A gestão de riscos é algo milenar e ocorre naturalmente em diversos contextos. Entretanto, muitos profissionais não a conheciam até 2015, quando a ISO 9001 a tornou requisito obrigatório para obter a certificação.
Além disso, graças a anexo SL, que integra todas as normas ISO, a gestão de riscos vai ser item fundamental em quase todos os sistemas ISO de gestão.
Por isso, decidi escrever esse artigo para falar dos conceitos básicos da gestão de riscos. A ideia e trazer tudo que você precisa saber para dar os primeiros passos nessa arte. (ps:, já escrevi um artigo sobre mentalidade de riscos aqui para o blog)
Assim, neste artigo, vamos ver uma descrição completa sobre o que é um risco, além de entender o que são controles e, por fim, o que é a própria gestão de riscos.
O que é um Risco
Se recorrermos à ISO 31000:2018 Diretrizes para gestão de riscos, encontraremos que um risco é o “efeito da incerteza sobre os objetivos” (3.1). Em nota, a norma explica ainda que:
“um efeito é um desvio em relação ao esperado. Poder ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças”.
Portanto, um risco é tudo aquilo que, de alguma forma, pode afetar o resultado esperado de algum projeto, processo ou ação. Esses riscos podem ser positivos, potencializando os resultados (oportunidades) ou podem ser negativos, impedindo o alcance deles (ameaças).
Fonte de risco
A Fonte de risco é o elemento que pode dar origem aos riscos. Por exemplo, a indústria alimentícia convive constantemente com o risco de contaminação. Nesse caso, podemos citar como exemplo de fonte de risco o armazenamento a céu aberto, antes do processamento.
Por estar exposto, é possível que o alimento atraia animais, como pássaros. Também é possível que o vento traga detritos, como papéis, folhas, poeira e outros agentes contaminantes. Por isso, o armazenamento pode ser considerado uma fonte de riscos.
Evento na Gestão de Riscos
Um evento é uma mudança nas circunstancias, algo que pode ocasionar um risco ou então criar uma fonte de riscos. Por exemplo, imagine que para eliminar os riscos de contaminação relacionados ao armazenamento de alimentos a céu aberto (exemplo anterior), a empresa decida construir um galpão fechado no local em que os alimentos são armazenados.
O processo de construção pode ser considerado um evento, pois vai alterar as condições de armazenamento. Entretanto, durante a construção, outros agentes contaminantes podem entrar em contato com o alimento, como os materiais utilizados na construção. Dessa forma, a construção do galpão, além de ser um evento, também se torna uma fonte de risco.
Além disso, também podemos chamar de evento uma fonte de risco que acaba por realmente originar o risco. Por exemplo, se um detrito entra em contato com o alimento armazenado e o contamina, podemos chamar essa situação de evento.
Consequência
A consequência é o resultado de um evento que, de alguma forma, afeta os objetivos. Como a consequência é, de certa forma, a concretização do risco, ela pode ser positiva ou negativa, beneficiando ou prejudicando o resultado esperado.
Às consequências, também damos o nome de Impacto. E elas podem ser expressas de forma qualitativa (por exemplo: Alta, Média e Baixa) ou quantitativamente (expressos por números mesmo, por exemplo: risco grau 1, 2 ou 3).
Outro fator importante trazido pela 31000 é que as consequências podem escalar, sofrendo efeitos cascata e cumulativos. Isso significa que uma consequência pode levar a outra consequência e assim sucessivamente. O resultado disso pode ser um aumento potencial dos resultados (tanto positivos quanto negativos). Ou seja, as coisas podem dar muito certo ou dar muito errado, haha!
Probabilidade
A probabilidade é “a chance de algo acontecer” (3.7). Isso corresponde a avaliação que fazemos do risco e os eventos que o cercam. Dessa forma, podemos dizer, por exemplo, se a probabilidade de o risco X acontecer é baixa, média ou alta.
A probabilidade pode ser expressa de diversas formas, seja qualitativamente (alta, média, baixa, como exemplifiquei antes) ou de maneira numérica e estatística (probabilidade 1, 2 ou 3; ou então, 37% de chance de incidência). A probabilidade estatística requer cálculos mais apurados e maior abundância de dados, por isso é muito mais complexo obtê-la, entretanto confere maior precisão.
Controles
Tudo que vimos até aqui acontece na sua empresa, o tempo todo. Mesmo que você não tenha um processo de gestão de riscos. Isso acontece porque sua empresa está naturalmente exposta a riscos. Assim, mesmo que você não os mapeie, eles estão por aí!
Porém, é possível tomar medidas que atuem sobre os riscos. A essas medidas damos o nome de Controles. Eles atuam sobre os riscos mantendo-os (controlando para que não incidam e impactem a empresa); ou modificando-os (eliminando a chance de o risco ocorrer ou incentivando a incidência em caso de resultado positivo);
Além disso, os controles são qualquer “processo, política, dispositivo, prática, ou outras condições” (3.8, nota 2) que atuem para manter ou/ou modificar um risco.
Por fim: o que é Gestão de Riscos?
Como o próprio nome diz, fazer gestão é riscos é gerir todos os riscos que envolvem a sua organização. Segundo a ISO 31000, tratam-se de “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos” (3.2).
Portanto, fazer gestão de riscos é ter um processo sistematizado que trabalha em 5 frentes principais:
- mapear os riscos;
- avaliar o impacto e a probabilidade dos riscos
- priorizar os riscos com maior gravidade;
- tratar os riscos priorizados;
- monitorar todos os riscos constantemente.
Adaptando essas quatro etapas a 31000, podemos dizer normativamente que:
Para fazer Gestão de Riscos, você precisa encontrar formas sistemáticas de monitorar os eventos e fontes de riscos, levando em conta suas consequências e probabilidades para, então, criar controles adequados.
A Gestão de riscos é um trabalho constante, que nunca acaba. Afinal, o contexto em que sua empresa está inserido muda o tempo todo, causando novos eventos que podem gerar novas fontes de risco.
Fazer Gestão de Riscos é buscar mais resultados
Sem um processo bem definido, é difícil parar para pensar no que pode dar errado e prejudicar a empresa. (Mesmo quando temos iniciativas de melhoria contínua) Principalmente porque os processos, geralmente, não são criados com controles de riscos.
Da mesma forma, muitas oportunidades encontradas podem ser descartadas se não forem catalogadas e analisadas com calma. E é para isso que a Gestão de riscos foi criada: para garantir que tudo que impacta a empresa seja medido, analisado e, se cabível, trabalhado.
Esse artigo não tinha a intenção de dar um passo a passo de como gerenciar riscos, mas posso escrever um se o pessoal pedir nos comentários. De qualquer forma, aqui estão alguns conceitos básicos que você vai precisar saber para conseguir trabalhar com gestão de riscos. Espero que tenha sido útil. 😉
Recadinho pós artigo! 🐱🏍
Se você precisa de ajuda para difundir a mentalidade de riscos por aí, conta com a gente!
Além de termos as camisetas (Deusa dos Riscos e Homem dos Riscos) e adesivos de riscos podemos indicar treinamentos de parceiros ou prestar consultoria para você.
Engajamento é nossa especialidade! 😊
Então, entra em contato com a gente ! Vamos juntos fazer a gestão de riscos multiplicar os resultados na sua empresa!