Hoje o foco será o tratamento dos riscos em uma instituição, tanto os normalmente relacionados ao termo risco (que são os riscos negativos), quanto os riscos que devem ser explorados ao máximo (que são os riscos positivos).
O Gerenciamento dos Riscos
Um risco é um evento incerto que, se ocorrer, poderá provocar uma consequência positiva (oportunidade) ou negativa (ameaça) nos objetivos que estão sendo tratados, podendo causar desde uma interrupção nos serviços críticos (negativo) até a adesão de sua instituição a um excelente contrato (positivo)!
Existem vários frameworks específicos ou que fornecem apoio ao gerenciamento dos riscos, como exemplos, podemos citar o Risk IT (ISACA), COSO, Management of Risk (M_o_R, AXELOS), PMBOK (PMI) e ABNT NBR ISO 31.000:2009 - neste post, devido às suas grandes similaridades, estes dois últimos serão apresentados.
 |
| Processo de Gerenciamento de Riscos - ISO 31.000 |
 |
| Processo de Gerenciamento de Riscos - PMBOK |
 |
| Processo de Gerenciamento de Riscos - COBIT 5 |
 |
| Processo Genérico de Gerenciamento de Riscos |
Para que uma instituição possa se proteger das ameaças dos riscos e também possa maximizar as oportunidades causadas pelos mesmos, ela deve estabelecer sua Política de Gerenciamento de Riscos. Esta política deverá tratar tanto de riscos corporativos (entrada/saída de um cliente ou a parada do datacenter devido a um desastre), quanto de projetos (a migração de alguns servidores ou o desenvolvimento de um software), além de explicitar o entendimento e o contexto da instituição com relação aos riscos, apresentando seu apetite ao risco (quantidade total de incerteza que está disposta a aceitar na expectativa de se obter lucros mais rápidos/arriscados) e o sua capacidade/limite de risco (é o acumulado de perdas suportável, sem comprometer sua existência). Ainda existe a possibilidade de a instituição controlar a variação de um risco particular, através da tolerância de risco. E, assim, uma instituição pode estar equilibrada entre os status “risk taking” (aceita correr o risco) e o “risk aversion” (evita o risco).
Mostraremos agora duas situações distintas com relação ao risco real versus a capacidade e o apetite pelo risco definidos pela instituição. Na primeira situação, a de risco sob controle, o apetite pelo risco é menor do que a capacidade de risco suportável e o risco real, apesar de exceder algumas vezes o apetite pelo risco, sempre fica abaixo da capacidade de risco determinada, evidenciando uma ação controlada.
Na segunda situação, a de risco fora de controle, evidenciamos que o apetite pelo risco foi definido além da capacidade de risco da instituição, levando-nos a inferir que a mesma encontra-se preparada (ao menos teoricamente) para aceitar um risco maior que a sua capacidade de absorver perdas. Como resultado, o risco real pode exceder de forma rotineira a capacidade de risco da instituição, mesmo estando abaixo do nível de apetite de risco definido, tornando esta situação insustentável para a instituição.
Mostraremos agora duas situações distintas com relação ao risco real versus a capacidade e o apetite pelo risco definidos pela instituição. Na primeira situação, a de risco sob controle, o apetite pelo risco é menor do que a capacidade de risco suportável e o risco real, apesar de exceder algumas vezes o apetite pelo risco, sempre fica abaixo da capacidade de risco determinada, evidenciando uma ação controlada.
 |
| Risco sob controle |
Na segunda situação, a de risco fora de controle, evidenciamos que o apetite pelo risco foi definido além da capacidade de risco da instituição, levando-nos a inferir que a mesma encontra-se preparada (ao menos teoricamente) para aceitar um risco maior que a sua capacidade de absorver perdas. Como resultado, o risco real pode exceder de forma rotineira a capacidade de risco da instituição, mesmo estando abaixo do nível de apetite de risco definido, tornando esta situação insustentável para a instituição.
 |
| Risco fora de controle |
Para ter seus riscos corporativos gerenciados é necessário que a instituição possua uma estrutura para tal. Esta estrutura deve atender à Política de Gerenciamento de Riscos, difundir sua aplicação em todas as tomadas de decisão, definir os responsáveis pela manutenção e gestão da Política de Gerenciamento de Riscos, a integração da Política de Gerenciamento de Riscos nos processos da instituição (difusão e integração da cultura de riscos), viabilizar capacitação sobre riscos e definir os meios de comunicação sobre os riscos.
Todas as áreas da instituição que implementarem a gestão de riscos deverão seguir o mesmo processo, facilitando, assim, a disseminação da cultura de riscos de forma única.
Etapas do Processo de Gestão dos Riscos:
Etapas do Processo de Gestão dos Riscos:
- Realizar o planejamento do gerenciamento dos riscos
- Realizar a identificação dos riscos
- Realizar a análise e avaliação dos riscos (qualitativa e quantitativa)
- Realizar o planejamento das respostas aos riscos
- Realizar o monitoramento dos riscos
Vamos falar um pouco sobre cada etapa do Processo de Gestão dos Riscos (PGR).
Realizar o planejamento do gerenciamento dos riscos
Nesta etapa deve ser definido como serão conduzidas todas as etapas do PGR, desde a definição do processo básico até o monitoramento dos riscos, com a identificação de possíveis melhorias no PGR como um todo.
Aqui deve ser identificada a metodologia de gerenciamento dos riscos; o escopo do que está sendo tratado (processo de negócio, produto, projeto ou serviço) com seus respectivos responsáveis e papeis; os principais participantes da identificação dos riscos; o orçamento estimado para o PGR (caso seja necessário derivar uma reserva financeira de contingência); a frequência de execução das etapas do PGR; a última versão da matriz corporativa de impacto (veja um exemplo abaixo para impactos negativos); os meios de comunicação para os relatórios derivados do PGR.
 |
| Matriz de Impacto - PMBOK |
Realizar a identificação dos riscos
Nesta etapa são identificados os possíveis riscos ao negócio ou ao projeto permitindo que os mesmos sejam “eliminados” ou “potencializados” - lembre-se que pode existir risco positivo (oportunidade) que deve ter sua probabilidade e impacto maximizados pela instituição.
Para apoio nesta etapa é comum fazer uso de documentos de base de conhecimento, como a EAR (Estrutura Analítica de Riscos - representação hierárquica categorizada), facilitando a identificação de riscos vindos de fontes diversas. Esta é uma etapa que deve ser iterações infinitas, pois os riscos possuem causas que não são estáveis, mas devem ser repassados e mantidos atualizados - exceto para projetos, pois estes possuem um prazo determinado, fazendo com que esta etapa seja executada com uma alta frequência.
Os riscos devem ser identificados por todos os stakeholders possíveis, de forma categorizada, consistente e sucinta, favorecendo a correlação entre mesmos e a criação de opções de tratamento eficazes. Para se identificar os riscos podem utilizadas diversas técnicas conhecidas no mercado (análise SWOT, brainstorming, diagrama de Ishikawa, reuniões Delphi ou a dois, base de conhecimento de riscos - para projetos, uso de especialistas, etc.).
Faça uso das áreas definidas pelo PMBOK para ajudar na identificação dos riscos: Escopo, Tempo, Custo, Qualidade, Integração, RH, Comunicação, Risco, Aquisição e Stakeholders.
Faça uso das áreas definidas pelo PMBOK para ajudar na identificação dos riscos: Escopo, Tempo, Custo, Qualidade, Integração, RH, Comunicação, Risco, Aquisição e Stakeholders.
No próximo post será concluído o assunto Gerenciamento de Riscos com a Análise e avaliação dos riscos, o Planejamento de suas respostas e o seu Monitoramento contínuo.
Abraços e até a próxima!
Nenhum comentário:
Postar um comentário