A avaliação de riscos é um processo integrado que envolve a identificação e a análise dos riscos aos quais uma organização está exposta, bem como a elaboração e a adoção de estratégias para evitá-los, minimizá-los e enfrentá-los, caso aconteçam. De acordo com a Pesquisa Global sobre Crises, realizada em 2019 pela PwC, sete a cada dez organizações já enfrentaram, pelo menos, uma crise nos últimos cinco anos, e, entre elas, o número médio de crises enfrentadas é superior a três.
O interessante é que esses dados foram coletados antes da inesperada pandemia do novo coronavírus, o que deixa claro que esses eventos fazem parte da trajetória das organizações e ressalta o quão importante é desenvolver medidas de proteção.
Neste artigo, consultamos Bruno Pires Bandarovsky, consultor e professor convidado pela LEC, para esclarecer os principais aspectos de um processo de avaliação de riscos. Confira!
O que é avaliação de riscos?
Por definição, a avaliação de riscos é um processo que visa à identificação dos pontos de maior vulnerabilidade de uma organização ou de uma atividade e à definição de medidas de mitigação ou de enfrentamento adequadas. Os empreendimentos estão sujeitos a crises operacionais, financeiras, tecnológicas, humanitárias, legais, reputacionais e sanitárias, e cabe aos seus líderes providenciar ferramentas e estratégias para atuar em tais cenários.
Bandarovsky esclarece que o foco da gestão de risco não deve se limitar às ameaças às quais a organização está exposta, mas abordar, principalmente, as medidas que devem ser tomadas para evitar esses eventos e as respostas que deverão ser apresentadas caso algum deles, de fato, aconteça.
Quais são os principais objetivos da avaliação de riscos?
O ERM (Enterprise Risk Management), diretriz desenvolvida pela COSO (Comittee of the Sponsoring Organizations of the Treadway Comission) e principal referência global em gestão de riscos, estabelece os seis objetivos centrais desse processo:
- alinhar apetite a risco e estratégia: avaliação combinada do apetite a risco (risco que uma organização está disposta a correr por seus objetivos) com a análise das estratégias da organização realizada a partir dos instrumentos da gestão de riscos;
- fortalecer decisões em resposta aos riscos: estabelecimento de procedimentos rigorosos para a identificação e a mensuração de riscos, bem como para a definição das medidas adequadas em resposta a eles;
- reduzir surpresas e prejuízos operacionais: redução da incerteza, identificando eventos em potencial e definindo respostas apropriadas a fim de diminuir custos econômicos, operacionais e reputacionais relacionados a ameaças;
- identificar e administrar riscos múltiplos e entre empreendimentos: desenvolvimento de reações integradas e eficazes para eventos cujo impacto atinge vários setores ou negócios de um grupo empresarial;
- transformar a incerteza em relação a eventos negativos em oportunidades: garantia de respostas prévias às incertezas para beneficiar a tomada de decisão em momentos críticos e direcioná-la para a descoberta de oportunidades competitivas;
- otimizar o capital empregado: avaliação eficaz dos investimentos necessários diante das incertezas, alocando o capital de modo a extinguir desperdícios e insuficiências.
Qual é o papel das lideranças na avaliação de riscos?
Independentemente do processo ou do recurso que se pretende implementar em uma organização, é fundamental que os líderes reconheçam a sua importância. Essa é a única maneira de garantir que a solução receberá o apoio e a atenção necessários.
No que diz respeito à avaliação de riscos, é fundamental que a alta liderança da empresa reconheça a sua relevância a fim de que os recursos (financeiros e humanos) previstos para a sua implementação e manutenção sejam disponibilizados. A liderança deve esclarecer, por exemplo, o apetite de risco da empresa, as suas circunstâncias, as suas limitações, os seus atuais critérios de análise de riscos e todos os aspectos formais envolvidos no processo.
Os líderes também deverão estar de acordo com o plano de execução do projeto. Tendo em vista que o passo seguinte consiste no engajamento dos colaboradores e dos demais stakeholders, é imprescindível que a direção da empresa esteja em sintonia com os objetivos e com as medidas propostas.
Quais os requisitos para uma gestão de risco eficiente na empresa?
Bandarovsky ressalta que a implementação de uma estrutura de gerenciamento de riscos não é uma missão para amadores. Além de adotar procedimentos em conformidade com as diretrizes COSO ERM, é essencial que a empresa obedeça às normas previstas na ABNT NBR ISO 31000:2018 de modo a conferir uniformidade e rastreabilidade ao processo.
Os principais requisitos para uma gestão de riscos eficaz, de acordo com essas diretrizes, são:
- integração: as ações devem abranger todas as áreas e atividades da organização;
- abordagem estruturada e abrangente: as atividades devem ser consistentes e comparáveis;
- personalização: as medidas devem ser compatíveis com os contextos interno e externo;
- inclusão: todas as partes interessadas devem estar envolvidas nas ações;
- dinamismo: as mudanças devem ser promovidas e consolidadas com agilidade;
- comunicação clara: as informações apresentadas devem ser oportunas e disponíveis;
- comportamento e cultura: os fatores humanos e culturais devem ser considerados;
- aprimoramento: deve haver melhoria contínua do trabalho realizado por meio de estudos e experiências.
Instrumentos de auditoria independente também são requisitados para que a organização seja capaz de atestar a correta execução das medidas de gestão de riscos e de manter uma melhoria contínua.
Como fazer uma avaliação de risco eficiente na empresa?
De acordo com as orientações de Bandarovsky, a implementação de um processo de avaliação de riscos envolve três etapas essenciais. Vejamos cada uma delas a seguir.
Avaliação dos ambientes interno e externo da organização
Primeiramente, é necessário realizar uma avaliação consistente dos ambientes interno e externo da organização, bem como identificar as normas vigentes, principalmente aquelas que, caso não cumpridas, podem representar riscos.
É também nesse momento que metodologias para reconhecimento de eventos em potencial são discutidas, o que requer a participação ativa de gestores de todos os setores operacionais. Com o auxílio do profissional encarregado, deverão ser providenciadas a avaliação de riscos potenciais e as medidas mitigatórias, além da estratégia utilizada para implementar esses processos.
Elaboração de matrizes de risco
Definidos os pilares, deverão ser formuladas matrizes de risco que podem envolver três dimensões:
- risco residual: compreende as ameaças considerando as medidas mitigatórias em prática;
- risco inerente: é um cenário hipotético em que a organização é desprovida de medidas mitigatórias ou existe quando ocorrem falhas na sua adoção;
- risco desejável: é o cenário configurado após os ajustes às medidas mitigatórias serem implementados.
Segundo o consultor, uma excelente prática levaria à adoção das três dimensões, mas processos mais simples podem ser executados. Nesse último caso, porém, o alcance da análise e das ferramentas para a tomada de decisão será mais limitado.
Apresentação do plano de ação
Por fim, todas as informações e decisões levantadas deverão ser devidamente documentadas em um plano de ação. Esse documento deverá ser aprovado pela alta liderança da organização e a sua execução deverá ser monitorada pelo profissional encarregado.
É também dever do responsável pela avaliação de riscos manter a liderança da empresa informada sobre o andamento do processo de implementação e acerca da adoção das medidas propostas, fornecendo dados periodicamente.
Por que a avaliação de riscos é fundamental em momentos de crise?
A melhor maneira de compreender a importância de uma estrutura de gestão de riscos é verificando os impactos negativos da sua ausência. Entre eles, certamente, um dos mais graves é o desconhecimento, por parte da organização, da natureza e da magnitude dos riscos aos quais ela está exposta.
Em um cenário como esse, a visão da liderança é “míope”, diz o consultor. Os líderes não são capazes de identificar e de apurar os problemas com a precisão necessária e, como resultado, as respostas adotadas podem ser ineficazes, desproporcionais ou não condizentes com a realidade.
Além do desperdício de recursos, tal situação pode acarretar efeitos negativos em várias esferas do empreendimento: comercial, operacional, financeiro, reputacional etc. É importante ressaltar, porém, que as medidas abordadas ao longo do artigo não se restringem a períodos de crise. Como demonstrado pelo relatório da PwC, esses eventos são recorrentes e, por isso, é fundamental que as organizações se mantenham preparadas.
A avaliação de riscos é, portanto, um processo que deve ser desenvolvido periodicamente. Muito mais do que um diagnóstico de vulnerabilidade ou do que uma ação emergencial, suas medidas são instrumentos essenciais para a manutenção, a longevidade e a evolução de empreendimentos de todas as naturezas.
A LEC investe na formação de profissionais por meio da LEC Academy, sua academia de educação executiva, e se consolidou como uma das maiores difusoras do mundo da cultura de compliance, disciplina que aborda em profundidade a avaliação de riscos.
Quer saber mais sobre o assunto? Então, entre em contato conosco para conhecer melhor o nosso trabalho!