A gestão de riscos é, nos dias de hoje, uma das funções fundamentais no processo de gestão de qualquer empresa.
Independentemente do seu sector de atividade ou dimensão. Basta olharmos para aquilo que aconteceu em 2020 e 2021 devido à pandemia de Covid-19.
A gestão de riscos é um processo multifacetado, de melhoria contínua, e deve ser conduzido por uma equipa multidisciplinar.
A Metodologia de Gestão e Análise de Riscos através da norma “ISO 31000 Sistema de Gestão de Riscos” tem por base o já velhinho, mas cada vez mais atual, conceito do ciclo da melhoria conhecido como DPCA (do inglês Plan/Do/Check/Action), ou dito em português PEVA (Planear/Executar/Verificar/Atuar).
Envolve um pequeno mas importante conjunto de conceitos essenciais.
Vamos a eles…
Comunicação de qualidade
Comunicar, e comunicar bem, saber ouvir a opinião de quantos trabalham ou interagem com a empresa é uma fase extremamente importante ao longo de todo o processo de gestão e análise de riscos.
Sem comunicação não haverá processo de gestão de riscos, pois também não há a sensibilização e adesão dos destinatários do processo.
Contexto ativo
A definição do contexto em que a análise se vai realizar é constituída pelos seguintes passos:
- Compreender a empresa e o seu contexto, os seus objetivos estratégicos, a sua organização, a sua cultura e como é entendida a gestão de riscos;
- Avaliar as variáveis externas incontroláveis que poderão interferir ou expor os objetivos estratégicos da empresa. Nesta fase são definidos os cenários de riscos estratégicos;
- Definição de uma política de gestão de riscos da empresa. Nela é definida a estrutura, bem como os critérios e metodologia a utilizar.
Identificação dos perigos e fatores de risco
Identificar e listar desempenhos das ações e o sistema de gestão de risco bem como os perigos a que a empresa, as suas unidades de negócio, os seus processos e/ou departamentos estão expostos.
É importante proceder ao levantamento tanto dos perigos conhecidos como dos desconhecidos.
O que são os perigos desconhecidos?, estará a perguntar.
Os perigos desconhecidos são aqueles que nunca aconteceram, mas que podem ocorrer, ainda que remotamente. Uma boa ferramenta para a sua identificação é o chamado Brainstorming.
Identificação dos fatores de risco são os eventos que podem pôr em causa a concretização dos perigos e são classificados de duas formas:
- variáveis controláveis,
- variáveis incontroláveis.
Para a identificação dos fatores de riscos podemos utilizar uma ferramenta muito conhecida dos sistemas de gestão da qualidade – o diagrama de causa e efeito também chamado de espinha de peixe ou diagrama de Ishikawa.
Avaliação dos fatores de risco
É nesta fase que se identificam quais os fatores de maior relevância e/ou probabilidade, através de um dimensionamento ou majoração.
Isto é, quais são os fatores que devem ser tratados e quais os fatores que mais interferem no contexto de riscos.
Para esta tarefa é adequada a utilização da matriz SWOT:
- avaliação das Forças (Strengths),
- avaliação das Fraquezas (Weaknesses),
- avaliação de Oportunidades (Opportunities) e
- avaliação de Ameaças (Threats).
Análise de Riscos
Nesta fase são estabelecidos os critérios para a probabilidade e o impacto.
Os critérios destes dois parâmetros são importantíssimos para a elaboração da análise de riscos, a sua interceção resulta na matriz de riscos.
O resultado da matriz de riscos identifica a sua gravidade, ou seja, com que prioridade a empresa deve tratar cada risco face ao nível de risco que está disposta a correr.
A matriz deve ser dividida em quadrantes e para cada quadrante deve ser definida uma estratégia de tratamento e uma prioridade. É nesta fase que se deve estabelecer o grau de riscos dos contextos avaliados.
Plano de Ação
O plano de ação é a resposta que a empresa vai levar para o terreno, ou seja, vai implementar para:
- aceitar,
- conter,
- reduzir,
- transferir
- ou evitar.
Desenvolver e implementar um plano específico de gestão
Este plano é o conjunto de medidas organizacionais, técnicas de prevenção e monitorização bem como de recursos humanos para a gestão dos riscos.
É elaborado com base nos fatores de risco com o objetivo de minimizar as probabilidades da ocorrência dos riscos.
Análise
Nesta fase são monitorizados, avaliados e revistos os desempenhos das ações e o sistema de gestão de risco bem como os procedimentos referentes às mudanças que possam afetá-lo.
Conclusão
O grande desafio da gestão de riscos e da ISO 31000 está em estabelecer uma linguagem comum, bem como em divulgar as melhores práticas e abordagens para que as empresas e organizações implementem a gestão de riscos nos seus processos de negócio.
A norma “ISO 31000 Sistema de Gestão de Riscos” está alinhada com o ERM (Enterprise Risk Management) e fornece orientações com outros conjuntos de regras específicos.
A família ISO 31000 é composta por três normas, todas elas guias que procuram orientar a empresa na gestão de riscos.
- ISO 31000 – Informações básicas, princípios e diretrizes para a implementação da gestão de riscos.
- ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos.
- ISO Guia 73 – Vocabulário relacionado à gestão de riscos.
Se precisar de ajuda para preparar a sua empresa para uma adequada gestão de riscos, não hesite em entrar em contacto.
5 respostas