empresa utiliza ao olhar para riscos, como ela se insere na estratégia e cultura da organização. 

Matriz de avaliação de risco 

Uma matriz de avaliação de risco é uma matriz de gráficos que permite que as equipes pontuem a gravidade dos riscos potenciais. Isso é feito com base na probabilidade de cada risco acontecer e no impacto pra a empresa se um risco acontecer. 

Descrição de Papéis e responsabilidades 

Forneça detalhes sobre a equipe de gerenciamento de riscos, incluindo o membro líder para o gerenciamento de riscos. Também provavelmente detalha as funções e responsabilidades que cada membro da equipe terá ao abordar e lidar com riscos específicos. 

Estrutura de gerenciamento de riscos 

É um gráfico que permite à equipe identificar categorias de risco amplas e riscos específicos que se encaixam em cada categoria. Sua equipe pode decidir sobre as categorias amplas, dependendo do seu projeto.  

Gestão de Mudanças 

Processo acionado a partir de uma mudança de contexto que afete a probabilidade ou impacto do risco, direcionando um fluxo de atividades para tratativa dessas mudanças. 

Planos de Contingência  

Também conhecido como “plano B”, estão relacionados ao que fazer caso haja uma incidência do risco. Também podem ser conhecidos como “Plano de Resposta ao Risco” ou podem ser trabalhados via B.I.A. (Business Impact Analysis). 

Programa de Auditorias 

É o “check” do PDCA, onde vemos se os processos, procedimentos e políticas estão sendo executados em conformidade como que foi planejado. Nos programas, é possível identificar melhorias para aumentar o nível de maturidade da organização relacionada a riscos. 

Investigação de Incidentes e Acidentes 

Procedimento orientado onde os colaboradores da organização poderão participar ativamente retroalimentando o processo e garantindo que haja registro do que está acontecendo na “vida real” da empresa.

Como começar um programa de gerenciamento de riscos?

Podem existir várias maneiras de se estabelecer um programa de gerenciamento de riscos. Mas vou trazer aqui algumas orientações de um processo convencional (considerando a ISO 31000). 

Estabeleça o contexto 

Considere as metas e objetivos da empresa, além do ambiente em que ela opera (por exemplo: cultural, legal e operacional). 

Identifique stakeholders internos e externos (por exemplo: clientes, pessoal, consultores, agentes, sistemas internos, terceiros, fornecedores, etc). 

Entenda os objetivos estratégicos futuros e as fragilidades (pontos fracos) para alcançá-los. A partir do contexto, você terá “pistas” sobre o que é um risco realmente crítico para organização. 

Identificar Riscos 

Ao iniciar um programa de gerenciamento de riscos, é importante identificar riscos existentes e potenciais, bem como controles existentes. 

Os riscos potenciais podem ser observados em serviços executados, risco de contrato, risco de aceitação ou continuidade, risco de desempenho e enfim. Tudo aquilo que nos leva a incerteza em alcançar os objetivos. 

Analisar e avaliar riscos 

Trata-se de uma comparação dos níveis de exposição com um nível de tolerância pré-determinado. Também são levados em consideração o grau de controle, as perdas potenciais ou reais e os benefícios e oportunidades apresentados pelo risco.

Essa é uma atividade que deve ser realizada de forma contínua.

Um dos modelos mais simples para identificar o custo dos controles e sua adequação é considerar a probabilidade de ocorrência de um evento e as consequências desse evento. Por exemplo: Risco = Probabilidade x Impacto (ou Consequência). 

Ao avaliar o nível de risco e identificar riscos altos e baixos, o processo deve incluir: 

• Áreas de atuação existentes e previstas da empresa; 
• Composição, experiência e expertise do escritório;
• Procedimentos de gestão e de controle interno;
• Probabilidade de ser processado e o processo para avaliar clientes novos e existentes.  

A partir daqui podemos identificar várias iniciativas, projetos e movimentos necessários para atuar nos riscos críticos da organização.

Monitorar e revisar 

É fundamental fazer monitoramento e revisão das estratégias de gerenciamento de riscos continuamente. 

Com o tempo, novos riscos são criados, os riscos existentes são aumentados ou diminuídos. Ou, ainda, os riscos podem não existir mais. Além disso, a prioridade do risco pode mudar ou as estratégias de tratamento de risco podem não ser mais eficazes. 

O monitoramento deve incluir:

• Monitoramento dos riscos existentes;
• Identificação de novos riscos;
• Identificação de eventuais pontos problemáticos;
• Avaliação da eficácia das estratégias atuais de tratamento de riscos. 

O monitoramento garante que novas medidas sejam introduzidas para controlar novos riscos à medida que estes surgem. 

É necessária uma revisão contínua para garantir que as estratégias permaneçam relevantes. Essa revisão também busca assegurar que a posição global de controle do risco seja relativa aos custos potenciais do risco.

Gerenciar riscos é e gerar bons resultados

Muito mais que ter um bom plano escrito para apresentar, ou até os registros de tudo o que aconteceu, precisamos estar atentos ao resultado gerado. 

Gerenciar requer liderança, portanto, temos que nos preocupar com o quanto aquilo que foi proposto está de fato sendo executado. E mais, o quanto realmente está contribuindo com a organização. 

Não gerenciamos riscos por conta de uma norma. Talvez até seja essa a motivação para iniciar, em alguns casos. Entretanto, nosso papel é entender o potencial que uma gestão de riscos bem feita tem para entregar os resultados na empresa e fazer isso acontecer. 

Fonte: Blog Qualidade