Você está na página 1de 93

Série Risk Management

GESTÃO DE RISCOS

Diretrizes para a Implementação


da AS/NZS 4360:2004

REVISÃO TECNICA:
Francesco De Cicco - Diretor-Executivo do QSP - Centro da Qualidade, Seguranw e
Produtividade para o Brasil e América Latina.

Todos os direitos reservados. E expressamente proibida a reproduqdo total ou


parcial desta publicrrçao, sem a prévia autorização do editor.
Copyright O 2005 by Risk Tecnologia Editora.
Fone: (1 1) 3704-3200.

Agosto de 2005.
Introdução .............................................................................................. 05
I Escopo e generalidades ............................................................................ 06
1.1 Bases para a gestão de riscos .............................................................. 06
1.2 Benefícios da gestão de riscos ........................................................... 07
1.3 Aplicações da gestão de riscos ............................................................. 09
1.4 Governanp corporativa .................................................................... 10
2 Panorama do processo de gestão de riscos ................................. ... ... 12
3 Cõmunica~ãoe consulta ....................................................................... 14
3. I Generalidades ....................................................................................... 14
3.2 O que 6 comunicação e consulta? .........................................................14
3.3 Por que a comunicação e a consulta são importantes .......................... 15
3.4 Desenvolvimento do processo de comunicação e consulta .................. 19
4 Estabelecimento dos contextos .......................................................... 21
4.1 Contextos................................................................................................21
4.2 Objetivos e ambiente ........................................................................... 21
4.3 Identificação e análise das partes envolvidas ........................................23
4.4 Critérios .................................................................................................. 24
4.5 Critérios de conseqüência ...................................................................... 24
4.6 Elementos-chave ...................................................................................25
4.7 Documentação dessa etapa .................................................................. 27
5 Identificação de riscos ............................................................................ 28
5.1 Finalidade ............................................................................................... 28
5.2 Componentes de um risco .................................................................. 28
5.3 Processo de identificação .................................................................... 29
5.4 Informações para a identificação de riscos ........................
...... . . . 30
5.5 Abordagens para a identificaçiio de riscos ............................................ 31
5.6 Documentação dessa etapa .................................................................. 31
6 Análise de riscos ..................................................................................... 32
6.1 Panorama...............................................................................................32
6.2 Tabelas de conseqüências e probabilidades ........................................39

Risk Tecnologia
6.3 Nível de risco ......................................................................................... 42
6.4 Incerteza ................................................................................................44
6.5 Análise de oportunidades .................................................................... 45
6.6 Métodos de análise ............................................................................. 47
6.7 Perguntas-chave ao analisar um risco .................................................. 47
6.8 Documentação da análise ..................................................................... 48
7 Avaliaçiio de riscos .................................................................................. 49
7.1 Panorama.......................................................................................... 49
7.2 Tipos de critérios de avaliação .................*..............
....................... 49
7.3 Avaliação a partir da análise qualitativa ................................................ 50
7.4 Risco tolerável ...................................................................................... 50
7.5 Julgamento impf ícito nos critérios ......................................................... 52
7.6 Critérios de avaliação e eventos anteriores ..................................
..... 52
8 Tratamento de riscos ............................................................................... 54
8.1 Introdução...............................................................................................54
8.2 Identificação de opções ......................................................................... 55
8.3 Avaliação de opções de tratamento ...................................................... 61
8.4 Seleção das opções para tratamento ....................................................64
8.5 Preparação dos planos de tratamento .................................................. 69
8.6 Risco residual ....................................................................................... 70
9 Monitoramento e ãniilise crítica ............................................................... 71
9.1 Finalidade ............................................................................................ 71
9.2 Mudança do contexto e dos riscos ........................................................ 7t
9.3 Garantia e monitommento da gestão de riscos ................................... 72
9.4 Medi@o do desempenho da gestão de riscos ...................................... 75
9.5 Análise pós-evento ............................................................................... 76
40 Registro do processo de gestão de riscos ............................................ 78
10.1 Panorama............................................................................................ 78
10.2 Declaração de conformidade e diligência ........................................ 79
10.3 Cadastro de riscos ............................................................................. 79
10.4 Plano de a@o e programação do tratamento de riscos .................... 79
10.5 Documentos de monitoramento e auditoria ....................................... 80
10.6 Base de dados de incidentes e acidentes ......................................... 80
10.7 Plano de Gestão de Riscos ................................................................ 80

Risk Tecnologia
11 Estabelecimento de uma gestão de riscos eficaz ....................
.......... 86
11.1 Política ............................................................................................... 86
11.2 Comprometimento da direção ........................................................... 86
11.3 Responsabilidade e autoridade ......................................................... 87
11.4 Recursos e infra-estrutura ................................................................. 87
11.5 Mudança de cultura ........................................................................... 88
11.6 Monitoramento e análise critica da eficácia da gestão de riscos ....... 88
11.7 Desafio dos líderes - Integração ....................................................... 89
11.8 Desafio dos gerentes - Liderança ..................................................... 90
11.9 Desafio de todos - Melhoria continua .............................................. 90
11.10 Mensagens e perguntas-chave para os gerentes .............................. 91

Risk Tecnologia
A gestão de riscos é um processo de negócios muito importante nos setores
público e privado no mundo todo. A implementação correta e eficaz da gestão de.
riscos faz parte das melhores praticas de negócios, tanto no âmbito corporativo
quanto no estratégico, e é também uma maneira de buscar a melhoria das
atividades operacionais.

Neste Manual, risco é descrito como a possibilidade de acontecer algo que terá
um impacto nos objetivos. Em inglês, o uso da palavra 'nsk' normalmente tem
uma conotação negativa e entende-se risco como algo a ser minimizado ou
evitado. Em nossa definição mais genérica, considera-se que as atividades
envolvendo riscos podem ter tanta resultados positivos quanto negativos. Os
processos aqui descritos podem ser usados para identificar e explorar
oportunidades de melhorar os resultados organizacionais e de reduzir as
conseqüências negativas.

A gestão de riscas, da maneira aqui descrita, é um processo holístico de gestão


que se aplica a todos os tipos de organização, em todos os níveis, e também a
indivíduos. Os teitores devem estar cientes de que este uso do termo difere de
sua foma mais restrita usada em outros setores. Por exemplo, em algumas
áreas, os termos 'gestão de riscos' e 'controle de riscos' são utilizados para
descrever as formas de se lidar com os riscos identificados, para as quais
empregamos aqui o termo 'tratamento de riscos'.

Alguns outros termos adotados neste Manual também podem ter usos distintos.
Por exemplo, os termos 'analise de riscos', 'processo de avaliação de riscos' e
'avaliação de riscos' &o utilizados de maneira variada em textos sobre gestão
de riscos. Eles geralmente têm defini@es que se sobrep6em ou que as vezes
são intercambiáveis, podendo incluir a etapa de identificação de riscos. Optamos
por utilizar a terminologia que serve de base para as normas internacionais
(especialmente o ISOAEC Guide 73).

Em algumas áreas, há divisões de responsabilidade entre aqueles que realizam


o processo analítico de identificação e análise dos riscos e aqueles que tomam
decisões sobre a avaliac$o de riscos e a seleção das ações para lidar com os
riscos identificados. Isso pode ser útil, uma vez que e importante que a análise
de riscos seja vista como independente e seja preferencialmente realizada por
especialistas técnicos, sendo os aspectos relativos a decisões quanto a
avaliação de riscos e 8 seleção das opções de tratamento de riscos de
responsabilidade dos responsáveis seniores pela tomada de decisões. Este
Manual não aborda tais divis6es de responsabilidade, mas elas são compatíveis
com os processos nete descritos.

Risk Tecnologia
U ESCOPO E GENERALIDADES

Este capítulo refere-se as subseções 1.1, 1.2, 1.3, 1.4 e 1.5 da norma ASINZS
4360: 2004

1.1 Bases para a gestão de riscos

Risco é algo inerente a tudo que fazemos, seja andar de bicicleta, gerenciar um
projeto, lidar com clientes, determinar prioridades de trabalho, comprar novos
sistemas e equipamentos, tomar decisões sobre o futuro ou decidir
simplesmente não tomar nenhuma ação.

Estamos constantemente gerenciando riscos, As vezes conscientemente e as


veres não. A necessidade da gestão de riscos realizada de maneira
sistemática aplica-se a todos os indivíduos e organizações e a todas as
funções e atividades da organização. Isso deve ser visto por todos os gerentes
e funcion&ios como algo de importancia fundamental.

A alternativa a gestão de riscos é a gestão com riscos, ou a tornada de


decisões de maneira impulsiva ou sem levar em consideração os fatos. É
provável que a gestão com riscos não garanta os resultados esperados.

a) A gestão de riscos envolve tanto ameaças quanto oportunidades

A gestão de riscos refere-se & identificação de variações potenciais em relação


ao que planejamos ou esperamos, e a gestão dessas variações para que seja
possível maximizar oportunidades, minimizar perdas e melhorar as decisiies e
os resultados. Gerenciar riscos significa identificar oportunidades e utilizá-las
para melhorar o desempenho, bem como implementar ações para evitar ou
reduzir as possibilidades de que algo saia errado.

b) A gestao de riscos requer uma reflexão aprafundada

A gestão de riscos e um processo lógico e sistemático que pode ser utilizado


durante a tomada de decisões para melhorar a eficácia e a eficiência do
c
desempenho. um meio para um fim, e não um fim em si mesmo. EJa deve ser
integrada a rotina de trabalho.

c) A gestão de ~ s c o s=quer olhar para a frente

A gestão de riscos envolve a identificação e a preparação para o que pode


acontecer e não para o que já aconteceu.

Risk Tecnologia
A gestão de riscos formal motiva as organizações a agirem proativamente, em
vez de reativamente.

d) A gestão de riscos requer responsabilidade na tomada de decisões

A alta direção é responsável pela gestão de riscos na organização e pela


definição das responsabilidades e autoridades daqueles que têm que atuar
diariamente.

Gerenciar riscos requer que as decisdes sejam tomadas em conformidade corn


os requisitos regulamentares e que as ações sejam consistentes com os
objetivos corporativos.

É importante manter um equilíbrio entre a responsabilidade por um risco e a


habilidade para controlá-lo.

e) A gestao de riscos requer comunicaçcSo

A gestão de riscos acontece em um contexto social e, muitas vezes, a


organização terá que interagit corn partes envolvidas internas e externas, para
garantir que os riscos pertinentes sejam considerados. Para garantir que as
ações de gestão de riscos sejam irnplementadas e seguidas adequadamente, 6
importante que haja uma comunicação eficaz na organização.

fl A gestão de riscos requer um raciocínio equilibrado


Deve-se encontrar um equilibrio entre o custo para evitar as ameaças ou
ampliar as oportunidades e os benefícios a serem obtidos.

I.2 Benefícios da gestão de riscos

A gestão de riscos é parte integrante das boas práticas empresariais. Aprender


a gerenciar riscos de maneira eficaz possibilita que os gerentes melhorem os
resultados através da identificação e da análise de uma gama mais ampla de
questões, fornecendo uma forma sistemática de tomar decisões embasadas
em informações.

Uma abordagem de gestão de riscos estruturada tambbm estimula e aumenta


a identificação de melhores oportunidades para a melhoria contínua através da
inovaçtio.

Os princípios inerentes à gestão de riscos são genéricos em sua natureza e


amplamente independentes de qualquer tipo de estrutura organizacional.

As técnicas de gestão de riscos fornecem as pessoas, em todos os niveis, uma


abordagem sistemática para o gerenciamento dos riscos que são parte
integrante de suas responsabilidades.

Risk Tecnologia 7
Alguns dos beneficias específicos da gestgo de riscos são:

Redução das surpresas

O controle de eventos adversos e aprimorado através da identificação e da


tomada de ações para minimizar sua probabilidade e reduzir seus efeitos.
Mesmo quando tais eventos não podem ser prevenidos, a organização
pode atingir um grau de flexibilidade através de planejamento e
preparação.

Apraveitamento das oportunidades

O comportamento de buscar oportunidades é aprimorado se as pessoas


tdrn confiança no seu entendimento dos riscos e têm a capacidade
necesshria para gerenciá-10s.

Melhoria do planejamento, desempenho e eficdcia

O acesso a informafles estratégicas sobre a organização, suas operações


e seu ambiente possibilitam um planejamento mais adequado e eficaz.
Isso, por sua vez, aumenta a habilidade da organização de capitalizar as
oportunidades, mitigar resultados negativos e obter um melhor
desempenho.

Economia e eficiência

Os benefícios em economia e eficiência podem ser obtidos direcionando-


se recursos, protegendo-se ativos e evitando-se erros que gerem custos.

Melhoria das relações com as partes envolvidas

A gestão de riscos motiva a organização a identificar interna e


externamente as partes envolvidas e a desenvolver um dialogo de mão
dupla entre elas e a organização. Esse canal de comunicação traz a
organização informações sobre como as partes envolvidas reagirão a
novas políticas, produtos ou decisdes, e permite as partes envolvidas
compreender por que determinadas ações foram tomadas.

Melhoria das informa@es para á tomada de decisao

A gestão de riscos fornece informações e análises mais precisas para a


tomada de decisões estratégicas, tais como em grandes investimentos,
fusões e aquisiçües.
Melhotia da rioputaç60

Investidores, credores, seguradores, fornecedores e clientes sBo cada vez


mais atraídos para organizações que reconhecidamente têm um processo
satisfatório de gestão de fiscos.

Proteção de direfo~?s
e geréntes

A boa gestão de riscos facilita a melhoria dos relatos dos diretores e


gerentes da empresa, através do aumento da conscientização dos riscos
potenciais e da demonstração de um nível apropriado de diligência.

Responsabilidade, garantia e govemança

Pode-se obter benefícios demonstrando-se e documentando-se a


abordagem de gestão adotada, e colocando-se o foco de cada nível da
organira@o na conformidade com requisitos e na mefhoria do
desempenho organizacional.

Bem-estar pessoal

A gest%o eficaz dos riscos pessoais normalmente melhora a saúde e o


bem-estar das pessoas que a praticam e de outras pessoas.

Aplicações da gestão de riscos

O processo de gestão de riscos pode ser aplicado a decisões em todas as


organizações e em todos os seus niveis (isto é, a organização como um todo e a
um departamento, equipe ou indivíduo). O processo de gestão de riscos também
pode ser aplicado a uma atividade ou função.

Pode-se considerar, formal ou informalmente, os riscos para qualquer decisão.


Geralmente, o processo de gestão de riscos deve ser aplicado durante o
planejamento e a tomada de decisões sobre importantes questbes. Por exemplo,
ao se considerar mudanças em alguma política, ao se introduzir novas
estrategias e procedimentos, gerenciar projetos, gastar grandes somas em
dinheiro, gerenciar diferenças organizacionais internas ou gerenciar questões
potencialmente delicadas.

A gestão de riscos possui uma gama variada de aplicações, tais como:

(a) planejamento estratégico, operacional e de negócios;


(b) gestão de ativos e planejamento de recursos;
(c) interrupção e continuidade dos negócios;
(d) mudança: organizacional, tecnológica e política;

Risk Tecnologia
(e) projeto e responsabilidade pelo produto;
(9 responsabilidade civil de diretores e gerentes;
(g) desenvolvimento de políticas públicas;
(h) questões ambientais;
(i) questões relativas a ética, fraude, segurança patrimonial e probidade;
(i) alocação de recursos;
(k) risco público e responsabilidade civil geral;
(I) estudos de viabilidade;
(m) conformidade;
(n) saúde e segurança;
(o) operações e sistemas de manutenção;
(p) gestão de projetos; e
(q) gestão de compras e contratos.

A gama de aplicações da gestão de riscos é ilimitada. Processos menos formais


podem ser apropriados para decisões menos importantes.

I.4 Governança corporativa

Governança corporativa pode ser definida como 'o sistema através do qual as
organizaçijes são dirigidas e controladas. A governança corporativa está voltada
para a melhoria do desempenho das empresas, para beneficiar seus acionistas
e outras partes envolvidas e o crescimento econômico. Seu foco está na conduta
de, e na relação entre, diretores, gerentes e acionistas da empresa. A
governança corporativa geralmente refere-se aos processos através dos quais
as organizações são dirigidas, controladas e mantidas responsáveis."

A gestão de riscos contribui para a boa governança corporativa dando garantias


à diretoria e a gerência sênior de que os objetivos organizacionais serão
atingidos dentro de um grau aceitável de risco residual.

Uma gestão de riscos satisfatória não somente contribui para a boa governança,
mas também ajuda a proteger diretores e gerentes em caso de resultados
adversos. Uma vez que os riscos tenham sido gerenciados de acordo com o
processo estabelecido na norma ASINZS 4360:2004,a proteção ocurrerá em
dois níveis. No primeiro, os resultados adversos talvez não sejam tão graves
quanto poderiam ser. No segundo, os responsáveis podem, em sua defesa,
demonstrar que agiram com o devido zelo.

* AS 8000:2003.Governança corporativa - Princípios da boa governança.

Risk Tecnologia
Ao pôr o foco nos resultados positívos, a gestão de riscos dá uma contribuição
importante para os aspectos da governança corporativa direcionados a melhoria
do desempenho organizacíonal.

A gestão de riscos fornece uma estrutura para facilitar a comunicação e a


consulta entre as partes envolvidas externas, órgãos do governo, a direção e os
funcionários de todos os niveis, sobre a definição e consecução dos objetivos
organizacionais.

Risk Tecnologia
PANORAMA DO PROCESSO DE GESTÃO DE
RISCOS

Este capítulo refere-se as subse@es 2.1 e 2.2 da norma ASINZS 4360:2004.

-
FIGURA 2.1 PROCESSO DE GESTAO DE RISCOS -P A N O M

A se@o 2 da norma traz um panorama genérico do processa de gestão de riscos,e fui


incluído neste Manual para que todas as partes da ASINZS 4360:2004 estivessem
aqui presentes.

As diretrizes detalhadas sobre a apíicaçáo de cada etapa do processo de gestão de


riscos são apresentadas na figura 3. Ie nos capitulas a seguir.
. AnáIise de riscos
Identificar os controles existentes

I
Avaliação de riscas

ISim

Tratamento de riscos
Identificar as opções
Analisar e avaliar as op~ões
C Preparar e implemmtar os planos de
tratamento
Analisar e avaliar os riscos residuais

FIGURA 3.1 - PROCESSO DE GESTÃO DE RISCOS - DETALHAMENTO

Risk T í ? ~ f ? ~ í ~ ~ i a
co~u~icnçÃo
E CONSULTA

Este capítulo refere-se a subseção 3.1 da norma AS/NZS 4360:2004.

3.1 Generalidades

A gestão de riscos não e somente uma tarefa técnica, mas também um conjunto
de açCies e decisões que acontecem em um contexto social. A comunica@o e a
consulta são partes integrantes do processo de gestão de riscos e devem
sempre ser consideradas de maneira explícita. A gestão de riscos ser4
aprimorada através do entendimento das perspectivas de cada uma das partes
envolvidas e, quando possível, através de sua participação ativa na tomada de
decisões.

A comunicação e a consulta apropriadas buscam:

melhorar o entendimento que as pessoas têm dos riscos e do processo de


gestão de riscos;
garantir que as diversas visões das partes envolvidas sejam levadas em
consideração; e
garantir que todos os participantes estejam cientes de seus papéis e
responsabilidades.

3.2 O que é comunicação e consulta?

O conceito de 'comunicação de riscos' geralmente e definido como um processo


interativo de troca de informa@es e opiniões, envolvendo múltiplas mensagens
sobre a natureza dos tiscos e a gestão dos riscos*. Isso se aplica internamente
nas organizaçties, departamentos ou unidades de negócio, ou externamente
para as partes envolvidas. A cornunicaqão de riscos não solucionarfs todos os
problemas nem todos os conflitos. A comunicação inadequada dos riscos pode
levar a perda de confiança e/ou 6 má gestão dos riscos.

A consulta pode ser descrita como um processo de comunica@o informativa


entre a organiza@o e as partes envolvidas, antes de ser tomada uma decisão
ou de se definir um posicionamento em relação a uma questão específica. A
consulta tem as seguintes características:

* Adaptado do Nationai Research Council, 1989. Improving risk communication (Melhoria da comunicação de
riscos). National Academy Press. Washington D.C.

Risk Tecnología 14
É um processo e não um resultado.
Impacta uma decisão através da influência, em vez da força do poder.
Refere-se a contribuig0es para a tomada de decisão, e n8o necessariamente
a uma tomada de decisão em conjunto.

A comunicação e a consulta podem ser realizadas em diferentes níveis, de


acordo com o que a situação exigir. Em sua forma mais simplificada:

(a) a comunicação de via Unica significa fornecer informações, tais como


relatórios anuais, bofetins,atas de reuniões etc; e
(b) a comunicação de duas vias significa compartilhar perspectivas, opiniões,
posicionamentos etc. entre as partes interessadas, e entre uma organização
e as partes com ela envolvidas (stakeholders).

3.3 Por que a comunícação e a consulta são importantes

3.3.1 Generalidades

A comunicação e a consulta são intrínsecas ao processo de gestão de riscos e


devem ser contempfadas em cada etapa. Um aspecto importante do
'estabelecimento dos contextos' é a identificação das partes envolvidas bem
como a ídentificaç8o e a apreciaçao de suas necessidades. Pode ser
desenvolvido um plano de comunicação, que deve especificar a finalidade ou o
objetivo da comunicação, quem deve ser consultado e por quem, quando
ocorrerá e como será avaliada.

Em uma organização, a boa comunicação é essencial para o desenvolvimento


de uma 'cultura' em que as dimensões positivas e negativas dos riscos são
reconhecidas e avaliadas. A comunicação dos riscos ajuda a organização a
estabelecer sua atitude em relação a eles.

Envolver outras pessoas, ou pelo menos olhar para as coisas de outro ponto de
vista, e um ingrediente essencial e crucial em uma abordagem eficaz de gestáo
de riscos. O engajamento das partes envolvidas torna a gestão de riscos
explícita e mais fundamentada, agregando valor a organiza@o. e
particularmente importante quando as partes envolvidas podem:

ter um impacto na eficácia dos tratamentos de riscos propostos;


e ser afetadas por riscos de acidentes;
agregar valor na análise e avaliação dos riscos;
estar sujeitas a custos adicionais; ou
ficar restritas devido aos controles de riscos futuros.
Em algumas situações, a organizaçiio pode considerar que não é apropriada a
comunicação com as partes envolvidas, por razões comerciais ou de segurança.
Nesses casos, o plano de comunicação deve documentar a decisão consciente
de não incluir as partes envofvidas, mas ainda assim pode levar em
consideração sua opiniões através de outros meios como, por exemplo,
informações sigilosas ou comerciais.

3.3.2 Gestão de riscos explícita e pertinente

Todos nós consideramos os rÍscos implicitamente quando tomamos nossas


decisões e refletimos sobre elas. Entretanto, quando isso é feito através da
discussão de cada etapa com outras partes interessadas, torna-se uma
disciplina consciente e formal, proporcionando um mecanismo que ajuda a
garantir que as li@es aprendidas no passado sejam levadas em consideração.

O envolvimento de outras pessoas pode ajudar a introduzir a gestão de riscos


como parte rotineira dos negócios, de forma que ela se torne uma atividade
regular da empresa. A gestão de riscos esth diretamente associada a outras
funções organizacionais, tais corno pesquisa de mercado, análise do ambiente e
dos negócios, consulta sobre politicas, conformidade legal, retroalimentação de
clientes, planejamento estratégico ou auditoria e avaliação.

3.3.3 Valor agregado a organização


Compartilhar informações e perspectivas sobre riscos na organização ajuda a
desenvolver uma coerência organizacional, identificando áreas críticas para
realizações e estratégias cunjuntas, que ajudarão a atingir os objetivos e a
mostrar como o sucesso será monitorado. Por exemplo, criando oportunidades
para o diálogo entre os funcionários que trabalham em campo, os gerentes de
linha e a direção. A consulta sobre riscos pode ser utilizada como o mecanismo
atraves do qual esses membros participam da governança, tanto do aspecto do
desempenho quanto da conformidade.

A comunicaçáa com as partes envolvidas externas pode dar a garantia e a


confiança em áreas criticas de interesse. Esse envolvirnento externo também
agrega valor ao criar o potencial para parceria com outros grupos e para
resultados com sucesso garantido. Por exemplo, outras partes envolvidas
externas podem ter riscos em comum que são gerenciados mais eficazmente
através de ações conjuntas. A consulta pode agregar ao entendimento técnico
que a organização tem do risco.

Risk íècnologia
3.3.4 Integração das múltiplas perspectivas

Os membros da organização e outras partes envolvidas geralmente julgam'


determinado risco com base na percepção que têm do mesmo. As percepções
que se tem dos riscos podem variar devido a diferenças de valores,
experiências, crenças, suposiçúes, necessidades e preocupações. Uma vez que
as partes envolvidas @em ter um impacto significativo nas atividades .da
gestão de riscos, é importante que suas opiniões sobre os riscos sejam
identificadas e registradas, e que suas razões intrínsecas sejam compreendidas
e consideradas.

As percepções podem variar entre os especialistas técnicos, membros da equipe


de projetos, responsáveis pela tomada de decisões e outras partes envolvidas.
Por isso, é essencial comunicar, de maneira eficaz, o nível de risco, se este for
informado e quando forem tomadas e implementadas as decisões pertinentes.
Também 4 importante comunicar as hipóteses assumidas e quaisquer incertezas
associadas aos riscos.

As pessoas têm uma tendência a tomar decisões sobre a aceitabilidade dos


riscos com base em diversos fatores, tais corno:

(a) grau de controle pessoal que pode ser exercido em relação a uma atividade;
(b) potencial para que um evento tenha conseqüências catastróficas;
(c) natureza das conseqüências potenciais;
(d) distribuição dos riscos e beneficias entre aqueles potencialmente afetados;
(e) grau no qual a exposição ao risco é voluntária; e
(9 grau de familiatização com a atividade ou sua compreensão.
As pessoas aceitam menos os riscos sobre os quais pensam ter pouco ou
nenhum controle (por exemplo, a determinação de locais perigosos), cujas
consequências são temidas (por exemplo, atividades cancerigenas) ou de
alguma forma consideradas terríveis, ou cuja atividade é desconhecida.

É extremamente difícil comunicar adequadamente a natureza da incerteza. Para


tomar decisões, as partes envolvidas precisam saber não somente os níveis de
risco previstos, mas também a certeza com a qual acredita-se que isso seja
verdadeiro.

Quando a organizago tem uma comunidade direta de interesse, por exemplo,


moradores vivendo próximos a um local perigoso, a compreensão que as partes
envolvidas têm de um risco pode ser aprimorada com o envoivimento da
comunidade nos aspectos da gestão de riscos, através de atividades como a
consulta a comunidade.
3.3.5 Geração de confiança
A comunicaçilo entre a organização e as partes envolvidas externas permite a
organização desenvolver uma relação com sua comunidade de interesse e
estabelecer relacionamentos baseados na confiança. Isso e particularmente
importante na gestão de riscos de probabilidade baixa e conseqüências altas,
tais como perigos naturais, O envolvimento da comunidade traz uma maior
diversidade de perspectivas e opiniões sobre os objetivos. Quando as incertezas
são altas, as opiniões e valores das pessoas são muito importantes. A
comunicação dos riscos pode ser um componente significativo na
irnplementação do tratamento dos riscos.

A confiança dentro da própria organiza@o também e importante, pelas mesmas


razões.

3.3.6 Melhoria do processo de avaliação de riscos


A experiência e o conhecimento das partes envolvidas geralmente melhora a
compreensão do risco. Levar em consideraçiio as diversas opiniões amplia o
processo de avaliação de riscas e evita o 'pensamento grupal'. Por exemplo, a
alta direção pode estar levando a organização rumo a novos riscos, ou pude ter
um ponto de vista diferente sobre as conseqüências dos riscos do que os
gerentes de outros níveis. 0 s funcionários podem observar riscos que outras
pessoas não identificaram, e podem compreender melhor a probabilidade de
ocorrência de eventos de risco do que a alta direção.

As organizações devem buscar a validação das opiniões sobre os riscos,


considerando extensivamente, com o passar do tempo, as diversas
contribuições das partes envolvidas.

3.3.7 Tratamento eficaz dos riscos


A experiência e o conhecimento das partes envolvidas são cruciais no
desenvolvimento de tratamentos de riscos que serão eficazes e aceitáveis. Obter
o envolvimento nas decis0es referentes ao tratamento dos riscos ajuda a
garantir que os tratamentos recomendados sejam aceitos.

Na etapa de irnplementação dos tratamentos, pode ser necessária uma maior


ênfase em formas mais diretivas de comunicação como, por exemplo, comunicar
quaís ações as diversas partes envolvidas precisam tomar.
3.4 Desenvolvimento do processo de comunicação e consulta

3.4.1 Identificação das partes envolvidas

As partes envolvidas são aquelas que podem afetar, serem ou se considerarem


afetadas pela organização ou pelo processo de gestão de riscos. Em outras
palavras, as partes envolvidas são as pessoas ou grupos que têm um interesse
genuíno na organização.

Haverá divergências na opinião sobre quem deve ser incluído como parte
envolvida, mas geralmente, quando se determina quem são as partes
envolvidas, é importante incluir o maior numero possível de pessoas. A seção
4.3 traz alguns exemplos de partes envolvidas.

importante identificar as partes envolvidas e compreender que a organização


não escolhe as partes envolvidas que quiser. Se algum grupo não for
considerado inicialmente, e provável que ele aparecera posteriormente e que se
perderão os benefícios da consulta anterior.

3.4.2 Plano de comunicação e consulta

A abrangência da consulta e da comunicação dependerá da situação. Por


exemplo, a gestão de riscos, quando uma decisão operacional estiver sendo
tomada rapidamente, obviamente implica em um processo de comunicação
menos formal do que a gestão de riscos estratégica da organização como um
todo. Além disso, quando a gestão de riscos estiver sendo estabelecida, a
organização pode optar por concentrar sua atenção inicial nas partes envolvidas
internas e incluir as partes envolvidas externas progressivamente, nos ciclos
subsequentes, como parte da abordagem iterativa e dinâmica da gestão de
riscos.

Os elementos essenciais de um plano de comunicação e consulta (seja ele um


documento formal ou uma lista de verificação) são:

(a) Os objetivos da comunicação.


(b) Os participantes que precisam ser incluídos, por exemplo:
(i) Partes envolvidas - grupos ou indivíduos.
(ii) Especialistas/peritos.
(iii)Equipe de comunicação.
(c) As perspectivas dos participantes que precisam ser levadas em
consideração.
(d) Os métodos de comunicação a serem utilizados.

Rísk Tecnologia
(e) O processo de avaliação a ser utilizado.

Pode ser necessário variar o método de comunicação e consulta durante o ciclo


de gestão de fiscos.

O plano de comunicação e consulta da organização sofrerá a influência do que


se está tentando atingir em relação a gestão de riscos. Por exemplo, pode ser
necessário decidir se a comunicação tem por objetivo:

(i) Promover a conscientização e o entendimento de alguma questão


específica.
(ii) Aprender com as partes envolvidas.
(iii) Influenciar o publico-alvo.
(iv) Compreender melhor os contextos, os critérios de risco, os riscos, os
efeitos dos tratamentos de riscos.
(v) Conseguir uma mudança de atitude e comportamento em relação a uma
questão específica.
(vi) Ter uma cornbinaçiio de quaisquer dos itens acima.

Risk Tecnologia
ESTABELECIMENTO DOS CONTEXTOS

Este capitulo refere-se as subseções 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5 e 3.2.6da norma
ASfNZS 4360:2004.

4.1 Contextos

O estabelecimento dos contextos refere-se ao entendimento do histórico da


organizaç50 e de seus riscos, à definição do escopo das atividades de gestão de
riscos que estão sendo realizadas e ao desenvolvimento de uma estrutura para
as tarefas de gestão de riscos subseqüentes. Essa etapa é necessária para:

esclarecer os objetivos organizacionais;


identificar o ambiente no qual se buscam os objetivos;
especificar o escopo principal e os objetivos para a gestão de riscos, as
condições limitativas e os resultados necessários;
identificar um conjunto de critérios com base nos quais os riscos serão
rnensurados; e
definir um conjunto de eiementos principais .para a estruturação do processo
de avaliação de riscus.

Essa etapa visa a dar uma visão abrangente de todos os fatores que podem
influenciar a capacidade da organização de atingir os resultados esperados. O
resultado dessa etapa será o relato conciso dos objetivos organizacionais e
critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão
de riscos, e um conjunto de elementos-chave para a estruturação da atividade
de identificação de riscos. É especialmente importante que o escopo seja
definido claramente, para que o restante do processo permaneça dentro dos
limites desejados.

4.2 Objetivos e ambiente

O risw é a chance de acontecer algo que terá um impacto nos objetivos. Sendo
assim, para garantir que todos os riscos significativos sejam identificados, e
necessário conhecer os objetivos da função ou atividade da organização que
está sendo examinada. Os objetivos sâo a essência da definição dos contextos.
Os critérios para o êxito organizaciona! são a base para medir a consecução dos
objetivos e, por isso, são utilizados para identificar e mensurar os impactos e as
conseqüências dos riscos que podem atrapalhar tais objetivos.
O primeiro passo no estabelecimento dos contextos identifica os objetivos
organizacionais e os ambientes externo e interno nos quais se buscam os
objetivos. O segundo passo identifica o escopo da atividade de gestão de riscos
e as principais questões e interesses da organização, bem como a relação com
a estratégia e os objetivos dos negócios da organização.

Pode-se consultar nessa etapa os documentos mais importantes, tais como o


plano estratégico, planos de negócios e orçamentos, relatórios anuais, anhlises
econômicas e qualquer outra documentação pertinente referente a organização
e suas finalidades. Documentos externos, tais como a legislação pertinente,
também podem ser consultados. Documentos de análise estratégica, tais como
análises SWOT, podem ser úteis, pois ajudam a manter o foco nos aspectos
pertinentes dos ambientes externo e interno, conforme ilustra a figura 4.3,
adaptada do trabalho de Rowe, Mason, Dickel e Snyder (1989).

OBJETIVOS E

CONCORRENTES

\
Ambiente interno
Ambiente externo

Pontos fartes Pontos fracos

EXPLORAR BUSCAR Oportunidades

1 CONFRONTAR EVITAR Ameaças

FIGURA 4.1 - ESTRUTURA DA ANÁLISE 'SWOT'


Risk Tecnologia
4.3 Identificação e análise das partes envolvidas

A análise das partes envolvidas é importante na gestão de riscos para a maioria


das atividades, e geralmente é realizada em um estágio inicial do planejamento.
Alguns exemplos de partes envolvidas externas e internas a serem consideradas
são:

O Em uma empresa, a diretoria e os acionistas majoritários.


O Em um órgão do governo, ministros e membros locais cujo eleitorado pode
ser afetado por atividades ou empregos associados ou outras oportunidades.
O Alto executivos e gerentes de unidades de negócios que podem ser afetados
pelas atividades da organização.
O Funcionários, seus familiares, sindicatos e outras entidades representativas.
A comunidade de usuários, incluindo a direçáo, os funcionários e os clientes
da organização.
O Órgãos legislativos e reguladores.
O Pessoas que possam ser afetadas pela organização ou por suas atividades.
O O meio ambiente e a comunidade.
O Grupos especiais de interesse, tais como grupos de lobby ambienta!.
O Fornecedores e prestadores de serviços.
O Organizações de senrips de emergência.
O Instituiçõesfinanceiras e outros financiadores do setor privado.
O A mídia.

A análise das partes envofvidas fornece as pessoas que tomam decisões um


perfil documentado dessas partes, a fim de melhor compreender suas
necessidades e interesses. Tal análise tem um papel importante na
demonstrar;ão da integridade do processo e na garantia de que os objetivos do
processo de avaliaçiio de riscos abrangem as expectativas legítimas de todas as
partes envolvidas.

As partes envolvidas devem ser devidamente incluídas em cada etapa ou cicio


do processa de gestão de riscos, através do processo de comunica@o e
consulta (vide Capítulo 3). O engajamento das partes envolvidas promove a
aceitação e pode gerar soluções construtivas. A não-identificação e a não-
inclusão das partes envolvidas podem levar a não-aceitação da proposta e de
sua estratégia pela direção, clientes, funcionários, entidades reguladoras e a
comunidade.

Risk Tecnologia
Os principais objetivos e interesses das partes envolvidas pertinentes devem ser
levados em consideração de maneira explícita. Isso pode ser feito de modo
bastante simples, ou podem ser necessárias análises mais sofisticadas, através
das quais pode-se prever os principais riscos sociais e comunitários.

4.4 Critérios

Os critérios mais importantes a serem considerados são:

tipos de consequências que serão examinadas;


como será definida a probabitidade; e
como será determinado se o nível de risco é tal que serão necessárias novas
atividades de tratamento.

Os critérios com base nus quais o nível de risco é analisado e avaliado terão um
papel importante na definigo dos métodos a serem utilizados para analisar os
riscos. Por esta razão, é importante que critérios apropriados sejam
considerados no inicio do processo.

Não e fundamental que todas as facetas dos critérios sejam definidas nesse
estágio. Porém, e importante que as questães principais sejam identifimdas.

Os critérios podem sofrer a influência das opiniões das partes envolvidas e dos
requisitos legais e regulamentares.

Os requisitos da organização e das partes envolvidas pertinentes podem ser


utilizados para estabelecer um conjunto de medidas de desempenho críticas, as
quais fornecerão critérios especificas para a etapa posterior de análise e
avaliação de riscos.

4.5 Critérios de conseqüência

Os requisitos da organiilflÇ2io e das principais partes envolvidas são usados para


gerar um conjunto de critérios para a análise, que serão utilizados para
determinar as escalas específicas cum base nas quais as conseqüências dos
riscos serão analisadas e avaliadas nas etapas seguintes da analise de riscos.

A variedade de critérios pode ser grande. A tabela 4.1 traz um exemplo de um


projeto de tamanho médio, no qual a aceitação da comunidade era importante.
Essa lista de critérios serviu como guia para o gerente de projetos, nos estágios
iniciais de planejamento e estruturaçSo do projeto.

Rísk Tecnologia
TABELA 4.1

Critérios para um projeto de tamanho médio (exemplo)


CrOMrio Obsenrsções
Disponibilidade A disponibilidade das instalações existentes deve ser maximizada,
reduzindo-se ao máximo a interrupção das operações de negócios
atuais
- .-.-. -
Relações com a comunidade I Devem ser mantidos os mais altos padrões de consulta. e
1 relacionamento com a comunidade
1
Economia j O projeto deve ser claramente justificável do ponto de vista
econômico, o que será mensurado pela lucratividade e taxa de retorno
Meio ambiente As soluções para as questões técnicas devem ser adequadas ao meio
ambiente; deve haver uma solução alternativa
Financiamento Evitar gastos não incluídos nas previsões orcamentárías: rnaximizar o
uso defundos concedidas para finalidades especiais
Relações industriais Otimizar as relai;ões industriais, negociando com os representantes
f 1 dos funcionários e fazendo uso de acordos empresariais adequados 1
Probidade A boa govemança corporativa e a transparência na tomada de
decisões sbo requisitos regulamentares
Qualidade O cliente requer equipamentos que sejam adequadamente
1 construidos e confiáveis
Segurança f Os processos de entrega do projeto devem garantir os mais altos
níveis de segurança; as condiçtíes contratuais devem conter as
cláusulas apropriadas
Desenvolvimento de funcionStrios O método e os resultados da entrega do projeto devem melhorar as
principais habilidades da organização e dos funcionários envolvidos
Prazos O projeto deve ser concluído ate a data especificada para atender as
obriaades do usuário

A tabela 4.2 traz os critérios e os objetivos a eles associados para uma empresa
que depende dos ativos físicos.

A identificação de riscos provavelmente será improdutiva, caso se tente


considerar a organizaçh ou atividade como um todo. E muito mais eficiente
desmembrar a atividade em seções ou elementos-chave.

Os elementos-chave são um conjunto de tópicos a serem considerados um a um


durante a identificaç80 de riscos. Cada tópico é mais limitado que a atividade
como um todo, o que possibilita As pessoas que fazem a identificaçao focar-se
em suas linhas de raciocínio e aprofundar-se mais do que fariam se tentassem
trabalhar com tudo ao mesmo tempo, Um conjunto de elementos-chave bem
estruturado estimulará o raciocínio criativo e garantira que todas as quest6es
importantes sejam levadas aos responsáveis pela identificação de riscos.
Quando se faz uso de uma sessão de brainsforming para identificar os ríscos, os
elementos-chave servem de base para definir a pauta e o cronograma dessa
sessão.
TABELA 4.2

Objetivos relacionados a critérios para uma empresa (exemplo)

I
Critério
Perda ou restrição da
produção
1 Maximizar o valor dos ativos
Objetivos

Aumentar a produqão de forma sustentável


1
Atingir metas e custos anuais de produção
Integridade das instalações Minimizar a interrupção das operações
f Manter as condiQ3ese o desempenho dos ativos ou sistemas
Desempenho do projeto 1 Estratégia de custo eficaz (rentável)
Entidades operacionais que estão envolvidas
fmplementação e operação das instalações do projeto em ocasião
oportuna
Prazo, custo e desempenho relacionados ao orçamento
Impactos financeiras Redução de 10% nos custos de fornecimento

F--
/ Otimização dos custos de capital
i Melhoria dos custos operacionais
Nenhuma perda, nenhum aumento de custos ou custos adicionais
Funcionários Baixa rotatividade de pessoal, aumento das habilidades e experii5ncias
Desempenho ambienta1e de segurança e saúde na trabalho
Minimizar riscos ambientais e de segurança e saúde durante a
constru&o
Segurança e saúde Desempenho de segurança e saúde no trabalho
Minimizar riscos de segurança e saúde durante a construção
Nenhum ferimento, morte ou problema de saúde a longo prazo
Meio ambiente e comunidade Desempenho ambienta1 e da comunidade
Minimizar riscos ambientais e da comunidade durante a construcão
Nenhuma emissão no meio ambiente ou indignação pública
Imagem e reputação Desempenho excelente
I Apoio e confiança dos acionistas e do público

A estrutura de elementos-chave depende dos objetivos e dos principais


interesses da organização e das demais partes envolvidas. A tabela 4.3 indica
algumas das maneiras de estruturar os elementos para finalidades diferentes.

A estruturação dos elementos-chave requer a decisão da pessoa responsável.


Haver& uma relação entre a eficácia do processo de analise de riscos e a
integração de seus resultados com outros aspectos da analise e planejamento
dos negócios. Na maioria dos casos, é recomendável que seja escolhida a
estrutura mais eficaz para a análise dos riscos. O uso de uma estrutura
inapropriada pode levar a omissão indevida de itens significativos, com
conseqüências potencialmente sérias, bem como pode tornar o processo muito
ineficiente.

Risk Tecnologia
Elementos para a eçtruturação do processo de avaliação de riscos

1 Finalidade, objetivos, questões pertinentes Base para a seteçao dos


elementos
f
Planejamento do negócio e direcionamento estratégico Atividades do negócio
Restrições orçamentárias; financiamento externo Itens orçamentários, itens de custo
Questões operacionais; adequação ao uso; valor do dinheiro Funções do produto ou servirp
fornecido r
Questões técnicas e ambientais; confiabílidade; alocação de Componentes físicos
esforços técnicos e gerenciais
Aspectos ambientais; efeito do meio ambiente nos resultados (por Localizaçãofísica e atividades
exemplo, acesso, clima)
Prazos e programaçáo; aspectos de relações industriais; riscos de Atividades do negócio ou do
implementação projeto
Riscos gerais do projeto, identificados no inicio da etapa de Fases do projeto
planejamento; decisões de pararlcontinuar; estnrturzição comercial;
estratdigia geral de abordagem de compras
Questões ambientais e da comunidade; processos de aprovação; Partes envolvidas
aspectos de financiamento

4.7 Documentação dessa etapa

Para uma análise mais abrangente, essa etapa deve ser documentada para
demonstrar que a gama completa de fatores ambientais e contextuais foi
considerada.

Para uma atividade de nível inferior, um registro sucinto da análise pode ser
suficiente.

A documentação deve identificar os seguintes itens:

(a) escopo das atividades de gestão de riscos que serão realizadas e seus
resultados esperados;
(b) objetivos organizacionais e medidas do sucesso;
(c) fatores importantes no ambiente interno e externo;
(d) partes envolvidas pertinentes;
(e) principais critérios de avalia@o de riscos;
(9 documentos consultados ao se estabelecer os contextos; e
(g) elementos-chave através dos quais o restante do processo será estruturado.
IDENTIFICACÃO DE RISCOS

Este capítulo refere-se as subseções 3.3.1,3.3.2, 3.3.3 e 3.3.4 da norma ASINZS


4360:2004.

5.1 Finalidade

A finalidade da identificação de riscos é desenvolver uma lista abrangente de


fontes de riscos e eventos que podem ter um impacto na consecução de cada
um dos objetivos (ou elementos-chave) identificados nos contextos.

A lista deve ser abrangente, pois riscos não identificados podem se tomar uma
ameaça à organizaçáo ou fazer com que se percam oportunidades importantes.

Componentes de um risco
Um risco está relacionado a:

(a) Uma fonte de risco ou perigo - aquilo que tem o potencial intrínseco de
prejudicar ou auxiliar, por exemplo, um produto químico perigoso, os
concorrentes, o governo.
(b) Um evento - algo que acontece de tal forma que a fonte do risco tem um
impacto envolvido como, por exemplo, um vazamento, um concorrente que
expande ou abandona o seu segmento de mercado, regulamentações novas
ou revisadas, ou alguma medida ou observação que atinge um niveI que
desencadeia algo.
(c) Uma conseqüência, resultado ou impacto em relação a diversas partes
envolvidas e ativos, como danos ambientais, perda ou aumento de
mercado/lucros, regulamentações que aumentam ou diminuem a
competitividade.
(d) Uma causa (o quê e por quê) (normalmente uma série de causas diretas e
intrínsecas) para a presença do perigo ou ocorrência do evento, tais como um
projeto, intervenção humana, financiamento, previsão ou falha em prever a
atividade do concorrente, falha em expandir ou expansão da presença no
mercado.
(e) Controles e seus níveis de eficácia, como sistemas de detecçáo, sistemas
de depuração, políticas, segurança patrimonial, treinamento, pesquisa de
mercado e acompanhamento do mercado.
(9 Quando o risco poderia ocorrer e onde poderia ocorrer.
Esses componentes de risco não devem ser confundidos e precisam ser
identificados separadamente. O ideal seria identificar um risco nos seguintes
termos:

(Algo acontece) leva a (msulfados expressos em temos de impacto nos


objetívos).

Por exempto:
Um temporal danifica mercadorias e gera custos de retrabalho.
Identificamos um nicho de mercado que leva a um aumento nas vendas.
Um derramamento de petróleo denigre nossa reputação na comunidade local.

O processo de identificação
Para desenvolver uma lista abrangente de riscos, deve-se utilizar um processo
sistemático que comece com o estabelecimento dos contextos. Para demonstrar
que os riscos foram identificados de forma eficaz, deve-se trabalhar com o
processo, projeto ou atividade de modo estruturado, usando os elementos-chave
definidos durante o estabelecimento dos contextos. Isso pode ajudar a transmitir
a confiança de que o processo de identificação é completo e de que grandes
problemas não passaram despercebidos.

São feitas então as seguintes perguntas sobre cada um dos elementos-chave:

(a) Qual é a fonte de cada risco?


(b) O que poderia acontecer que pudesse:
(i) aumentar ou diminuir a consecução eficaz dos objetivos:
(ii) tornar a consecução dos objetivos mais ou menos eficiente (finanças,
pessoas, tempo);
(iii) fazer com que as partes envolvidas tomem atitudes que possam
influenciar a consecução dos objetivos;
(iv) gerar benefícios adicionais?
(c) Qual seria o efeito nos objetivos?
(d) Quando, onde, por quê, qual a probabilidade desses riscos (tanto positivos
quanto negativos) ocorrerem?
(e) Quem poderia estar envolvido ou sofrer o impacto?
(f) Que controles existem atualmente para tratar esse risco (maximizar os riscos
positivos ou minimizar os riscos negativos)?
(g) O que poderia fazer com que o controle não tivesse o efeito desejado sobre o
risco?
Após analisar criticamente cada elemento, as seguintes questões gerais devem
ser consideradas:

Qual é a confrabilidade das informações?


Quão confiantes estamos de que a lista de riscos é abrangente?
Há necessidade de pesquisa adicional sobre riscos específicos?
Os objetivos e o escopo foram cobertos adequadamente?
O processo de identificaHo de riscos envolveu as pessoas certas?

5.4 Informações para a identificação de riscos


Informafles de boa qualidade são importantes na identifica@o de riscos. 0
ponto de partida para isso pode ser o histórico sobre a organização ou
organizações similares, e posterior discussão com uma ampla gama de partes
envolvidas sobre questões passadas, atuais e futuras. Alguns exemplos são:

Experiência local ou internacional.


Opinião de um perito.
Entrevistas estruturadas.
Discussões dirigidas em grupo.
Planos estratégicos e de negócios que incluem análise SWOT e avaliação
ambiental.
Relatórios de solicitação de pagamento de seguro.
Relatórios pós-eventos.
Experiência pessoal ou experiência organizacional anterior.
Resultados e relatórios de auditorias, inspeções e visitas.
Pesquisas e questionários.
Listas de verificação.
Registros históricos, banco de dados de incidentes e acidentes, e análise de
falhas e registros anteriores de riscos, se houver.

essencial que as pessoas envolvidas na identificação dos riscas tenham


conhecimento dos aspectos detalhados da estudo de riscos que está sendo
realizado. Identificar riscos também pode exigir pensamento criativo e
experiência adequada. As equipes tomam possível o acúmulo de experiências.
O envolvimento da equipe também ajuda a criar o comprometimento e a
responsabilidade em relago ao processo de gestão de riscos e ajuda a garantir
que sejam considerados riscos para diferentes partes envolvidas, quando
apropriado.

Risk Tecnología
5.5 Abordagens para a identificação de riscos
A abordagem usada para a identificação de riscos depende do contexto da
gestão de riscos. Ao selecionar uma abordagem para identificar riscos, são feitas
as seguintes considerações:

Sessões de brainstorming em equipe, por exemplo, para os quais deve-se


dar preferência a uma abordagem de workshops com o uso de facilitadores,
pois desenvolve o comprometimento, considera diferentes perspectivas e
incorpora experiências variadas.
Técnicas estruturadas como diagramas de fluxo, análise crítica do projeto do
sistema, analise de sistemas, estudos de Perigos e Operabilidade (HAZOP)
e modelagem operacional, devem ser usadas quando as conseqüências
potenciais forem catastróficas e a uso de tais técnicas for eficaz em termos
de custo.
Para situações não tão claramente definidas, tais como a identificação de
riscos estratégicos, podem ser usados processos com uma estrutura mais
genizrica como what-íf e análise de cenários.
Quando os recursos disponíveis para a identificação e analise de riscos
forem limitados, sua estrutura e abordagem podem ter que ser adaptadas,
para atingir resultados eficientes dentro das limitações orçamentárias. Por
exemplo, onde há menos tempo disponível, pode-se considerar um número
menor de elementos-chave em um nível mais alto, ou pode-se usar uma lista
de verificação.
Em muitos casos, a identificapo de riscos em múltiplos níveis é útil e
eficiente. Em uma etapa inicial ou preliminar da definição do escopo, pode-se
identificar os riscos em um nivet superior, e definir as prioridades aplicando-
se uma identificação e análíse de nível detalhado a uma subsérie de áreas
de alta prioridade.

5.6 Docurnentaçãa dessa etapa


A documentação dessa etapa deve incluir:

(a) a abordagem ou método usado;


(b) o escopo coberto pela identificação;
(c) os participantes da identificação de riscos e as fontes de informação
consultadas; e
(d) o registro dos riscos (vide Capítulo 10).

Risk Tecnología
ANÁLISE DE RISCOS
Este capítulo refere-se as subseções 3.4.1, 3.4.2, 3.4.3 e 3.4.4 e 3.45 da norma
ASINZS 4360:2004.

6.1 Panorama

6.1.IGeneralidades

A analise de riscos visa a promover o entendimento do nível de risco e de sua


natureza. Além do nível absoluto de risco, a análise ajudará a definir as
prioridades e opções de tratamento (Capítulo 8). O nível de dsco 6 determinado
através da combinação das conseqü6ncias e da probabilidade. As esçalas e
mirtodos adequados para tal carnbina@o devem ser compatíveis com os
critérios definidos quando os contextos foram estabelecidos. Para uma análise
mais tfknica, a natureza dos dados e a saida esperada determinam os métodos
de análise requeridos.

O processo de analise normalmente começa com uma abordagem qualitativa


simples, que proporciona uma compreensão genérica. Quando for necessário
um maior detalhamento ou uma melhor compreensão, também poderá ser
necessária uma investigação mais dírecionada e aprofundada. Não se pode
pressupor que uma análise quantitativa seja superior a uma análise qualitativa. E
melhor garantir que seja utilizada a abordagem mais adequada para a situação
em estudo.

A análise pode ser realizada em diversos momentos, tais como no início de um


novo projeto, como parte da gestão continua, ou como um estudo do que pode
ocorrer após os riscos terem sido tratados. Normalmente, a análise verifica e
compara o nível atual de riscos com os controles existentes.

6.1.2 Base da análise

A escolha do método de análise será influenciada pelos contextos, pelos


objetivos e pelos recursos disponíveis. Por exemplo, no âmbito estratégico,
podem ser identificadas e analisadas categorias amplas de riscos, para fornecer
um perfil dos riscos organizacionais que mostre quais são as questões
importantes para as quais precisam ser estabelecidos sistemas de gestão e
tratamentos de riscos. No grnbito de um projeto ou equipe, os gerentes precisam
identificar e priorizar os riscos específicos que ameaçam os objetivos que estão
incumbidos de atingir.

Alguns riscos podem requerer um exame mais detalhado. As razões para uma
análise detalhada, que pode ser quantitativa ou qualitativa, são:

Risk Tecnologia
(a) obter mais informações sobre conseqüências ou probabilidades, para que as
decisões sobre prioridades sejam tomadas com base em inforrna@es e
dados e não em suposições;
(b) melhorar o entendimento que se tem dos riscos e de suas causas, para que
os planos de tratamento possam ser direcionados para as causas reais - e
não superficiais - do problema;
(c) fazer uma análise mais aprokindada, quando os critérios para a tomada de
decisão a exigirem (geralmente isso ocorre quando os critérios para decisão
são expressos quantitativamente);
(d) auxiliar as pessoas a escolherem uma entre várias opções, quando cada
uma delas tiver custos e benefícios diferentes e oportunidades e ameaças
potenciais;
(e) fazer com que as pessoas que devem operar com riscos compreendam
melhor os mesmos; ou
(9 fazer com que os tíscos residuais sejam compreendidos, após terem sido
aplicadas as estratégias de tratamento.

6.1 -3 Analise qualitativa

A análise qualitativa é um método de análise que utiliza a descrição em vez de


meios numéricos para definir o nivel de risco,podendo incluir o fornecimento de
informações descritivas sobre a natureza das conseqüências (especialmente
quando há muitas consequências diferentes para partes envolvidas diferentes,
ou quando algumas conseqüências são intangíveis).

Essas informações podem ser agrupadas e sumarizadas em uma Única palavra


para descrever a conseqüência e a probabilidade, para serem utilizadas em uma
tabela de classifica@o de riscos. Entretanto, pode ser necessário registrar as
informações implícitas nas quais a dassíficação se baseia, para auxiliar os
responsáveis pela tomada de decisão e para dar embasamento as suas
conclus0es.

A análise qualitativa pode ser utilizada:

(a) quando não e necessária a precisão quantitativa;


(b) para realizar uma avaliação inicial dos riscos, antes de uma análise posterior
mais detalhada;
(c) quando o nivef de risco não justifica o tempo e os recursos necessários para
a realização de uma análise numérica; ou
(d) quando dados numéricos não estão disponíveis ou são inadequados para
uma análise mais quantitativa.
Mesmo quando a análise qualitativa é utilizada, deve-se usar da melhor forma
possível as informações disponíveis, incluindo as quantitativas.

6.1.4 Análise semi-quantitativa e quantitativa


Quando a abordagem semi-quantitativa é utilizada, é importante não interpretar
os resultados em um nível mais refinado de precisão do que aquele contido nas
categorias descritivas iniciais. Não se deve utilizar números para dar a aparência
de um grau de precisão que não existe.

O nível de risco pode ser calculado utilizando-se um método quantitativo em


situações nas quais as conseqüências e a probabilidade de ocorrência podem
ser quantificadas. Por exemplo, analises e avaliações de riscos de fraude podem
ser quantitativas quando a probabilidade pode ser expressa numericamente e os
impactos potenciais são mensurados em termos de perdas monetárias.

Em muitas situações, métodos relativamente objetivos são utilizados de maneira


eficaz, embora as vezes sejam necessárias tt3cnicas mais refinadas. Porém,
mesmo técnicas quantitativas sofisticadas podem ter seus pontos fracas, que
devem ser levados em consideração. Em especial, as hipóteses assumidas nas
técnicas quantitativas devem ser claramente apresentadas e compreendidas.

6.1.5 Medições e escalas


Qualquer que seja o tipo de análise utilizada, será necessário medir as
consequências e a probabilidade de alguma maneira. A escolha do tipo de
escala a ser utilizada para realizar tal medição depende muito da natureza e
amplitude das consequências e do nivel de conhecimento e variabilidade da
probabilidade. É essencial que, a p b escolher os tipos de escalas adequados, as
limitações e graus de liberdade oferecidos por cada um desses tipos sejam
totalmente compreendidos. O tipo de análise possível está diretamente
relacionado as limitações. As escalas de medição podem ser caracterizadas
como:

(a) Nominal.
(b) Ordinal.
(c) Intervalo.
(d) Proporção.

A tabela 6.1 descreve a natureza e as limitações de cada uma dessas escalas.

Risk Tecnologia
TABELA 6.1

Tipos de escalas de medição

I
---a-

Tipo de Descrição LirnitaçdeslGrausde Exemplo de risco Expiíaçao


escala I Liberdade conceitual

/1 categorias.
Nominal Designa dados em Não pode ser realizada Listas ou classificações de Calor, cor,
nenhuma operação padrões culturais, uso da textura.
matemática. terra etc.
Sem medidas da magnitude Çategorias tais como Alto, Frio, morno,
Podem ser avaliadas absoluta, somente relativa. ~ é d i o Baixo
, ou 1,2,3,4,5, quente.
como mais ou menos Adição é arbitrária na em que o valor num8riço
que... ausência de pontos zero. não está relacionado ao
I valor ou quantidade.
Intervalo 1 Intervalos quantitativos Pode integrar, adicionad Uma escala tal como 1,2, 3 10" de
entre unidades de subtrair ou dividir1multiplicar ... 9, 10, srn que o valor temperatura;
medida $50 constantes por uma constante somente. numerico tem algum 20a de
(10 é superior a 9 como Amalgemaçáo possível significado, mas o ponto temperatura;
2 é superior a 1). somente se definidos pontos zero 6 arbitrario. 30" de
iguais em todas as escalas temperatura
(ex. um déficit de 2 não é duas (mas o ponto
vezes 'I, pois redefinir o ponto inicial [O"] não
zero poderia transformar o é definido).
valor 2 em 5 e o valor 1 em 4).
Mede a magnitude e não a Uma medida do efeito em 1O0C,100" C
Semelhante à Escala signific3ncia. Pode ser que o ponto zero é definido (ponto inicial =
por Intervalo, mas com combinada matematicamente, como sem efeito (ex. uma 0"= ponto de
ponto inicial definido ou contanfo que as unidades escala com 'sem perda', congelação).
não-arbitrário. sejam as mesmas ou seja 'perda de $I',perda de $2'
aplicada uma conversão etc).
adequada.

6.1.6 Princípios da análise

As ferramentas de análise permitem que os riscos sejam expressos pela


combinação de seus dois componentes, ou seja, conseqüências e probabilidade.
A relação entre esses dois itens depende de muitos fatores que, por sua vez,
refletem a real natureza do risco e a maneira como ele e percebido. Essa é a
função dos contextos. Parficulamente onde se aplicam valores humanos, a
relação entre os componentes pode ser não-linear e ate mesmo descontinua.
Quanto mais complexo for o problema, menos certa ou definivel será essa
relação. Por exemplo, uma série de pequenos acidentes ambientais pode atingir
um limite de tolerância no qual as consequências se tomam de interesse piibfico.

Com base na definição, risco é uma função tanto da probabilidade como da


medida das conseqüências. Em sua forma mais simples, o risco pode ser
expresso da seguinte forma:

Risco = função da (Probabilidade e Conseqüências)

Risk Tecnologia
Utilizando a analise qualitativa ou a quantitativa, a natureza da função e a Iógica
subjacente precisam ser compreendidas. Qualquer operação matemática que for
subseqüentemente aplicada deve estar de acordo com essa lógica, e deve ser
validado qualquer uso de unidades em particular. Na verdade, a verificação das
unidades proporciona uma boa constatação da lógica subjacente. Se
considerarmos que o nível de risco é proporcional a cada um de seus dois
componentes (probabilidade e conseqüências), a função flsco sera
essencialmente um produto. Isso pode ser expresso matematicamente corno:

Risco = Probabilidade x Conseqüências (R = P X C)


Essa relação simples não leva em consideração fatores complicadores, tais
como as relaçóes não-lineares entre utilidade e o valor das conseqüências. Por
isso, para uma análise quantitativa, é provável que uma relação mais completa
precise incluir um fator de ponderação para um dos dois componentes (para
atingir a escala relativa necessária entre eles), e também precise de um
operador exponencial (operadores 'elevado a potência' x e y) para um ou ambos

-
os componentes. Por exemplo:

Risco (C x fator de ponderação)" x (P)Y

Cada uma das descrições acima de risco provavelmente somente será


verdadeira dentro de uma determinada amplitude ou faixa. Por exemplo, quando
a freqüência é alta ou um evento é quase certo, o risco toma-se igual a
consequência em si. Da mesma forma, resultados de conseqüência alta pudern
ser tão inaceitáveis que a freqüência da ocorrência não é um fator relevante.

6.1.7 Representação gráfica


Em sua forma qualitativa mais simples, a relação entre o risco e os seus
componentes pode ser considerada e ifustrada através de uma matriz simples.
Por exemplo, é importante observar que a relação que define o nível de risco
pode ser dominada pela conseqüência ou pela probabilidade, ou os dois
componentes podem ter um peso semelhante ou igual (vide figura 6.1).

A quantidade de etapas ou divisões em cada eixo será determinada pelo nível


de detalhas, a natureza das medidas e dos contextos, o escopo, os recursos e
como o resultado sera utilizado.

Um ponto particularmente forte da abordagem qualitativa é que não se deve


tentar entender a real relação mnseqüência/probabilidadeírisco. Entretanto,
nenhuma matriz terá validade se não for explorada cada possível combinação,
para garantir que a ferramenta reflita com precisão a percepção da organização
sobre os riscos.
Risco Risco
Médio Alto

Risco Risco
Baixo Médio

Menor Maior
Conseqüência

Vafotes das c&tuias = Unidades de risco


somente para classífícação

FIGURA 6.1 - REPRESENTAÇAO


QUALITATIVA

Uma abordagem semelhante pode ser utilizada para ilustrar uma ferramenta de
análise semi-quantitativa (vide figura 6.2).

0,Ol 0,03 a.1 03

M.baixo Baixo Médio Alto

Valoms das células = Unidades de tisco somente


para dassificação

FIGURA 6.2 - REPRESENTAÇAO SEMI-QUANTITATIVA


A exemplo da análise qualitativa, as escalas para cada componente não
precisam ser lineares.

No caso da anátise semi-quantitativa, pode ser utilizada alguma forma de


manipulação matemática. Por isso, é importante que sejam consideradas as
limitações dos tipos de escala escolhidos, para garantir que a manipulação seja
válida (vide tabela 6.1). Deve-se observar, entretanto, que embora as escalas
ordinais sejam comumente utilizadas, as manipulações que podem ser
realizadas são muito limitadas. O uso de escalas de proporção, por outro lado,
possibilitam a realização da maioria das operações matemáticas, contanto que
sejam aplicadas unidades e conversães adequadas (vide figura 6.2).

Deve-se notar que, caso a relaeo de risco seja considerada como produto dos
dois componentes (probabilidade e conseqüências), uma linha de risco
constante não aparecerá reta no diagrama, a menos que sejam usadas escalas
logarítmicas. Quando é utilizada uma expressão matemática simples para
representá-las, não e necessário o diagrama.

A forma mais simples de analise quantitativa é semelhante conceitualmente a


análise semi-quantitativa, mas geralmente com o uso e a manipulação mais
rigorosos dos vatores que representam os dois componentes do risco. O uso de
qualquer escala que não seja a de 'proporção' normalmente não é válida.

Porém, mesmo quando os valores são relativamente fáceis de definir, pode


ainda ser necessário ter alguma toferância (geralmente na forma de peso ou
outro fator ou função matemática), para levar em consideraçáo o valor humano
ou a utilidade de determinada cónseqüênçia ou a percepção da probabilidade.

Ao realizar uma análise quantitativa, as unidades de medida devem sempre ser


estabelecidas.

Consequikncia ($ x 1000)

FIGURA 6.3 - REPRESENTAÇAO SEMI-QUALITATIVA

Risk Tecnologia
6.2 Tabelas de consequências e probabilidades

6.2.1 Generalidades

As tabelas de conseqüências e probabilidades são utilizadas a fim de fornecer


definições para as escalas de classificação, para que haja um entendimento
comum de seu significado. As tabelas devem ser compatíveis com os objetivos
específicos e o contexto da atividade de gestão de riscos.

Deve-se observar que os descritores nesses exemplos foram escolhidos de


modo a não usar os mesmos termos das escalas de consequências,
probabilidades e riscos, para evitar duplicação em qualquer matriz ou relatório
posterior.

6.2.2 Conseqüências

A tabela 6.2 traz uma tabela qualitativa simples de consequências, que pode ser
utilizada por uma organização com critérios relacionados a segurança e saude,
meio ambiente e sucesso financeiro. Também considera os impactos políticos e
financeiros dos riscos, da mesma forma que pode ser encontrada em uma
análise de programas do setor público. A tabela 6.3 traz uma tabela descritiva
simples.

Quando uma tabela traz tipos diferentes de consequências, ou quando o mesmo


descritor é utilizado para um determinado nível, então será inferida uma
equivalência entre cada conseqüência. Se isso não for verdadeiro, precisam ser
utilizadas tabelas e descritores diferentes. Quando se busca a equivalência, é
preciso tomar cuidado para garantir que isso seja defensável e, quando possível,
deve-se obter a concordância das partes envolvidas.
Tabela 6.2
Escala de consequênçías - Exemplo 1

Comunidade1
Redução dos Segurança e Meio I Herança Govemol
Lucros Saúde Ambiente Sociocuhhiral Reputaçãol
Mídía

Diversas mortes Processos e


ou efeitos
ineversiveis
multas
significativas.
I
significativos em litígios muito
mais de 50 $&rios, incluindo
pessoas Dano ambienta1 a@es de classes
ie funçks da
Uma morte eiou scossisterna
incapacidade nuita grave o Protesto sério Descurnprimento
permanente í e longo prazo do pública ou ds sdrio de uma
total (>ao%) em Questaes rnidia (de regulamentaçZio.
uma ou mais sociais sWas e repercussfio Litigio maior
pessoas continuas. intsrnacional) +
Dano Descumprirnento
Incapacidade ou significativo em Reperuissao ~eno de uma
defici6ncia EfeEfos estruturas I itens nacíanal qularnlshiag20,
permanente smbieniais de signifidncia negativa e w m investigagão
parcial (c30%) araves de médio cultural significativa ou relatório para
em uma ou mais >razo junto à autoridades, com
Dessoas mídialpúbtial possível processc
ONGs @/oumulta
moderada
Incapacidade 3?itos Questões Repercussão na
temporária con; noderados de sociais midia &ou
~ospitalitação xrto prazo, maior
contínuas. Dano
nas que não permanente a
preocupaçáo da
tfelarn as itens de comunidade
unções do local. Críticas de
significância
?cossisterna cultural ONGs Questões
jurídicas
v

Impactos Pequena menores,


ffeitos menores menores de rcopetutssão pequenas não-
ia biologia do medio prazo na pública local, ou conformidades e
neio ambiente popuI~1Çãolocal. pequenas vioia@es a
Em grande raclarnaç6as ou regulameniaç6es
parte atendimentos
recuperável midiças

Ta bela 6.3
Escala simples de conseqi.b3ncias Exemplo 2 -

Risk TecnoJogia
6.2.3 Probabilidades
E preciso construir escalas para atender as circunstâncias de cada estudo. As
tabelas 6.4 e 6.5 são exemptos de escalas de probabilidades. A primeira usa
escalas de ordem de magnitude para medir uma faixa de probabilidades que vai
de, aproximadamente, anual para uma em 10.000 anos. O segundo exemplo
traz uma escala que é mais adequada a um período de tempo definido, em que
a probabilidade absoluta de um evento pode estar relacionada a determinadas
atividades - um projeto, por exemplo, para o qual pode ser necess&rio
considerar as chances de certo resultado ser obtido. Novamente, a escala deve
atender as necessidades.

Tabela 6.4
Exemplo de escala de probabilidades Exemplo I -
Nível Descritor Descrição FnquBncia Indicativa
(expectativa de ooom?ncia)
A Quase certo O evento ooorrerá anualmente Uma vez ao ano ou mais
B Provável O evento ocorreu diversas vezes em sua vida profissional Uma vez a cada três anos
C Possivel O evento poderá ocorrer uma vez em sua vida profissional Uma vez a cada dez anos
D Improvável O evento ocorre em algum lugar de vez em quando Uma vez a cada trinta anos
E Raro Sabese que algo semelhante ocorreu em outro lugar Uma vez a cada 100 anos
F Muito raro Sua ocorrencia e desconhecida Uma em 1.O00 anos
G Quase impossível Teoricamente possível, mas não se espera que ocorrerá Uma em 10.000 anos

~a bela 6.5
Exemplo de escala de probabilidades Exemplo 2 -
Descritor Descrição Descritor Alternativo
Provável Espera-se que possa ocorrer durante o projeto Boas chances
Possível Não se espera que ocorra durante o projeto Baixas/medias chances
I Improvável 1 Concebível, mas altamente irnproviivel de ocorrer durante o , Poucas chances !

O número de ocorrências em um período de tempo dependerá da população,


área, número de ativos etc. que são considerados. A interpretação das escalas
indicativas de freqüência, tais como a da tabela 6.4, deve refletir o escopo
definido nos contextos e ser consistente por todo o estudo.

A probabilidade de ganho ou perda pode ser considerada uma função tanto da


exposição a fonte de risco quanto da probabilidade de ocorrência do resultado.
Esses dois fatores podem ser analisados e avaliados separadamente. Por
exemplo, em Seguranpi e Saúde no Trabalho, pode-se considerar a exposição a
um perigo químico e a probabilidade de ocorrência do dano após a exposição.

Técnicas de engenharia de segurança de sistemas, como a Análise de Árvore de


Falhas, podem ser utilizadas para analisar as probabilidades em mais detalhes.

Rísk Tecnología 41
6.3 Nível de risco
A forma como o nível de risco e descrito dependerá do tipo de análise realizada.
A abordagem qualitativa somente pode descrever os riscos de maneira
qualitativa - e isso normalmente é feito com termos descritivos. Um exemplo
disso é apresentado na tabela 6.6. A análise quantitativa pode, por outro lado,
gerar um número, dado ou valor único ou um conjunto de dados detalhados.
Quando isso ocorrer, deve-se tomar cuidado para garantir que as unidades de
risco sejam definidas e compreendidas. Deve-se dar atenção especial a analise
quantitativa quando estiverem sendo examinadas consequências que são
intangíveis ou difíceis de quantificar, tais como efeitos no meio ambiente ou na
segurança, ou a reputação da organização.

As hipóteses e seus impactos, bem como seu nível de certeza, também


precisam ser definidos.

A tabela 6.6 ilustra também o processo e os descritoreç que podem ser


utilizados para combinar o nível das conseqüências com o nível de
probabilidade, para determinar a nível de risco. O numero de categorias de risco
definidas em uma tabela como essa deve refletir as necessidades do estudo.

Tabela 6.6
Exemplo de matriz para determinar o nível de risco
Classificaçiio da Classificaçiio das Conseqüências
Probabilidade I 1 !I 111 IV V
A Médio Alto Alto Muito alto Muito alto
B Médio f MWo Alto Alto Muito alto f
C Baixo Médio Alto Alto Alto
D Baixo Baixo Médio Médio Alto
E Baixo Baixo Médio Médio Alto
NOTA: A relação entre ss wnseqMncias e a probabilidade será diferente para cada aplicação: o nível
de risco atribuído a cada célula deve refletir isso.

As categorias podem estar associadas ao nível recomendado de aten@o da


direção ou a escala do tempo necessário para a resposta requerida. Por
exemplo:

(a) Risco muito alto ou alto: necessária atenção da direção executiva sênior e
especificação de planos de ação e responsabilidades da direção.
(b) Risco médio: gestão através de monitoramento específico ou procedimentos
de resposta e especificação das responsabilidadesda direção.
(c) Risco baixo: gestão através de procedimentos de rotina; provavelmente não
requer aplicação específica de recursos.

Outro exemplo simples e mostrado na tabela 6.7.

Risk Tecnologia
bela 6.7
Exemplo - MatrizTasimples de nível de risco

I Conseaiiéncias I
I Probabilidade I Maior Moderada 1 Menor 1
Provável Vermelho Vermelho Amarelo
Possível Vermelho 1 Amarelo Verde
Improvável Amarelo 1 Verde Verde

Legenda do Tratamento de Riscos

Aita

P
r
o
b
a
b I
i
I
d
2e
t

Baixa
Baixa Aita

Conseqüência

-
FIGURA 6.4 RISCOS COM RESULTADOS DIVERSOS

Muitos eventos de risco podem surgir de diversas maneiras, dentro de uma faixa
de resultados e probabilidades associadas. Por exemplo, se um erro de
processamento ocorresse em uma empresa, poderia ser um problema pequeno
ou poderia causar uma perda muito grande. Normalmente, os problemas
menores são muito mais frequentes que as catástrofes, e os riscos potenciais
seguem um padrão, conforme mostra a figura 6.4. Ao selecionar um risco para
ser avaliado, há diversas opções: escolher um problema típico, com

Risk Tecnologia 43
conseqüência baixa mas com probabilidade alta, ou uma catástrofe
representativa, com uma consequência alta mas com probabilidade baixa, ou
algum resultado intermediário.

Em muitos casos, é melhor íbcalizar os eventos com resultados potencialmente


catastróficos, uma vez que esses são os que representam as maiores ameaças
e, geralmente, são as maiores preocupações da direção.

Em alguns casos, pode ser importante identificar e analisar tanto os 'problemas'


quanto as 'catástrofes' cumo riscos separados. Por exemplo, um problema
freqüente mas de impacto baixo (ou crônico) pode ter grandes efeitos
cumulativos ou efeitos de longo prazo, os quais são pelo menos tão importantes
quanto um evento raro mas de consequência alta (ou aguda). Além disso, as
ações de tratamento para Iidar com esses dois tipos distintos de riscos são
geralmente muito diferentes e, por isso, vale a pena diferenciá-los e registra-los.

É importante ter *consistência para analisar os riscos que podem ocorrer de


formas diferentes como essas. Por exemplo, selecionar uma categoria de
consequência correspondente a uma catástrofe rara e uma categoria de
probabilidade correspondente a um problema freqüente iria identificar um risco
fora da faixa mostrada na figura 6.4, não sendo um resultado válido para análise
posterior. Por exemplo, se uma categoria de consequência correspondente a
uma catástrofe rara for selecionada, a categoria de probabilidade deve
corresponder a probabilidade desse resultado catastrófico. Se for selecionada
uma probabilidade mais apropriada a um problema freqüente, o risco
selecionado estará fora da faixa de resultados viáveis, conforme mostra o ponto
de interrogação da figura 6.4, não sendo um resultado válido.

6.4 Incerteza

Os riscos são caracterizados pela 'incerteza'. As seguintes possibilidades,


apesar de não pretenderem ser definitivas, servem para ilustrar a questão:

(a) Riscos dos quais conhecemos ou podemos assumir a faixa de variação de


resultados e sua probabilidade, mas dos quais o valor específico não é
conhecido dentro da faixa.
(b) Riscos dos quais não conhecemos todos os resultados possíveis ou a
probabilidade de cada resultado ou ambos (mas talvez saibamos os
principais parâmetros).
(c) Riscos sobre os quais 'não sabemos o que não sabemos'.
(d) Riscos dos quais as reiages ou redes causais silo incertas
(indeterminação).
(e) Riscos dos quais há uma variabilidade na natureza e grau de exposiçáo ou
na susceptibilidade. AS vezes as distribuições de probabilidade ou de
freqüência podem ser usadas para analisar a variabilidade. Ou se pode

Risk Tecnologia 44
observar casos especiais diferentes, incluindo os cenários de casos mais
viáveis ou menos viáveis.

Há diversas maneiras lógicas e matemáticas de se lidar com a incerteza e com a


variabilidade. Geralmente é necessário um alto grau de conhecimento e
habilidade para explorar e comunicar a incerteza. Existem s o f f w a ~ sfáceis de
usar que podem dar uma aparência robusta a análise da incerteza, mesmo
quando a lógica nela implícita apresente imperfeições. Por essa razão, tanto os
responsáveis pela realização da analise quanto as pessoas que utilizam tais
informações têm que tomar bastante cuidado.

Claramente, em muitos casos, informações adicionais podem reduzir a


incerteza. Porém, é importante encontrar um equilíbrio entre o esforgo
necessário para obter informações adicionais e a importância das informações
para o processo de tomada de decisão. A consulta e a comunicação podem
ajudar a determinar quais aspectos da incerteza requerem maior esforço. Em
algumas circunstâncias, não será possível obter mais informações, ou o
desconhecimento poderá signifiar que a incerteza não poderá ser esclarecida.

É importante registrar e explicar a incerteza e seu efeito na análise, uma vez que
o responsável pela tomada de decisão precisa saber tanto o nível estimada de
risco quanto o grau de certeza com o que se conhece.

6.5 Análise de oportunidades

Muitas análises de riscos estão voltadas para as consequências negativas dos


riscos, sendo que as escalas de conseqüências refletem as perdas ou os
resultados indesejados que podem surgir. Entretanto, a abordagem de gestão de
riscos pode ser utilizada para identificar e priorizar as oportunidades (ou os
riscos 'positivos'), com poucas mudanças no processo.

Ao considerar as oportunidades, a probabilidade deve ser pertinente a natureza


dos resultados benéficos esperados.

A tabela 6.8 traz um exemplo referente aos resultados positivos; da mesma


forma, as medidas utilizadas devem refletir as necessidades e a natureza da
organização e da atividade em estuda.

Risk Técnologia
Tabela 6.8
Exemplo de descrição detalhada para conseqüências positivas
7
Nível Desctitor Descri~6~
-
1 - Insignificante
Menor
a
Melhoria pequena da imagem, algum ganho financeiro
1 23 Moderada Alguma melhoria da reputação, ganho financeiro alto
4 Maior Melhoria da reputação, ganho financeiro significativo
5 Excelente Melhoria significativa da reputação, ganho financeiro extraordinário

Uma matriz de análise qualitativa de oportunidades, corno a apresentada na


figura 6.5, pode ser utilizada com uma tabela de categorias de probabilidade
para combinar as índices de probabilidade com os de conseqüências, a fim de
determinar o nível de owrtunidade. A única coisa que precisa mudar é a
legenda, com o foco da ação direcionado a captar e explorar a oportunidade, em
vez de evitar ou mitigar os problemas:

(a) Oportunidade muito alta; planejamento detalhado, requerido nos níveis


seniores, para se preparar e captar a oportunidade.
(b) Oportunidade alta; necessária atenção da direção executiva sênior e
especificqão das responsabilidades da direção.
(c) Oportunidade média; gestão através de monitoramento específico ou
procedimentos de resposta.
(d)
. . Oportunidade
. baixa; gestão através de ~rocedimentos de rotina,
provavelmente não havendo necessidade de aplicação de recursos
específicos,

Oportunidades
Excelentes

Risk Tecnologia
6.6 Métodos de análise

Alguns métodos qualitativos para a geração de informações para a análise de


riscos incluem:

(a) avaliação usando grupos multidisciplinares;


(b) opinião de especialistas e peritos; e
(c) entrevistas estruturadas e questionários.

Alguns métodos quantitativos de analise de riscos incluem:

análise de conseq~ências;
análise estatística de dados históricos;
analise de Arvore de falhas e arvore de eventos;
diagramas de influência;
análise de custo do cido de vida;
analise de redes;
simulação e modelagem computadorizada;
análise estatística e numérica;
marketing de testes e pesquisa de mercado; e
análise de probabilidade.

6.7 Perguntasthave ao analisar um risco

As principais perguntas que devem ser feitas ao se analisar um risco incluem:

(a) Quais dos sistemas atuais podem prevenir, detectar ou reduzir as


conseqüências ou probabilidades de riscos ou eventos indesejáveis?
(b) Quais dos sistemas atuais podem melhorar ou aumentar as consequências
ou probabilidades de oportunidades ou de eventos benéficos?
(c) Quais são as consequências ou a faixa de consequências dos riscos, caso
eles ocorram?
(d) Qual é a probabilidade ou a faixa de probabilidades dos riscos ocorrerem?
(e) Quais fatores podem aumentar ou diminuir as probabilidades ou as
consequências?
(9 Que fatores adicionais podem precisar ser considerados e modelados?
(g) Há limites de probabilidade e conseqüência alem dos quais a análise deixará
de ter validade?
(h) Quais são as IimitaMes da análise e as hipóteses assumidas?
(i) Quão confiante você está em seu julgamento ou pesquisa, especificamente
em relação a riscos de conseqOência alta e probabilidade baixa?
(j) O que causa a variabilidade, volatilidade ou incerteza?
(k) A lógica por trás dos métodos de análise é consistente?
(1) Para a análise quantitativa, pode ser utilizado algum método estatístico para
compreender o efeito da incerteza e da variabilidade?

Onde há um alto grau de incerteza remanescente após a análise, pode ser


apropriado sinalizar isso e anatisar criticamente o trabalho no futuro e a luz da
experiência.

6.8 Documentação da análise


A documentação desta etapa deve incluir:

(a) principais hipóteses e limitaqões;


(b) fontes das informaç0es utilizadas;
(c) explicação do método de análise, e definições dos termos utilizados para
especificar a probabilidade e as conseqüências de cada risco;
(d) controles existentes e sua eficácia;
(e) descrição e severidade das conseqüências;
(f) a probabilidade dessas ocorrências específicas;
(g) grau de risco resultante; e
(h) efeito da incerteza.

Pode não ser necessária uma documentação detalhada para riscos muito
baixos; porém, deve ser mantido um registro do fundamento lógico para a
escolha inicial dos riscos muito baixos.

A documentação da análise de riscos geralmente é incluída no cadastro de


riscos (vide Capitulo íO).

Risk Tecnologia
AVALIA~ÁODE RISCOS

Este capítulo refere-se a subseçáo 3.5 da norma ASINZS 4360:2004.

7.1 Panorama

A avaliação de riscos faz uso da compreensão dos riscos, obtida através da


análise de riscos, para a tomada de decisões sobre as futuras ações.

Tais decisões podem incluir:

Se um determinado risco necessita de tratamento.


Se uma determinada atividade deve ser realizada.
As prioridades do tratamento.

A natureza das decisões que necessitam ser tomadas, bem como os crit&ios
que serão utilizados para a tomada das mesmas, foram escolhidos quando do
estabelecimento dos contextos, porém necessitam ser revistos mais
detalhadamente nesta etapa, agora que se sabe mais a respeito dos riscos
identificados.

7.2 Tipos de critérios de avaliação

Os critérios utilizados para a tornada de decisões devem ser coerentes com os


contextos interno, externo e da gestão de riscos definidos, assim como devem
levar em consideração os objetivos da organização, os objetivos relativos aos
riscos e as opiniões das partes envolvidas etc.

As decisões podem se basear no nível de risco, mas podem também se basear


em limites definidos em temos de:

(a) conseqüências especificadas;


(b) probabilidade de eventos ou resultados especificados;
(c) efeito cumulativo de múltiplos eventos; e
(d) amplitude da incerteza dos níveis de risco em um determinado nível de
confiança.

Os critérios podem ser expressos quantitativa ou qualitativamente.


7.3 Avaliação a partir da análise qualitativa

Não há organização que conte com recursos ilimitados para aproveitar


oportunidades ou para lidar com riscos adversos. Portanto, é necessário que se
definam prioridades. A análise quatitativa é utilizada com freqüência na definiçZio
de prioridades ou tratamentos baseados no nível de risco. As prioridades
também podem ser estabelecidas com base somente nas conseqüências ou em
outros critérios, conforme definidos na seção 7.2.

Os diferentes niveis de risco existentes em uma matriz qualitativa de riscos são


algumas vezes utilizados para definir as diferentes ações que são requeridas,
como as da seção 6.3, e, por conseguinte, agem implicitamente como critérios
de risco. Entretanto, uma vez definidos os julgamentos sobre as cunsequ~ncias
e probabilidades e sobre as divisões entre os níveis qualitativos de risco da
matriz, a fim de se adequarem a certas circunstâncias, matrizes desse tipo
apresentam limitações como ferramentas de decisão.

7.4 Risco tolerável


O conceito de risco tolerável foi formulado por Sir Frank Layfield, que em 1987
observou que "embora o risco aceitável seja frequentemente utilizado para
balancear riscos e benefícios, ele não expressa adequadamente a relutância
com a qual riscos e benefícios possivetmente substanciais podem ser tolerados".
Assim, as pessoas estão dispostas a 'toierar' alguns riscos sob determinadas
circunstâncias em troca de benefícios específicos.

Os critérios de risco mais simples separam os riscos que necessitam de


tratamento daqueles que não necessitam. Isso gera resultados simples e
atraentes, porém não reflete as incertezas nem da estimativa dos riscos, nem da
definição da fronteira entre os que requerem tratamento e aqueles que não
requerem.

Uma abordagem bastante comum é a divisão dos riscos em três faixas:

(a) Uma faixa superior na qual os riscos adversos são intoleráveis, quaisquer
que sejam os beneficíos que a atividade possa trazer, e as medidas de
redu@o de riscos são essenciais, qualquer que seja o seu custo.
(b) Uma faixa intermediária (ou zona 'cinzenta') na qual os wstos e os
benefícios são levados em consideração e as oportunidades balanceadas em
rela@o as conseqüências potenciais adversas.
(c) Uma faixa inferior na qual os riscos positivos ou negativos são insignificantes,
ou são tão pequenos que não há necessidade de nenhuma medida de
tratamento dos riscos.

Para os riscos com cunsequências ambientais ou de segurança e saúde


potencialmente significativas, isso é expresso como 'Tão Baixo Quanto

Risk Tecnologia 50
Razoavelmente Praticável', ou conceito ALARP (As Low As Reasonably
Practicable), ilustrado na figura 7.1. Esse conceito também se aplica a outros
tipos de riscos.

A largura do cone indicct o tamanho do risco. O cone é dividido em faixas,


conforme descrito acima.

Quando o risco se aproxima de um nívef intolerável, espera-se que o risco seja


reduzido, a menos que o custo para reduzir o risco seja muito desproporcional
aos benefícios obtidos. Já quando os riscos se encontram próximos ao nívef
insignificante, pode-se tomar providências para reduzir os riscos somente
quando os benefícios superarem os custos de redução.

O conceito de 'praticável' do ALARP traz em si a idéia da praticalidade (É


possível se fazer algo?), bem como os custos e benefícios da ação ou da inação
(V& â pena fazer algo nessas circunstâncias?). Esses dois aspectos precisam
ser balanceados cuidadosamente, caso os riscos que a organita@o está
tratando refiram-se a uma responsabilidade explícita ou implícita.

Em 1949, Lord Justice Asquith formulou uma definiçáo para 'razoavelmente


praticável'. "'Razoavelmente praticável' é um termo mais restrito que 'fisicamente
possível', e parece-me que deixa subentendido que um cálculo deve ser feito
pelo proprietário, no qual se coloca num prato da balança a quantidade de risco
e, no outro, o sacrificio envolvido nas medidas necessárias para se evitar o risco
(seja em temos de dinheiro, tempo ou aborrecimento); e que, caso seja
mostrado que há uma gritante desproporção entre eles - risco insignificante em
relação ao sacrifício - os réus arcarão com o Ônus envolvido."

Risk Tecnologia
h bgilãa
Geralmente 0 risco não pode ser
Intolerável justificado, a n&oser em
(Limite de cirçunstClncias
Segurança extraoídinarias.
Básico)
-----------e

ALARP ou Conduzir os riscos para a


Regitio Região Aceitável
Toler;ftvel amplamente.
(Objetivo de
Segura- Risco residuat tolerhvel,
--,-E)ásiçstr-, somente se não for possível
nenhuma outra reduçiio do
Região risco.
Aceitável
Amplamente ImprovÉivel que a raduçãa
do risco seja requerida,
devido aos rmnos serem
provaveirnente muito
drzsproporcionais em
rela@o & redução obtida.

Füsco insignificante

7.5 Julgamento implícito nos critérios

Os julgamentos de valor estão impkitos em diversos critérios. Eies dependem


da familiaridade do individuo com o risco,da confiança na eficácia dos controles
de riscos existentes, bem como da percepção dos riscos e benefícios da
atividade.

O mesmo risco pode parecer insignificante para uma pessoa e muito alto para
outra. Portanto, os critérios devem tentar representar uma visão objetiva,
levando em conta as necessidades de todos que forem afetados, bem como as
pessoas de fato sujeitas ao risco.

A comunicação e a consulta podem abordar esses pontas (vide Capítulo 3).

7.6 Crit@riosde avaliação e eventos anteriores

Os critérios para se definir se um determinado risco precisa ser tratado sao


geralmente estabeiecidos recorrendo-se a eventos de atividades semelhantes
ocorridos no passado. ou atravks dos antecedentes dos riscos vivenciados no
dia-a-dia. Entretanto, os dados podem ser distorcidos por:
(a) Acidentes de grandes propor@es, catástrofes ou sinistros que ocorrem uma
Única vez que dominam o conjunto de dados.
(b) Um nível de riscos em queda, devido a controles aprimorados a medida que
se aprende com os incidentes e acidentes e se melhoram os padrões de
controle. Isso significa que baseados em riscos históricos podem
não se mostrar rígidos o suficiente para controlar a situação atual.
(c) As mudanças ocorridas nas atividades ou nas circunstâncias agora cobertas
em relação a situa@o passada. Por exemplo, o risco geral pr0veniente.de
uma amostra de atividades pode ter sido diferente no passado.

A definição de critérios de avaliação com base em estimativas de riscos


históricos apresenta os seguintes problemas:

Um risco pode precisar ser tratado em diversas circunstâncias, mas não em


outras.
Um risco pode ter sido "aceiton no passado, porém poderá não ser "aceitável"
atualmente, utilizando-se os métodos de análise vigentes e levando-se em
consideração o atual nível de tolerância da sociedade.
Os antecedentes dos riscos são diferentes em situações distintas (por
exemplo, em países diferentes), levantando a duvida se os critérios de
avaliação devem mesmo ser ajustados a situação e ntio aplicados
globalmente.

Como conseqüência de problemas como esses, julgamentos de cunho político


ou econômico podem ser utilizados adicionalmente aos dados disponíveis sobre
riscos.
TRATAMENTO DE RISCOS
Este capítulo refere-se as subse~ões3.6.1, 3.6.2, 3.6.3, 3.6.4 e 3.6.5 da norma
ASINZS 4360:2004.

8.1 Introdução

A avaliação de riscos fornece uma lista dos riscos que requerem tratamento,
geralmente com suas respectivas classificações e prioridades. O tratamento de
riscos implica em identificar uma série de opções para o tratamento desses
riscos, avaliar tais opções, elaborar planos de tratamento e implementá-10s.

Antes que ações adequadas de tratamento possam ser determinadas, a anáfise


de cada risco pode precisar ser revisada e ampliada, para extrair as infomaç0es
necessárias para identificar e explorar as diferentes opções de tratamento. A
concepção das medidas de tratamento de riscos deve se basear no amplo
entendimento dos riscos envolvidos; tal entendimento vem do nível apropriado
da análise de riscos. É particularmente importante identificar as causas dos
riscos, para que os mesmos sejam tratados, e não somente os sintomas.

Geralmente, não é bom do ponto de vista dos custos, ou nem mesmo desejável,
implementar todos os tratamentos de riscos possíveis. Entretanto, é necessário
escolher, priorizar e tmplementar a combinação mais apropriada de tratamentos.
As opções de tratamento, ou mais usualmente a combinação de diversas
opções, são selecionadas considerando-se fatores como custos e benefícios,
eficácia e outros critérios relevantes para a organização. Pode ser necessário
levar em consideração fatores jurídicos, sociais, políticos e econômicos, por
exemplo.

O tratamento de riscos individuais raramente ocorrer6 isoladamente e deve ser


parte de uma estratégia de tratamento global. A compreensão clara da estrategia
de tratamento como um todo é importante para garantir que as dependências e
ligações críticas não sejam comprometidas. Por essa razão, o desenvolvimento
de uma estratégia de tratamento global deve ser um processo de cima para
baixo, conduzido conjuntamente pela necessidade de alcançar os objetivos do
negócio ao controlar a incerteza até o grau desejado.

É sensato ser flexível e fazer uma consulta ampla sobre o tratamento dos riscos
às partes envolvidas e, talvez, à comunidade mais ampla, a pares e
especialistas. Muitos tratamentos precisam ser aceitáveis para as partes
envolvidas ou para os responsáveis pela implementaçáo, para que sejam
eficazes e sustentáveis.

A figura 8.1 descreve o processo de tratamento de riscos e a natureza iterativa


do desenvolvimento dos planos de ação do tratamento.

Risk Tecnologia 54
Analisar 4
Riscos

Não
Riscos

Riscos a i

serem Avaliar Opções


Identficar Opçbes
tratados +
objetivos do -b Desenvolver1
conceber opç6es de
' '
Elas atendem aos
objetivos do tratamento? * mento
Plano de Trata
de Riscc
tratamento Seu custo é adequado?
de riscos tratamento

Riscos
Residuais

FIGURA 8.I - TRATAMENTO DE RISCOS

8.2 Identificação de opções

8.2.1 Generalidades

O ponto de partida para a identificação de opções de tratamento de riscos é


geralmente uma analise crítica das diretrizes existentes para o tratamento de um
tipo específico de risco. Por exemplo, em muitas áreas ambientais, de segurança
e de construção, há requisitos especÍficos estabelecidos na legislaqão e em
normas. Tais diretrizes, portanto, precisarão ser analisadas criticamente quanto
a sua abrangência e adequação.

Para muitos riscas, não haverá esse tipo de diretrizes e as opções de tratamento
terão que ser desenvolvidas a partir de princípios básicos, para que sejam
eficazes.

Uma opção de tratamento disponível é evitar totalmente o risco, eliminando-o


completamente com a decisão de não prosseguir ou descontinuar a atividade.
Isso exclui a possibilidade de danos, mas geralmente também elimina a
oportunidade. Normalmente, o tratamento de riscos envolve uma mudança da
probabilidade ou das conseqüências do risco, ou ambas as coisas.
A figura 8.2 ilustra como os tratamentos podem ser direcionados a todos ou a
alguns dos elementos que geram as consequências (por exemplo, antes do
evento ou após o evento).

8.2.2 Entendimento das causas

A concepção do tratamento de riscos deve ser embasada em um entendimento


amplo de como os riscos surgem. Isso inclui a compreensão não somente das
causas imediatas de um evento, mas também dos fatores subjacentes que
influenciam a eficácia do tratamento proposto. Esses fatores são as vezes
chamados de 'causas-raiz' e têm origem em necessidades, crenças ou
circunstâncias implícitas.

ConáeqilQnçias
potenciais

ConseqUClncias pré-evento Tratamento pós-evento

Modificação da probabilidade Modificação das conseqüências


e das conseqüências

FIGURA 8.2 - ESQUEMA GERAL PARA IDENTIFICAÇÃO DA CAUSA E


TRATAMENTO DOS RISCOS

As causas-raiz podem induir facetas da cultura organizacional, tais como


praticas e processos arraigados ou paradigmas que precisam mudar, para que o
tratamento evite que o risco se materialize (ou ocorra novamente). As fontes de
risco que existem devido a atitudes relacionadas à cultura organizacional não
podem ser tratadas adequadamente, a menos que tais facetas sejam mudadas.

Para influenciar as causas-raiz, as medidas de tratamento devem buscar o


estabelecimento de uma cultura e crenças apropriadas, a fim de que a
motivação seja clara e positiva em termos da consecução dos objetivos
organizacionais e seja compatível com a política da organização. Exemplos
disso são a política de gestão de riscos, as ações dos executivos (dando bons

Risk Tecnoiogia
exemplos), ou os indicadores-chave de desempenho (KPIs), que servem de
suporte e promovem a motivação e as crenças corretas.

As fontes de risco podem ser tratadas por meio de eliminação, redução ou


ampliação, dependendo se o resultado for positivo ou negativo. Por exemplo, a
criação de um novo mercado para seus produtos pode ampliar os resultados
positivos associados a lucros e crescimento da participação de mercado, ou a
redução do estoque de substãncias químicas perigosas pode reduzir os
resultados negativos associados a vazamentos e derramamentos.

Os eventos podem ser externos e estar fora do controle da organização, tais


como mudanças de moeda ou desastres naturais. Para esses riscos, a o r n o
disponível será reduzir a vulnerabilidade da organização em relação ao evento
(por exemplo, melhorando a estrutura contra terremotos para suportar os abalos
de certa magnitude).

Os eventos podem ser gerados internamente e, nesse caso, pode ser possível
preveni-los ou estimulá-los quando necessário. O tratamento para mudar a
probabilidade de que um evento ocorra pode incluir, por exemplo, a estruturaçáo
e o planejamento de atividades e processos, o treinamento para o
rnonitoramento da conformidade e a supervisão.

Em algumas situações, pode ser possível reduzir as conseqü9ncias negativas


protegendo o que estiver exposto, por exemplo, projetando prédios que resistam
a incêndios ou preparando a comunidade para desastres naturais. Mecanismos
de detecção que dêem o alerta imediato são uma parte importante da proteção,

Também é possível empreender ações para viabilizar as oportunidades, por


exemplo, projetando a capacidade futura de expansão com novas plantas e
equipamentos. A análise, nesse caso, implica em adquirir o conhecimento do
potencial para as oportunidades e os fatores que ampliam a probabilidade de
atingi-las.

As consequências também podem ser modificadas através do planejamento de


ações pós-evento, tais como planos de contingência (destinados tanto as
oportunidades corno às perdas) e planos de continuidade de negócios, se
ocorrer uma perda significativa. Uma organização tambem pode reduzir as
. conseqüências negativas após um evento, manipulando a maneira como as
perdas financeiras são alocadas. Isso pode ser feito através de contratos ou
através de seguros ou outros instrumentos financeiros. Esses dois tipos de
opções de tratamento serão descritos a seguir.

8.2.3 Planejamento de contingências

Uma maneira de tratar as conseqüências é através do planejamento e da


prontidão para contingências, para que a organização possa agir rapidamente e
tirar vantagens de ganhos inesperados, ou possa impedir perdas e prevenir ou

Risk Tecnologia 57
limitar descontinuidades. Isso requer que os planos sejam embasados em bons
princípios de gestão de riscos e sejam testados e atualizados.

Quando ocorre um evento, a direção da organização pode precisar agir


rapidamente para mitigar o impacto do evento na consecução dos objetivos do
negócio, tais como fluxo de vendas, qualidade do produto, reputação corporativa
e satisfação do cliente.

Na maioria das círcunstâncias, esses impactos podem ser gerenciados como


parte dos processos nomais de gestão. Entretanto, quando a escala do evento
superar a capacidade normal que a direção pode suportar, será necessária uma
abordagem sistemática para a gestão de ocorrências críticas. A figura 8.3 mostra
como os diversos tipos de plano se enquadram na cronologia geral e nas fases
de uma ocorrência crítica.

Primeiras horas Primeiros dias Até um ano


O c o ~ n c i a ~ 1 C

I
I
I
Ações Imediatas
(Reação Emergtncial)
.

1 Detecção II Cante-o Imediata I


Ações Subseqüentes
(Retomada dos Negócios)

Reação de Continuidade Reação de Recuperação

Planos para Crises e Emergências


+ Plano de Gestgo de CrÍses
Plano de Gestão de Emergências
Equipes de Gestão de Crises I
Emergências / Acidentes
Plano de Gestão de Mídia e
Comunicação

Plano de Continuidade dos Negócios Plano de Recuperaçiio


Equipe de Gestio da Continuidade Atividade.; de recuperação
Planos de Infra-estrutura de DE3senvolvimentc de novos
Recuperação de üesastres processos I melhoria de
Turnos contínuos processos
* Análise pós-acidentes
DesativaçSo

FIGURA 8.3 - GESTÃO DE OCORRÊNCIAS CR~TICAS


No centro da gestão de ocurrencias criticas, está a Gestão da Continuidade dos
Negócios (GCN), que proporciona a organização a capacidade disciplinada de
continuar a operar, de forma sustentável, face a potencial intenup@o
significativa dos negócios. Quando implementada adequadamente, a GCN
oferece uma estrutura robusta para lidar, de maneira adequada em termos de
custos e tempo, com as exposições a riscos de interrupções. Ela oferece um
componente-chave para a organização manter uma boa governança corporativa, .
reter sua base de clientes e fatia do mercado, manter a confiança das partes
envolvidas e gerenciar sua reputação em um cenário cada vez mais turbulento
do ponto de vista econômico, industrial e de segurança patrimonial. No minimo,
a GCN irá evitar que uma crise emergente se tome mais persistente ou se
espalhe.

Mais detalhes sobre o desenvolvimento e a implementação na prática da Gestão


da Continuidade dos Negócros podem ser encontrados no Manual HB 221, da
AustralianAíew Zealand Standards.

8.2.4 Compartilhando riscos

Compartilhar riscos envolve uma outra organização que assume ou divide uma
parte ou todo o risco, normalmente mediante um contrato, As fomias mais
comuns de compartilhar riscos são a subcontratação, a terceirização e o seguro.

8.2.5 Contratação

Contratos são acordos entre as partes, visando ii condução de ações ou funções


específicas em troca de honorários, Contratos de todos os portes e para todos
os fins têm como finalidade transferir ou compartilhar os riscos, destinando-os a
um indivíduo ou a uma organização, a fim de que sejam geridos durante a
vigência do acordo. A oontratação é, por vezes, um processo bastante
complexo, porém, os princípios permanecem os mesmos - direcionar o risco à
parte em melhor posição para gerenciá-lo, através de termos específicos do
contrato. A transferência inadequada de riscos pode causar mudanças na
natureza do risco ou o surgimento de novos riscos.

Quando os contratos estiverem sendo analisados, bem como os custos e


benefícios diretos das clausufas contratuais, devem ser levadas em
consideração as incertezas inerentes a tais custos e benefícios, assim como os
novos riscos que possam surgir.

Com freqüencia, a legislação determina se e como os riscos podem ser


compartilhados.

Para mais inforrnafles sobre os riscos associados & terceirização, consultar o


Manual HB 240, da AusfralianAVew Zealand Standards.

8.2.6 Seguro
Poucas são as organizações que contam com recursos financeiros próprios
suficientes para fazer frente a perdas de grandes proporções. O seguro é um

Risk Tecnologia 59
meio de dispor de recursos para tipos específicas de perda, em troca do
pagamento de um prêmio. Por exemplo, a cobertura do seguro poderá estar
disponível tanto para danos causados a propriedade com seus custos
subseqüentes (tais como perda de receita ou aumento dos custos operacionais),
quanto para a responsabilidade pelas consequências financeiras sofridas pela
outra parte devido ao não-cumprhento de uma obrigação legal.

Nem todos os riscos de grande porte podem ser cobertos pelo seguro. Por
exemplo, geralmente não e possível fazer um seguro para garantir a reputação
da organização, porém, h& certos tipos de organização em que a perda de
confiança das partes envolvidas pode ser fatal. Embora as mudanças na taxa de
câmbio possam ser seguradas através de operações de hedge, é pouco
provável que seja possivel ter um seguro contra os efeitos de uma crise
econômica mundial.

Os seguros trabalham com a premissa de que os pr&mios pagas par muitos são
suficientes para arcar com as perdas de poucos, além de proporcionar o retorno
para o investimento de capital da seguradora e seus custos operacionais, por
meio de suas carteiras de riscos segurados. No estabelecimento do prêmio para
um risco específico, a seguradora contempla as probabilidades e as
conseqüências, bem oomo leva em consideração os controles existentes. Em
certos casos, a seguradora pode insistir em tratamentos adicionais para a
redução do risco, ou então pode optar por cobrar menos, caso sejam
implementados controles adicionais ou se o segurado consentir em compartilhar
o risco, por exemplo, através do pagamento da primeira parte de qualquer perda
até uma quantia acordada previamente (franquia).

É normalmente um bom investimento fornecer informações confiáveis sobre os


riscos que estão sendo oferecidos a seguradora, uma vez que tal medida ajuda
a reduzir as incertezas e torna mais provável que a seguradora se prepare para
oferecer a cobertura, ou que a faça em termos mais atraentes.

As melhores decisões sobre seguros são tomadas no contexto de outras


atividades do tratamento de riscos, a fim de se assegurar que decisões corretas
são tomadas quanta a abrangencia requerida do seguro, e de se otimizar a
relação entre a disponibilidade da cobertura, o risco, o excesso de cobertura e o
preço.
Alguns pontos a serem considerados na contratação do seguro são:

Uma apólice de seguro não oferece maior cobertura do que o efeito legal dos
termos da apólice. A maioria das ap0lices costuma conter cláusulas que
excluem ou limitam o que está coberto. Se tais exclusÓes geram grande
exposição financeira, será necessária alguma outra forma de controle.
Uma apólice de seguro será tão boa quanto a capacidade de pagamento da
seguradora. As grandes agências de rating fornecem informações sobre a
saúde financeira das seguradoras, mas isso serve apenas como guia, uma
vez que já ocorreram falências de seguradoras de grande porte com

Risk Tecnologia
informações positivas sobre seus indicadores financeiros.
Há entre as partes de um contrato de seguro a expressa obrigação de
transparência. A organização não pode enganar sua seguradora, pois isso
pode invalidar a cobertura. Tal obrigação inclui a pronta comunicação das
perdas para a seguradora.
Em caso de perda, espera-se que a organização segurada aja como se niio
estivesse segurada, e aja de maneira razoável para minimizar a extensão
das perdas, por exemplo, restabelecendo a segurança de uma propriedade
após um roubo, e não se eximindo de responsabilidades antes que a
seguradora tenha tido a oportunidade de examinar o assunto.

Estas e outras questões técnicas referentes a seguros sugerem que as


organizações devem buscar a opinião de especialistas, antes de tomar e
impiementar decisões em relação ao tipo e a abrangência da cobertura
contratada.

8.3 Avaliação das opções de tratamento

8.3.1 Generalidades
Em geral, uma combínação de opções de tratamento é selecionada a partir de
uma série de opções identificadas. As opções selecionadas necessitam ser
compatíveis com os objetivos gerais da organização e com os critérios de
avaliação de riscos.

8.3.2 Projeto de tratamento de riscos


É importante estabelecer cuidadosamente a combinação de opções de
tratamento, a fim de garantir a 'adequação ao uso', a eficácia contínua e a
manutenção da sustentabilidade das medidas. Tratamento demais 6 tão
indesejável quanto tratamento de menos, se os recursos e a atenção da direção
são desviados das atividades vitais para os negócios da organização.

Para alguns tipos de riscos, existem guias para a concepção das medidas de
tratamento. Por exemplo, no campo da Segurança e Saúde no Trabalho, os
elementos-chave de um bom sistema de permissão de trabalho são bem
conhecidos e podem ser encontrados na literatura sobre segurança. O mesmo
se aplica, ate certo ponto, a algumas atividades financeiras e contábeis.

A seguir, é sugerido um processo de cinco etapas para o projeto de um


tratamento geral de riscos. Embora objetive principalmente desenvolver novas
medidas, esse processo também é uma base bastante útil para a garantia e a
avaliação das medidas de tratamento já existentes, como parte, por exemplo, da
auto-avaliação dos controles.

Risk Tecnologia
Etapa 1: Analisar criticamente as causas e os controles

Esta etapa implica em revisar a análise de riscos, conforme apresentada


anteriormente, garantindo que os riscos sejam totalmente compreendidos. Pode.
ser realizada uma analise de lacunas (gap analysís), a fim de examinar e avaliar
a qualidade com que os tratamentos já existentes abordam os riscos e os fatores
que os infiuenciam.

Essa análise de lacunas leva a especificação dos objetivos do tratamento, para


quaisquer medidas adicionais de tratamento, como parte de um plano de
controle completo.

Etapa 2: Objetivos do tratamento

A finalidade mais ampla do tratamento de riscos e modificar e levar o risco até


um nível em que o benefício excede o custo total do tratamento (no qual os
custos e os benefícios têm tanto componentes monetários quanto componentes
mais intangíveis). Pode-se também utilizar a análise custo-beneficio, em parte,
para distinguir entre diferentes o p m s de tratamento. Esse aspecto será coberto
mais adiante na seção 8.4.

O propósito de um plano de tratamento de riscos pode ser colocado sob o


aspecto de objetivos do tratamento, os quais podem definir:

(a) Os riscos a serem tratados.


(b) As causas, as fontes ou os eventos a que o tratamento deve visar.
(c) O que as medidas de tratamento devem fazer, quando, onde e cumo.
(d) O nível de desempenho exigido de um tratamento em termos de eficácia,
confiabilidade e disponibilidade.

Dois exemplos de definição do objetivo do tratamento são:

0 plano de tratamento deve agir de forma a reduzir as falhas humanas


associadas ao processamento de transações, por meio do incentivo a
entrada de dados precisos, da redução da chance de erros através da
reconciliação e da verificação, e da dete-;ão e alerta automáticos caso
ocorram erros. As medidas necessitam ser eficazes quando da reconciliação
de final de ano e devem agir de modo a garantir que não se cometam erros
que gerem diferenças nos balanços.'

'O plano de tratamento deve agir no sentido de evitar a exposição dos


funcionários a poeira exceda o limite de 1 mg/m3.As medidas devem agir no
sentido de incentivar a correta operação das máquinas o tempo todo,
durante as operações normais e também durante a manutenção. Se o nivel
de poeira exceder o limite de exposição a qualquer momento, deve-se
interromper a operação.'

Risk Tecnología 62
Etapa 3: Detalhamento das medidas de tratamento

O projeto detalhado dos tratamentos deve levar em conta se eles são pratidveis
e possíveis de serem mantidos.

Muitos dos riscos que a organização e suas partes envolvidas enfrentam podem,
na teoria, ser modificados até onde for requerido. Em outros casos, ngo há '

praticamente nada a fazer a não ser tomar providências para se 'adaptar aos
riscos' (aqui o exemplo vem de riscos gerados por preços de algumas
mercadorias e de mudangs na legislação tributária). Em alguns casos, só resta
a organização esperar, 'ficar na retaguarda' e monitorar a situa@o até que a
fonte do risco se altere. Nesse caso, o tratamento é direcionado para a
mitigação, mediante a detecção precoce, a avalia@o e a ação. Planos de
contingência podem valer a pena em algumas circunstâncias.

A chave para uma estrutura prática de controle é envolver no processo aqueles


que iráo participar da respectiva atividade e que ser40 atingidos pelas medidas.

Sempre que possível, as medidas devem ser projetadas de maneira a serem


integradas aos processos, atividades e sistemas normais de negócios da
organização. Elas não devem obstruir o fluxo lógico e natural dos processos e
devem ser de fácil compreensão e apreciação.

Etapa 4: Análise crítica

Mesmo o mais simples dos tratamentos deve estar sujeito a algum tipo de
análise crítica de sua concepção. Deve-se verificar, no mínimo, se:

(a) os objetivos do tratamento serão atingidos;


(b) a concepção do tratamento é adequada ao uso - em outras palavras, se é,
de forma realista, capaz de atingir níveis de eficácia, confiabiiidade e
disponibilidade coerentes com a importância da respectiva atividade para a
organização;
(c) leva em consideração condifles operacionaiç realistas e razoavelmente
previsíveis;
(d) e capaz de ser facilmente verificada e monitorada, ou de se autoverificar;
(e) os tratamentos iráo durar e resistir e se poderão ser facilmente mantidos; e
(9 os tratamentos de riscos propostos não geram novos riscos, ou, caso gerem,
se estes estão em menores níveis do que os antigos.

Para situações mais críticas, em que o fracasso do tratamento pode gerar


perdas de grandes proporções ou afetar significativamente os objetivos da
organização, exige-se uma análise critica mais rigorosa do projeto de
tratamento.
Etapa 5: Comunícação e implernentação

Não se pode esperar que um tratamento funcione com eficácia se nem os


envolvidos na atividade em questão, nem aqueles que poderiam ser atingidos
pelas medidas de tratamento, compreendem qual é o plano e o que se almeja
atingir. O desenvolvimento de um plano de comunicação deve ser parte
integrante do processo de concepção do tratamento.

A auto-avaliação dos controles e os outros processos participativos de garantia


também proporcionam um meio de comunicação bastante eficaz através do
envolvimento.

8.4 Seleção das opções de tratamento


8.4.1 Generalidades

Ao selecionar as opções de tratamento, devem ser consideradas as seguintes


questões:

Alguns dos benefícios gerados pelo tratamento podem ser mais importantes
que outros.
+ AS vezes, benefícios e custos não-quantificáveis podem ser considerados
mais importante que outros quantificáveis. Nesse caso, a decisão não deve
ser baseada somente na análise quantitativa.
Benefícios e custos diretos e indiretos associados a tratamentos de riscos
podem ocorrer em períodos de tempo diferentes, o que deve ser levado em
consideração em todas as análises quantitativas e qualitativas.
Estimativas de benefícios e custos diretos e indiretos podem estar sujeitas a
níveis diferentes de incerteza e podem seguir curvas diferentes de
distribuição de probabílidade.
Expectativas sociais, bem como responsabilidades legais, podem exigir
ações especificas de tratamento dos riscos.
Geralmente, há aversão a eventos que refletem os 'temores humanos'.
+

Há uma forma análoga de 'temores corporativos' para eventos que confiitam


com os valores da organização e que podem destruir a reputação e imagem
da mesma,

A tabela 8.1 traz questões específicas que podem ser Consideradas para Se
tomar decisões sobre as o p w s de tratamento.

Risk Tecnologia
TABELA 8.1
Questiíespara a tornada de decisão
Aceitabilidade e prov&veique a opção seja aceita pelas partes envolvidas pertinentes?
Gerenciamento A opção é de fácif implementaç&o ou será rejeitada devido & dificuldade
de administrá-la ou afalta de knhecimentol'
Compatibilidade O tratamento é compatível com outros que possam vir a ser adotados?
Continuidade dos Os efeitos ser30 contínuos ou somente de curto prazo? Os efeitos dessa
efeitos opção serão sustentáveis? Com que custo?
Eficiência Os mesmos resuftados poderiam ser atingidos de outra maneira com
custo menor?
I Efeitos I Quais serão os impactos socioeconômiws dessa opção? 1
socioeconômicos
Efeitos no meio Quais serão os impactos ambientais dessa opção?
ambiente
Eqüidade Os riscos e beneficias são distribuídos de maneira justa, por exemplo, os
responçitveis peta geração do risco pagam por sua redução?
Liberdade individual Essa op@o desrespeita algum direito bdsico?
Autoridade Esse nivel da organizaeo tem autoridade para aplicar essa opCão? Em
jurisdiçional caso negativo, &possí~elencorajar níveis mais aitos a apli&i-k?
Alavancagem As opções de tratamento irão gerar benefícios adicionais em outras
&reas?
Objetivos Essa opção promove os objetivos organizacionais?
Regulamentos O tratamento (ou ausência de tratamento) infringe algum requisito
requlamentar?
Aceitabilidade Essa op@o terá o apoio de autoridades governamentais? Será aceita
política pela comunidade?
Geração de riscos Esse tratamento gerará novos riscos?
Prazo 0 s efeitos benéficos serão alcançados rapidamente?

8.4.2 Relação custo-benefício

As opções de tratamento podem incrementar os benefícios, dependendo de


quanto for gasto em sua implernentação. A organização pode considerar uma
compensação entre o benefício e o custo da implementação. Tal compensação é
demonstrada na figura 8.4.

Pode ser escolhido qualquer um dos diversos pontos de decisão, incluindo:


+
uma solução satisfatória (mas não a melhor);
as solu@es de maior eficiência em termos de custo;
as práticas aceitas (norma da indústria, boas praticas de negócios)
+ o melhor resultado que pode ser alcançado (considerando-se a tecnologia
atual); e
+ o mínimo absoluto.
O critério considerado como mais aceitável dependerá das circunstâncias e dos
contextos estabelecidos para o risco nos quais a decisão deverá ser tomada.
Considerando-se o cenario correto, pode-se ter uma argumentação valida para a
escolha de qualquer um dos pontos de decisão acima mencionados.

MAIOR EFICI~NCIA

PRATICA ACEiTA
-
MAIS W ~ E L
M~NIMOABSOLUTO
-

CUSTO DA REWÇAO DO RISCO ($)

-
FIGURA 8.4 COMPENSAÇÃO ENTRE O N~VELDE RISCO E O CUSTO PARA REDUZI-LO

8.4.3 Análise custo-benefício


A avaliação e a seleção das opções de tratamento requerem que sejam tomadas
decisões quanto a viabilidade dos diversos beneficios e custos envolvidos. A
análise custo-benefício formal representa uma maneira objetiva de comparar os
custos e os benefícios do risca não-tratado com os custos e os benefícios do
risca tratado. A comparação entre os custos e os benefícios das diversas o@es
de tratamento deve ser feita de maneira consistente. Pode ser conduzida de
forma meramente quantitativa, mas na maioria dos casos é importante levar em
consideração custos e benefkios menos tangíveis, como os itens apresentados
de maneira resumida na tabela 8.1.

Isso é particularmente válido quando o principio ALARP e utilizado (vide seção


7.4), ou quando a legislação requer alguma forma de tratamento 'razoavelmente
praticável'.

A análise custo-benefício também tem que levar em consideração todos os


benefícios que podem ser obtidos. Quando apropriado, tanto os benefícios
diretos quanto os indiretos devem ser incluídos na analise, que também deve

Risk Tecnologia
contemplar os custos diretos e os indiretos. Custos e beneflcios podem ser
quantitativos ou qualitativos.

Quando há incerteza sobre os custos ou os benefícios envolvidos, os valores


utilizados devem ser ponderados para que seja levada em conta a probabilidade
de ocorrência.

Os benefícios podem ser gerados:

(a) Diretamente pela redução dos riscos, que leva ou a prevenção, ou à redução
da perda, ou à redução da probabilidade de que a perda ou dano ocorra para
a organização ou para as partes envolvidas.
(b) Através do aumento das oportunidades.
(c) Indiretamente, por exemplo, pelo aumento da confiança na direção, por
economias como a redução dos prêmios de seguros, ou por melhorias
intangíveis como a reputação ou a classificação de credito.

Os beneficios também estão associados a tratamentos que objetivam criar ou


possibilitar oportunidades que agreguem valor para a organização.

Os custos podem incluir:

(i) Custos diretos, taís como custos associados as opç6es de tratamento e sua
implementação.
(ii) Aumento do risco de resultados negativos ou redução das oportunidades.
(iii) Custos indiretos, tais como perda de produtividade, tempo gasto pela
direção, desvio das atividades do negócio principal, perda de utilidade ou
desvio do capital de projetos que agregam valor.

Os custos e benefícios podem ir além da organização. Em alguns casos, pode


ser importante que custos e benefícios externos e internos sejam considerados
na análise custo-benefício.

Ao comparar as opções de tratamento, deve-se considerar o status quo, para


que tambbm seja avaliada a opção de não se fazer nada, tolerando e retendo o
risco. Deve-se lembrar, porém, que o status quo não será estático e terá que ser
reavaliado de tempos em tempos.

8.4.4 Analise custo-beneficio qualitativa

A análise custo-benefício implica na comparação entre estimativas de custos e


benefícios, o que requer que, quando possível, ambas as medidas sejam
expressas em unidades similares e comparáveis, normalmente em termos
monetários. Entretanto, muitas vezes não será possível quantificar todos os
custos e todos os benefícios e, as vezes, os maiores benefícios não são
quantificáveis. Isso geralmente acontece com custos e benefícios secund8Ros e

Risk Tecnologia
indiretos. Por exemplo, prevenir danos a reputação causados por um acidente
maior pode não ser facilmente quantificável, mas pode representar um beneficio
real maior para a organização do que meramente evitar danos físicos, custos de
indenização e queda de vendas.

Quando a análise custo-beneficio inclui tanto custos e benefícios facilmente


quantificáveis ou 'concretos', quanto custos e benefícios não tão facilmente
quantificáveis ou 'abstratos', ambos os tipos devem ser apresentadas ao
responsável pela tomada de decisão. O processo a ser seguido compreende: -

(a) Listar todos os tipos de custos e benefícios.


(b) Agrupar todos os custos e benefícios nas categorias 'concreto' e "abstrato'.
(c) Calcular uma medida quantitativa para os custos e benefícios 'concretos'
(como os descritos abaixo).
(d) Avaliar os custos e benefícios 'abstratos', usando alguma escala de
equivalência como a classificação de riscos apresentada na tabela 6.2.
(e) Apresentar de forma conjunta os resultados, tanto da análise de custos e
benefícios 'concretos' quanto dos 'abstratos'.

Se houver resisttiincias ou preferências por alguns custas ou benefícios, isso


deverá ser deixado claro na apresentação dos resultados aos responsáveis pela
tomada de decisão.

8.4.5 Análise custo-benefício quantitativa


Em sua forma mais simples, a analise custo-beneficio quantitativa será a soma
dos valores dos custos diretos e indiretos e dos benefícios diretos e indiretos.
Esses totais serão depois comparados, dividindo-se o total dos benefícios pelo
total dos custos. Se o valor resultante for maior que o nível pré-determinado, o
controle valerá a pena. Esse nível pode simplesmente ser I(isto é, o total de
benefícios é maior que o total de custos), ou pode ser um número diferente de I.
Em muitos casos, será necessário que os beneficios sejam claramente maiores
que os custos e, dessa forma, o valor base sera maior que 1. Entretanto,
algumas normas legais de Segurança e Saúde no Trabalho exigem que sejam
implementadas melhorias na segurança, a não ser que o custo seja muito
desproporcional em relação ao beneficio adicional. Essa forma simples de
an%lisecusto-benefício é adequada quando:

acredita-se que o valor total do benefício sera atingido e que os custos serão
conforme previstos;
a maior parte dos custos será incorrida em um ano aproximadamente;
o retomo acontecerá logo (a maioria dos benefícios será obtida no primeiro
ano aproximadamente, da mesma forma que os custos);
os custos e os benefícios esta0 distribuídos de maneira semelhante; e

Risk Tecnologia 68
O itens intangíveis podem ser incluídos na análise custo-benefício quantitativa,
com a alocação de valores monetários, usando técnicas como a 'disposição
de pagar'.

Se for provável que a maioria dos custos e benefícios não ocorrerá no primeiro
ano aproximadamente, pode ser necessário corrigir monetariamente os
benefícios e custos, para que seja possível fazer a avaliação em 'valores
monetários atuais'. Isso geralmente acontece quando os custos diretos forem
gerados de imediato, mas os benefícios e os custos indiretos forem gerados no
futuro.

Essa correção representa uma forma de considerar a oportunidade do custo de


capital, e envolve a aplicação de um índice de inflação ao valor anual do custo
ou do benefício.

Valor Presente Liquido é a medida mais usada para a Analise Custo-Beneficio


Descontada. A Analise Custo-Beneficio Descontada e o cálculo do Valor
Presente Líquido serão váfidos quando:

a houver uma incerteza significativa de que o valor total do benefício será


obtido, ou de que o custo será conforme previsto; e
grande parte dos custos e benefícios não ocorrera no primeiro ano
aproximadamente.

Preparação dos planos de tratamento


Depois de terem sido selecionadas as opções de tratamento para cada risco,
elas deverão ser agrupadas em pianos de ação: planos ou estratégias de
tratamento de riscos. As a e s de tratamento para riscos diferentes precisam ser
combinadas e comparadas, de forma a identificar e solucionar conflitos e
eliminar redundâncias.

Os planos de tratamento devem:

Identificar responsabilidades, prazos, o resultado esperado dos tratamentos,


verbas, medidas de desempenho e o processo de analise crítica a ser
implernentado.
Incluir mecanismos para a avaliação e monitoramento da eficácia do
tratamento em relação aos objetivos do mesmo, as responsabilidades
individuais e aos objetivos organizacionais, bem como os processos para o
rnonitoramento do progresso do plano de tratamento em reta@o aos
principais marcos da implementação. O processo de concepção (projeto) do
tratamento dever& gerar essas informações.
O Documentar como, de maneira prática, as opções escolhidas serão
implementadas.

Risk Tecnologia
O sucesso da implementãç30 do plano de tratamento de riscos requer um
sistema de gestão eficaz, que especifique os métodos escolhidos, defina as
responsabilidades e atribuições de cada pessoa e faça o monitoramento em
relação aos critérios especificados. A comunicação e uma parte muito importante
da implementação do plano de tratamento.

8.6 Risco residual


Risco residual é o risco que continua existindo depois que as opções de
tratamento tiverem sido identificadas e que os planos de tratamento tiverem sido
implementados.

É importante que as partes envolvidas e os responsáveis pela tomada de


decisões estejam cientes da natureza e extensáo do risco residual. Por essa
razão, o risco residual deve ser documentado, monitorado e analisado
criticamente.

Rísk Tecnologia
Este capítulo refere-se a subse@o 3.7 da norma ASINZS 4360:2004.

9.1 Finalidade

O monitoramento proporciona o acompanhamento rotineiro do desempenho reat,


para que possa ser comparado ao desempenho esperado ou requerido. A
análise crítica envolve a investigação periódica da situação atual, normalmente
com um foco específico.

O monitoramento e a análise crítica são parte integrante e essencial da gestÉio


dos riscos, e são uma das etapas mais importantes do processo de gestão de
e
riscos no 1Smbito organizacional. necessário que sejam monitorados os fiscos,
a eficácia e a adequação das estratégias e dos sistemas de gestão
estabelecidos para a implementa@a dos tratamentos de riscos, bem como o
plano e o sistema de gestão de riscos corno um todo.

Os processos de garantia e monitoramento devem ser contínuos e dinâmicos.


Não basta somente confiar nas análises críticas e auditorias de terceira parte
ocasionais.

9.2 Mudanças do contexto e dos fiscos

Os processos de gestão de riscos devem fazer parte dos processos


organizacionais, para que a gestão de riscos seja dinâmica e se transforme à
medida que a organização se transforma.

As análises críticas periódicas dos riscos e das estratégias de tratamento são


particularmente importantes, quando associadas ao desenvolvimento do plano
estratégico e de negócios e a gestão de mudanqas.

Quando se planejam mudanças organizacionais ou se detectam mudanças


externas, poderá haver alterages:

No contexto organizacional (por exemplo, os objetivos, o ambiente interno ou


externo ou os crit6rios de risco).
Nos riscos e nos niveis de risco.
Na eficácia dos tratamentos de riscos.

A mudança poderá ser súbita (aguda) ou gradual e persistente (crcjnica). Ambas


tendem a trazer graves cunsequências, de modo que os riscos devem ser

Risk Tecnologia 71
identificados e avaliados, assim como devem ser elaborados novos planos de
tratamento. O tratamento poderá significar uma alteração na mudança proposta
ou mesmo seu abandono, As mudanças não devem ser implementadas ou
impostas sem que se levem em conta os riscos envolvidos.

9.3 Garantia e rnonitoramento da gestão de riscos

9.3.1 Generalidades

Os sistemas de monitoramento e análise crítica de riscos e o processo de gestão


de riscos exigem cuidado em sua sel-o, definição de metas e planejamento,
uma vez que absorvem recursos geralmente escassos. Deve-se dar prioridade
ao monitoramento de:

(a) AROS riscos.


(b) Possíveis falhas das estratégias de tratamento, especialmente as que
resultem em conseqüências graves ou frequentes.
(c) Atividades reiacionadas a riscos que apresentem uma alta incidência de
mudanças.
(d) Critérios de tolerância a riscos, principalmente os que resultem em altos
níveis de risco resídual.
(e) Avanços tecnológicos que possam oferecer alternativas de maior eficácia ou
de menor custo ao tratamento de riscos em vigor.

Em termos gerais, as práticas de monitoramento e análise crítica serão conforme


um dos três tipos abaixo:

Monitoramento contínuo (ou, pelo menos, frequente), através de medições


ou verificações rotineiras de parâmetros específicos (por exemplo, níveis de
poluição ou fluxos de caixa).
Análises críticas dos riscos e de seus tratamentos realizadas pela gerência
de linha (as vezes chamadas 'auto-avaliação dos controles'), que são
frequentemente seletivas em seu escopo, mas tipicamente rotineiras e
regulares, e que devem ser selecionadas com base em crit6rios de
ponderação de riscos.
Auditorias realizadas tanto por auditores internos quanto externos. Na
medida do possível, elas devem testar os sistemas em vez das condições.
Tais auditorias costumam ser mais seletivas em seu escopo e menos
frequentes do que os outros dois tipos acima mencionados. A não-
identificação de falhas significativas através das auditorias não representa
uma garantia da situação atual, mas apenas uma avalia@o de natureza
independente.

A figura 9.1 ilustra isso em temas hierárquicos, com as medidas de rotina no


topo, caso sejam adequadamente estruturadas, proporcionando o mais alto nível

Risk Tecnologia 72
de garantia. Entretanto, o programa de monitoramento e analise crítica deve
contemplar todos os três elementos.

ESCOPO E FREQÜ~NCIA

%da ao local e ao método


de trabalho

Auto-Avaliação dos Contrales etc.


- De acordo Çom o perfil dos riscos e
abrangencia de controle dos gerentes

Auditoria Interna e Externa

FIGURA 9.1 - HIERARQUIA DAS ATNIDADES DE GARANTIA


9.3.2 Monitoramento contínuo

Quando se definem os tratamentos de riscos, deve-se estabelecer um regime de


rnonitoramento apropriado, de modo a garantir constantemente sua eficácia.

O cadastro de riscos normalmente contém o registro dos controles e dos


tratamentos existentes, para que possa ser consultado quando o regime de
rnonitoramento for estabelecido. As prioridades devem levar em conta as
questões abordadas na se@o 9.2.

Para auxiliar a garantir que novos riscos nao sejam gerados se não houver
avaliação e tratamento apropriados, o regime de rnonitoramento também deve
garantir que o cadastro de riscos se mantenha atualízado.

É de grande utilidade documentar os resultados do monitoramento, porém


poderá ser suficiente simplesmente registrar que a atividade de monitoramento
ocorreu e não constatou quaisquer resultados fora da margem de toferâncíá.
9.3.3 Analise crítica pela gerhcia de linha

A gerência de linha deve, periodicamente, analisar criticamente os sistemas e as


atividades dos processos, a fim de garantir que não tenham surgido novos riscos
e que as estratégias de tratamento continuam eficazes e adequadas.

Devem ser consideradas as opções de análise crítica por amostragem de toda a


gama de questões sujeitas ao monítoramento contínuo, ou a realíza@o .de
análises críticas curtas e intensivas de algumas áreas específicas.

Deve-se ponderar se os problemas detectados indicam uma debilidade geral do


sistema de gestão de riscos. Em caso afirmativo, deve-se iniciar uma análise
crítica mais abrangente.

Através de um conjunto de técnicas, os gerentes de linha devem garantir que,


com o passar do tempo, todas as áreas sob sua responsabilidade sejam
contempladas.

9.3.4 Auditoria de terceira parte

As auditorias de terceira parte, quer sejam realizadas por fontes internas ou


externas, trazem um caráter de isengo e perspectiva. Não necessitam de prévia
comunicação ou permissão, embora normalmente devam ser previstas e
planejadas, como parte transparente do sistema de garantia da gestão de riscos.

As auditorias podem se concentrar no atendimento a normas (internas ou


externas), procedimentos ou requisitos legais. Com freqüência, têm como base
os riscos, atendo-se a eficácia e à adequação das medidas de tratamento.

As auditorias são inevitavelmente seletivas em seu escopo, de modo que suas


prioridades costumam levar em consideração as prioridades relacionadas na
seção 9.2.

Se a auditoria se toma ou é tida como o mais importante sistema de garantia,


geralmente isso significa que o regime de garantia será fraca.

As constataç0es das auditorias normalmente indicam uma deficiência sist6mica.


As a@es a serem tomadas devem se concentrar em corrigir o sistema, e náo
apenas os sintomas.

9.4 Medição do desempenho da gestão de riscos

Os indicadores de desempenho (fD)são medidas quantitativas dos níveis de


desempenho de um certo item ou atividade. É preciso que sejam mensuráveis e
adequados a cada uma das unidades de negócio, e permitam que os indivíduos

Risk Tecnologia 74
prestem conta de seus atos, ao mesmo tempo que devem formar a base para a
melhoria continua.

A organização deve utilizar seus processos normais de planejamento


organizacional para gerar medidas de desempenho para o sistema e os
processos de gestão de riscos.

Os indicadores de desempenho devem refletir a gama de objetivos


organizacionais essenciais definidos quando os contextos forem estabelecidos
no início do processo.

Os indicadores de desempenho podem monitorar resultados (por exemplo,


perdas ou ganhos específicos) ou processos (por exemplo, o desempenho
consistente dos procedimentos de tratamento de riscos).

Normalmente, utiliza-se uma mescla de indicadores, mas e comum que os


indicadores de desempenho de resultados retardem de maneira significativa as
mudanças que Ihes dão origem. Assim, e provável que, em um ambiente
dinâmico, os indicadores de processos sejam de maior utilidade.

Os indicadores de desempenho devem refletir a importância relativa das ações


da gestão de riscos, fazendo com que os maiores esforços e o foco se
concentrem nos seguintes pontos:

Os riscos mais altos.


Os tratamentos ou outros processos mais importantes.
Os tratamentos ou prmssos com o maior potencial de melhoria da
eficiência.

Na escolha dos indicadores de desempenho, é importante verificar se:

São razoavelmente capazes de serem mensurados.


São eficientes quanto a demanda de tempo, esforços e recursos.
O processo de rnedição/acompanhamento estimula ou facilita
comportamentos desejaveis e não motiva comportamentos indesejáveis
(como a fabricação de dadas, por exemplo).
Os envolvidos compreendem o processo e os benefícios esperados, e se têm
a oportunidade de dar contribuiçáes aplicáveis ao procedimento.
Os resultados são captados e relatados de uma maneira tal que facilite o
aprendizado e a melhoria.

Alguns exemplos de indicadores importantes do desempenho da gestão de


riscos são:

Redução do custo total do risco.


Progresso em relação a um objetivo organizacional específico.

Rísk Tecnología
O quanto são implementadas as recomendações para o tratamento dos
riscas.

A fim de garantir que os indicadores de desempenho da gestão de riscos reflitam


a variedade de direcionadores-chave organizacionais, algumas organizações
incorporam indicadores de desempenho nos balanced scorecamls (BSC) de
funcionários e gerentes, para que considerem, por exemplo, objetivos
financeiros, das partes envolvidas, de eficiência interna, bem como os objetivos
de aprendizado e crescimento.

Deve-se observar os seguintes pontos relacionados aos indicadores de


desempenho:

A medição eficaz do desempenho exige recursos. Eles devem ser


identificados e aiocados como parte do desenvolvimento dos indicadores de
desempenho.
Certas atividades de gestão de riscos podem ser difímis de medir. Isso não
as toma menos importantes, porém poderá ser necessário o emprego de
indicadores substitutos. Por exemplo, os recursos destinados as atividades
de gestão de riscos poderão ser uma medida que substitua o indicador de
compromisso com a gestão de riscos.
Qualquer varia@o entre os dados da medição dos indicadores de
desempenho e o 'instinto' (feeling) é importante e deve ser investigada (por
exemplo, se, apesar de várias avaliações de riscos indicarem baixo risco
residual, a direção continuar preocupada).
Embora a súbita deterioração dos indicadores normalmente chame a
atenção, a deterioração progressiva tende a ser igualmente problemática, de
modo que as tendências dos indicadores de desempenho devem ser
monitoradas e analisadas.

9.5 Análise pós-evento


Os incidentes, os acidentes e os êxitos são uma boa ocasião niio apenas para
que os riscos e tratamentos sejam monitoradas e analisados criticamente, mas
também para que se tenha uma visão clara de como se pode aprimorar a
processo de gestão de riscos. A intenção deve ser a de se adotar um processo
sistemático para analisar criticamente as causas dos suçessos, dos fracassos e
dos quase-acidentes, para que a organização aprenda com eles. O ideal é que
se utilize um processo de análise sistemática.

Quando se analisam sucessos e fracassos, deve-se buscar respostas para as


seguintes perguntas:

Será que identificamos e analisamos previamente os riscos envolvidos?


Será que determinamos na identificação dos riscos as causas reais?
Será que classificamos e avaliamos corretamente os riscos e os controles?

Risk Tecnologia 76
e Será que os controles funcionaram como esperado?
Será que os planos de tratamento foram eficazes? Se não foram, em que
pontos poderíamos aprimora-los?
Será que nossos processos de monitoramento e de análise crítica foram
eficazes?
Como poderíamos mefhomr nosso processo de gestão de riscos de um
modo geral?
Quem precisa ser informado sobre as lições que foram aprendidas, e corno
elas devem ser disseminadas, a fim de se garantir um aprendizado eficaz?
O que nós precisamos fazer para garantir que os sucessos, e não os
fracassos, se repitam?

Risk Tecnologia
í]m REGISTRO DO PROCESSO DE GESTÁO DE
RISCOS

Este capítulo refere-se a subseção 3.8 da norma ASINZS 4360:2004.

10.1 Panorama
É: importante documentar cada etapa do processo de gestão de riscos para:

mostrar as partes envolvidas que o processo está sendo conduzido


adequadamente;
fornecer evidencias de uma abordagem sistemática de identificação e análise
de riscos;
possibilitar que as decisões ou processos sejam analisados criticamente;
possibilitar um registro dos riscos e desenvolver uma base de dados da
conhecimento da organização;
fornecer aos responsáveis peta tomada de decisões um plano de gestão de
riscos para sua aprovação e posterior implementação;
oferecer um mecanismo e uma ferramenta para a prestação de contas;
facilitar o monitoramento e a análise crítica contínuos;
indicar os caminhos para a auditoria; e
compartilhar e comunicar informações.

Em algumas circunstâncias, uma auditoria independente pode exigir níveis e


padrões apropriados de documentação.

Quaisquer que sejam as razões para documentar o processo, a gestão de riscos


não precisa impor mais burocracia, se for utilizada uma abordagem racional.
Para atender a requisitos legais, os processos e as decisões que envolvem o
gerenciamento de riscos devem ser documentados numa extensão apropriada
as circunstâncias.

As decisões referentes à quantidade de documentos podem envolver custos e


benefícios e devem levar em cunsidera@o as razões para se documentar o
processo. Assim, um processo que gera baixas conseqüências pode ser
documentado simplesmente em um diário ou em um registro sucinto mantido em
arquivo. Por outro lado, a reestruturação de uma operação de serviço de entrega
de um cliente de grande porte pode exigir uma explicação detalhada do
processo, para auditoria e análise crítica. Há uma variedade de possibilidades

Risk Técnologia 78
entre esses dois extremos, e é necessário fazer um julgamento prático e
cauteloso, para decidir o nível de documentação em circunstâncias específicas.

Em cada etapa do processo, a documenta@o deve incluir;

(i) os objetivos da etapa;


(ii) as fontes de informação nas quais os resultados foram baseados;
(iii) todas as principais hipóteses levantadas no processo;
(iv) quem foi envolvido; e
(v) as decisões acordadas.

10.2 Declaração de conformidade e diligência

Em algumas circunstâncias, pode ser requerida uma declaração de


conformidade e diligência, para que os gerentes reconheçam formalmente sua
responsabilidade em cumprir as políticas e procedimentos da gestão de riscos.

Frequentemente, a documentação do processo de gestgo de riscos é exigída


para demonstrar conformidade com requisitos legais (por exemplo, medidas de
segurança contra riscos de acidentes maiores), ou para mostrar a devida
diligQncia.

10.3 Cadastro de riscos

Para cada risco identificado, o cadastro de riscos registra:

(a) a descrição do risco, suas causas e seus impactos;


(b) um resumo dos controles existentes;
(c) uma avaliação das conseqüências, se o risco se materializar, e da
probabilidade de ocorrerem as conseqüências, dados os contrates
existentes;
(d) a classificação do risco; e
(e) uma prioridade geral para o risco.
Para mais orientações, vide o modelo pró-forma nas tabelas 10.Ie 10.2.

10.4 Plano de ação e programação do tratamento de riscos

O plano de ação e a programação do tratamento de riscos documenta as novas


ações e os novos controles de gestão que serão adotados. Geralmente, contem
as seguintes informafles:
(a) As ações a serem tomadas e os riscos a que se referem.
(b) O responsável pela implementação do plano.
(c) Os recursos que serão utilizados.
(d) A verba alocada.
(e) O cronograma da implernentação.
(f) Os detalhes do mecanismo e a frequência da análise crítica do plano de
tratamento.

A tabela 10.3 traz um modelo pró-forma de programação do tratamento de


riscos. A tabela 10.4 mostra uma possível estrutura de um plano simples de
tratamento de riscos. Os planos para áreas de alto risco podem necessitar ser
mais específicos e detalhados.

10.5 Dacumentos de monitoramento e auditoria

Os registros de monitoramento e auditoria devem documentar:

(a) Os detalhes do mecanismo e a freqüência da análise crítica dos riscos e o


processo de gestão de riscos como um todo.
(b) Os resultados das auditorias e outros procedimentos de monitorarnento.
(c) Os detalhes sobre como as recomendações de análises críticas anteriores
foram acompanhadas e imptementadas.

10.6 Base de dados de incidentes e acidentes

Pode-se aprender muito com os incidentes e acidentes, os quais também podem


indicar o sucesso dos esforços da gestão de riscos. O desenvolvimento de uma
base de dados com detalhes sobre as ocorrências e problemas relacionados, é
muito útil e pode futuramente permitir a detecção de padrões, ou a análise de
seqüências causais que podem fornecer informações para o projeto ou para a
avaliação de medidas de controle de riscos. A base de dados deve poder ser
consultada pelos responsáveis pelas decisões relacionadas a riscos, e deve, se
possível, também identificar automaticamente conjuntos de dados de interesse,
e comunicá-los automaticamente as pessoas com responsabilidades pela gestão
dos riscos (por exemplo, a frequência de ocorrência para certos tipos de
incidentes que ultrapassem determinados limites).

10.7 Plano de Gestão de Riscos


O Plano de Gestão de Riscos fornece uma visão panorâmica da gestão dos
riscos dentro da organização, e de como ela está inserida nas atividades da

Risk Tecnoiogia 80
áreas funcionais específicas da organização, nem sobre atividades específicas
do negócio, especialmente se elas puderem mudar com o tempo.

O Plano de Gestão de Riscos pode conter:

(a) Política de gestíio de fiscos da organização.


(b) Descrição dos contextos interno e externo, detalhes sobre a governança
corporativa e a supervisão, bem como o ambiente no qual a organização
opera.
(c) Detalhes do escopo e dos objetivos das atividades de gestão de riscos na
organização, incluindo os critérios para avaliar se os riscos são toleráveis.
(d) Responsabilidades e funções de gestão de riscos na organização.
(e) Lista dos riscos identificados e uma análise dos mesmos, geralmente na
forma de um cadastro de tiscos, incluído como apêndice.
(9 Resumos dos planos de tratamento para riscos maiores, incorporados como
apêndice, ou através de referências h programação do tratamento de riscos,
como a da tabela 10.3,ou algum outro documento que identifique a situação.

Risk Tecnologia
TABELA 10.2

Cadastro de Riscos

FunçãolAtividade: 1 Compilado por: ] I Data:


Data da análise critica: I 1 Analisado por: ] I Data:

O risco: As conseqilências da
Referência o que pode ocorr9ncia de um evento Classificação da Nível de Prioridade
acontecer e como probabilidade risco do risco
ConsequBncia Probabilidade existentes
pode acontecer

033s.;Exemplo somente indicativo


TABELA 30.4

Exemplo de Plano de Tratamento de Riscos

FunçãoIAtividade:
Risco: I Ref.:
Resumo: Resposta recomendada e impacto

Plano de ação

2. Recursos necessários

3. Responsabilidades

4. Prazos

5. Relato e monitorarnento exigidos

Compilado por: j Data: 1 Analisado por: / Data:


Obs.:Exemplo somente indjcativo

Rjsk Tecnologia
aa ESTABELECIMENTO DE UMA GESTÃO
RISCOS EFICAZ
DE

Este capítulo refere-se as subseções 4.1, 4.2 e 4.3 da norma ASINZS 4360:2004.

11.I Política

A gestão de riscos deve ser integrada a filosofia de gestão da organização. A


diretoria ou os executivos seniores devem ser os responsáveis pelo
estabelecimento da política de gestão de riscos. A política é um documento
sucinto, de nlvel superior, que aprova uma abordagem para a gestão de riscos e
também cria as ligações com outras estratégias da empresa. Ela deve ser
incorporada as demais políticas de gestão da organização.

Alguns exemplos de informações que padem ser incluídas na política de uma


organização são:

(a) os objetivos e a base para o gerenciamento dos riscos;


(b) as relações entre a política e os planos estratégico e operacional da
organização;
(c) a extensão ou gama de riscos que precisam ser gerenciados;
(d) diretrizes sobre o que deve ser considerado risco aceitável;
(e) quem são os responsáveis pelo gerenciamento dos riscos;
(f) o suporte e conhecimento disponíveis para auxiliar os responsáveis pelo
gerenciamento dos riscos;
(g) o nível de documentaqão requerido; e
(h) os requisitos para monitorar e analisar criticamente o desempenho
organizacional em relação a política.

I1.2 Comprometimento da direção

É difícil implementar programas de gestão de riscos eficazes em todos os niveis.


O seu sucesso depende amplamente do patrocínio e apoio da alta direção e da
equipe executiva sênior.

A gestão de riscos precisa realmente tomar-se parte da filosofia e dos objetivos


e práticas de toda a organização. Deve ser parte integrante dos planos de
negócios e programas de treinamento da empresa.

Risk Tecnologia
Assim como em qualquer outra situagão na qual é introduzida uma nova
iniciativa no âmbito organizacional, o gerenciamento eficaz da mudança ser&
necessário para a coordena@o de planos e atividades em toda a organização. É
vital o envolvimento do pessoal das áreas operacionais no processo, para se
obter essa coordenação e montar a base para uma gestão de riscos eficaz.

A cultura organizacional predominante pude agir como um desestímulo à gestão


de riscos. Os gerentes seniores devem tratar a implementação da gestão de
riscos como uma oportunidade de mudança cultural benéfica. Tal mudança deve
influenciar gerentes e supervisares a encorajar seus colaboradores para que
tenham um comportamento adequado para gerenciar riscos, e para que todo o
pessoal aceite o desafio de administrar os seus próprios riscos.

A liderança eficaz pode moldar a cultura através do estimulo a aplicação da


gestão de riscos por meio de sistemas de reconhecimento e recompensas.

11.3 Responsabilidade e autoridade

Deve haver uma responsabilidade clara e definida para:

(a) integrar a gestão de riscos aos processos da organização e garantir que haja
uma cultura apropriada;
(b) administrar o processo de gestão de riscos dentro da estrutura
organizacional; e
(c) gerenciar as ameaças e oportunidades especificas identificadas e
implementar as ações de tratamento.

0 s tratamentos podem ser gerenciados por pessoal externo à organização.

11.4 Recursos e infra-estrutura

O plano de gestão de riscos define o nível de recursos e a infra-estrutura


necessária para o gerenciamento eficaz dos riscos. A provisão desses recursos
deve ser incluída como parte da aprova@o da diretoria elou gerhncia sênior.

Recursos e infra-estrutura s5o necessarios para:

(a) dar suporte e conhecimento aos responsáveis pelo gerenciamenta dos


riscos, mesmo quando forem necessários fornecedores externos;
(b) adquirir o conhecimento e as habilidades necessárias para gerenciar riscos;
(c) incorporar o treinamento em gestão de riscos nos programas de
desenvolvimento do pessoal interno;
(d) integrar os princípios da gestão de riscos aos procedimentos e priifims
existentes;
(a) Os objetivos da organização são válidos e mensuráveis?
(b) A abordagem da gestão de riscos é consistente com os objetivos e o
contexto organizacionais?
(c) Os relatórios sobre o gerenciamento dos riscos estão sendo considerados e
usados nos processos de tomada de decisões da organização?

Essas e muitas outras perguntas são parte do processo iterativo de gestão, com
as abordagens de gerenciamento sendo constantemente desenvolvidas para ir
ao encontro de estratégias de negócios e programas de trabalho.

A gestão de riscos dá oportunidade para gerentes e colaboradores, em todos os


níveis, melhorarem seu desempenho continuamente. Ela contribui para o melhor
desempenho porque:

(i) proporciona uma abordagem estruturada para a tomada de decisões;


(ii) estimula a análise de uma gama maior de opções da que seria possível
de outro modo;
(iii) promove a identificação de novas oportunidades;
(iv) proporciona um foco maior nos resultados;
(v) analisa críticamente 'as maneiras tradicionais' de se fazer as coisas, e
identifica meios para simplificar os processos; e
(vi) enfatiza o usa mais eficaz, eficiente e apropriado dos recursos.

As melhorias devem ser mensuráveis, de forma a se tomarem tangíveis e


poderem ser comunicadas a todas as partes envolvidas.

1I.7 Desafio dos fíderes - Integraqão


A gestão de riscos será mais eficiente e eficaz se for integrada a outras
atividades de gestão.

Haverá maior eficiência integrando as atividades de gestão de riscos, para


diferentes tipos de riscos que estão intimamente relacionados, ou diferentes
tipos de atividades de gestão de riscos que abranjam o mesmo ~ s c o .Por
exemplo:

(a) Os riscos de danos a pessoas, propriedades e ao meio ambiente envolvem


comportamento humano e ambiente físico. Há, portanto, superposições
importantes nos controles necessários para gerenciar esses riscos.

Risk Tecnología
(b) Planos de continuidade e seguro de lucros cessantes ajudam a gerenciar o
risco de interrupção dos negócios. A integraflo dessas atividades
provavelmente reduzirá custos.

Tradicionalmente, alguns tipos de atividades de gestão de riscos são realizadas


sem serem reconhecidas como de 'gestão de riscos', e o resultado é que, em
alguns casos, o rigor do processo de gestão de riscos não é aplicado naquela
atividade. Por exemplo:

(i) A Gestão da Continuidade dos Negócios pode não estar integrada à


estrutura proposta na AS/NZS 4360:2004.
(ii) A experiência adquirida na gestão de riscos da qualidade inadequada
(isto é, garantia da qualidade) não é totalmente utilizada para auxiliar na
melhoria da gestão de outros riscos.

Podem ser exigidas habilidades diferentes para essas atividades, mas ainda
assim é desejável que haja uma abordagem completa de risco. 6 importante que
haja inter-representação e comunicação, se houver diferentes departamentos ou
indivíduos envolvidos.

II.8 Desafio dos gerentes - Liderança


O desafio dos gerentes e dar sustentação e estimular a gestão de riscos
prudente da seguinte maneira:

(a) tendo um papel ativo, e não simplesmente exigindo a produção de relatórios;


(b) dando poder de decisão aos colaboradores para gerenciarem eficazmente os
riscos;
(c) reconhecendo, premiando e divulgando a boa gestão de riscos;
(d) tendo processos que permitam aprender com os erros, ao invés de punir;
(e) estimulando o debate e a análise de resultados inesperados, tanto positivos
quanto negativos; e
(f) não exagerando nas reações a problemas, como a introdução de controles
restritivos.

II.9 Desafio de todos - Melhoria contínua


A ASINZS 4360:2004 descreve um processo que naturalmente levará a melhoria
contínua da gestão de riscos de uma organização. Acontece que, quanto mais
consistentemente o processo for aplicado e quanto maior a maturidade da
prática da gestão de riscos, maiores serão os benefícios, conforme descritos na
seção 1.2.

Risk Tecnologia
11.10 Mensagens e perguntas-chave para os gerentes
Os gerentes devem consistentemente sinalizar que:

(a) a gestão de riscos é dever de todos;


(b) a gestão de riscos é parte integrante dos negócios, não um trabatho extra ou
uma carga adicional; e
(c) o processo de gestão de riscos é lógico e sistemático, e deve se tornar a
prática habitual.

As mensagens-chave incluem:

H& riscos a serem gerenciados em todas as atividades.


Todos são responsáveis - e devem prestar contas - por gerenciar os
riscas de suas atividades.
As pessoas devem ser estimuladas e apoiadas pelos seus líderes a
gerenciar riscos.
A ASINZS 4360:2004 fornece uma estrutura ou abordagem sistemática
para a tomada de decisões sobre como melhor gerenciar os riscos.
Devem ser considerados os requisitos legais e os ambientes político,
social e econômico ao gerenciar riscos.
As ações para gerenciar riscos devem ser integradas aos (e não
separada dos) planejamentos e processos operacionais existentes em
todos os níveis.
A gestão de riscos eficaz depende de informação com qualidade.

As principais perguntas que os gerentes devem fazer incluem:

Qs objetivos da gestão de riscos estão alinhados com os objetivos de


desempenho e com os valores organizacionais?
0 s resultados do gerenciamento de riscos podem ser medidos nesses
termos?
Você pode determinar se a gestão de riscos tem agregado valor para a
organização?
Você tomaria a decisão de expandir ou restringir os programas de gestão
de riscos baseado (a) nessa informação?
Os programas de gestão de riscos refletem a realidade do ambiente em
que você opera?
Você pode repassar informações, de forma clara e concisa, para
avaliação pela alta direção e gerências (quando apropriado)?

Risk Tecnologia 91
PUBLICACOESA VENDA
EXCLUSIVAMENTE NO QSP

Coleção Risk Tecnologia

-
* OHSAS l8OOl Especificação para Sistemas de Gestão da SEGURANÇA E SAUDE NO
TRABALHO

-
OHSAS 18002 Sidernas de Gestão da SEGURANÇA E SAÚDE NO TRABALHO
Diretrizes pata n Implemntap% da OHSAS f 800 1

* A n o r m BS 8800 - Guia para Sistemas de Gestão da SECURANCA E SAUDENO


TRABALHO

-
SISTEMAS INTEGRADOS DE CESTÁO Dã teoria à prática

Manual de AUDITORIA DE S1STEA4AS DE ÇESTÃQ


(1SO9001,1SO 14001, OHSAS 18001 &c)

-
ISO 9000:2000 Sistemas de Gestão da Qualidade (Volume 1)
Guia Internacional para a MEDI~ÃO DA SAT~SFA@O DO CLIENTE

-
ISO 9000:2000 Sistemas de Gestão da Quaiidade (Volume 2)
Guia para a IMPLANTACÃO DA ISO 9001 EM EMPRESAS DE SERVIÇOS:

-
CESTÃO DE RISCOS A Norma AS/NZS 4360:2004

* GESTÃO DE RISCOS - Diretrizes para a Impfementação da


AS/NZS 4360:2004

-
GESTÃO DE RISCOS AS/NZS 4360 (ediç.ão 1999):a prímeira
norma de âmbito mundial sobre Sistemas de Gestão de Riscos

-
TECNOLOGIAS CONSAGRADAS DE GESTÃO DE RISCOS Reprint da coletânea
"Técnicas Modernas de Gerência de Riscos", de autoria. de F. De Cicco e M.L. Faníazzini

Mais i n f o m a ç k www qsp.og.br

Pedidos através do telefone:( 3 I ) 3704-3200 ou da e-rnaii: gsp@qsp.org.br.


Divisão de Consultaria e Auditoria
Gestão da Qualidade
NA IMPLANTA@,
APOIOA EMPRESAS

Gestão Ambienta1
ISO 1400j:2004
A equipe de consultores seníors do QSP já assessorou mais de 800 empresas de
grande, médio e pequena porte, dos mais diversos setores de atividade, na irnplan-
-@o, certificaçfio e manutenç%o de Sistemas de Gestão, com preços bastante
Gestão da Seguançé
acessíveis.
e Saúde no Trabalho
Se a sua organização necessita se adequar à nova IÇO 9001, ou se pretende OHSAS 18001:%399
implementar algum outro Sistema de Gestão (integrado ou não ao sistema da quali-
dade) em conformidade com normas e padrões internacionais, os especialistas do Responsabilidade
QSP podarcio auxiliá-la a: Social
e envolver ativamente todas as pessoas pertinentes na implantação do Sistema de SA 8000:2001
GestZio (SG).
+ identificar e incrementar os pontos fortes e os processos-chave da empresa; Sistemas Integrados
r estrutumr um "SG documentado que agregue valor para a organizaçãa" e nTio um de Gestão
"sistema baseado somente em documentos"; SlGs: pioneirisrno do
a identificar e irnplementar os proceçsos neceçsdrios ao SG, considerando as caracte- QSP
rísticas culturais e o ambiente de negócios da organização;
r avaliar a eficácia e a eficiência dos processos retacionados ao SG, e estimufar a
empresa a buscar oportunidades de melhoria dos mesmos;
e promover a melhoria continua em toda a organização, através de métodos e indicadores de desempenho adequadas;
r treinar o pessoal da empreso na manutenção do SG, após o término dos servigos de consultoria do QSP.
Por sua vez, a equipe de auditores seniors do QSP realiza avalia@es independentes para empresas que necessitam conhe-
cer a adeqm(;Tio e conformidade de seus Sistemas de GETstão, e pam organizações que desejam:
terceirizar suas auditorias Internas;
r avaliar seus fornecedores (auditorias de 2 parte);
conhecer sua conformidade em reIaGo 8 LegislaçLia Amblental e as Normas Regulamentadoras de Segurança e Saúde no
Trabalho, bem como para fins de fus3o e aquisiçzo de empresas (&e díligence),

I
PROGRAMA ISO 9000 DE CURSOS1' N COMPANY*'
O mais completo conjunto de treinamentos para auxiliar sua empresa a se
adequar à nova ISO 9001 edição 2000:

. Interpretação e Implantação de Requisitos da ISO 9001(16 horasf


. tvlapeamento e ferenciamento de Processos (16 horas)
, Análise de Competências e Efidcia de Treinamentos (8 horas)

. Indicadores de Desempenho e BalancedScorecard (8 horas)


. Medindo a Satisfaflo do Cliente em Conformidade com a ISO 9001(36 horas)
Formagão de Auditores Internos (24 horas)
MASP - MBtodo de Anáiíse e SoluÇao de Problemas (16 horas).

Mais inforrnaçiíes sobre os setviças da Divfsão de Consultoria e Auditoria da QSP podem ser obtidas
atrõvks do telefone: {11) 3704-3200 ou do e-rnail: cansultoriaQ~sp.org~br.

Você também pode gostar