Rua Barão de Itapetininga, 124 - CJ 122 - São Paulo-SP +55 11 5062-3521 Español English Português

Gestão de Riscos Significativos e Seus Controles

Gostou? compartilhe!

Gestão de Riscos Significativos e Seus Controles

 

Gestão de Riscos Significativos e Seus Controles

 

Uma parte importante do papel da Liderança e Alta Administração sobre os riscos da organização também está na sua responsabilidade em assegurar que os controles operacionais para os maiores riscos (ou riscos acima do critério de aceitabilidade) obedeçam à hierarquia de controles e que estejam efetivos, isto é, implementados e em funcionamento.

 

Para tanto, é necessário ter no mínimo o domínio do significado ou da informação que uma avaliação de riscos proporciona.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Normalmente para os cenários de maior risco (por vezes caracterizados como cenários acidentais, que normalmente canalizam a atenção da Liderança e Alta Direção), as organizações estabelecem os chamados Planos de Atendimento a Emergências (também conhecidos como Resposta a Emergências) e em muitas delas assume-se que o contingenciamento é suficiente. Sabemos que essas ações previstas e necessárias, sujeitas a simulações periódicas para atestar sua eficácia, são parte integrante de uma etapa na qual o evento danoso já se manifestou e servem apenas para mitigar as consequências percebidas, mas não para prevenir as causas ou monitorar as tendências que levam ao evento danoso. 

 

Assim, como colocado acima, as medidas de prevenção e de monitoramento devem preceder as de atenuação ou de mitigação e para isso a avaliação de riscos de uma organização deve considerar as condições de risco potencial, atual e residual (também conhecidos, respectivamente, como puro / inerente, corrente / presente e futuro / otimizado).

 

A avaliação potencial (puro / inerente) é realizada para uma condição na qual não se considera a aplicação dos controles operacionais existentes, isto é, o que poderia ocorrer como consequência e com que probabilidade nessa situação. Normalmente essa avaliação nos leva a números (categorias) de riscos elevados para determinados cenários e é justamente isso que mostra o grau de esforço necessário para levar o risco a níveis aceitáveis, ou seja, qual o orçamento ou investimento necessário para tal. A questão que fica é: os líderes ou dirigentes das organizações tem perfeito conhecimento de quais são os maiores riscos de suas organizações? Eles são consistentes na classificação se comparados entre si e aos demais cenários mapeados? Exemplos dessas situações de alto risco são: explosão, incêndio em área de vegetação, incêndio em instalações industriais, derramamento de produto químico perigoso, fraude na prestação de contas, instabilidade de estruturas (pilhas, taludes, barragens), vazamento de gás tóxico, perda do data center, vazamento de dados confidenciais, pandemia, etc.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

A avaliação atual (corrente / presente) é a análise realizada considerando-se os controles operacionais existentes, ou seja, o que se tem aplicado para levar os maiores riscos a um nível de aceitabilidade. Ora sabemos que isso não ocorre por acaso e que custos estão envolvidos com os controles operacionais como treinamento/qualificação de pessoal, sinalizações, automação, sensores, intertravamentos, inspeções, manutenções de equipamentos e instalações, e até a utilização de EPIs – Equipamentos de Proteção Individual. Mais uma vez: quanto maior o risco maior o grau de exigência para levá-lo a uma condição aceitável (controlada / gerenciada). A questão é: os líderes ou dirigentes das organizações validaram a avaliação de riscos, principalmente os de maior classificação, verificando a coerência entre os controles indicados e o orçamento de suas respectivas áreas de responsabilidade? A hierarquia dos controles (controles de engenharia, controles administrativos, atenuantes) foi considerada? A eliminação ou substituição de uma condição de risco levou a uma reavaliação com o reconhecimento dos novos controles aplicados? Neste momento convém lembrar da responsabilidade que os gestores (principalmente a Alta Direção) tem em relação à gestão dos riscos, bem como em relação às consequências das falhas nesta gestão (veja o artigo http://www.pmanalysis.com.br/artigos/responsabilizacao-da-lideranca-e-alta-direcao-pelos-riscos-da-organizacao).

 

A avaliação residual (futuro / otimizado) é a análise realizada sob a perspectiva de implementação de medidas adicionais para permitir que o risco (em nível não aceitável) na avaliação atual poderia ser reduzido, isto é, quais medidas de prevenção, de monitoramento ou até mesmo de atenuação poderiam ser aplicadas complementarmente para reduzir o risco a um nível aceitável. Fica claro que, novamente, a hierarquia dos controles (engenharia, administrativo, atenuante) deverá ser observada incluindo-se a eliminação e substituição e também que só ocorrerá se a empresa se planejar para tal. Uma vez mais fica a questão: os líderes ou dirigentes das organizações validaram a avaliação de riscos considerando os investimentos necessários para se levar os maiores riscos à condição de aceitabilidade?

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Por fim, ainda que tudo esteja devidamente reconhecido e mapeado é preciso que garantir que os controles operacionais indicados estejam efetivos, ou seja, em prática e com indicadores e registros que possam comprovar essa situação de efetividade. Para isso, usualmente as organizações lançam mão de ferramentas como inspeções gerenciais, auditorias internas, auditorias independentes, certificações para atestar o seu desempenho. Verificamos que em geral a característica comum dessas ferramentas é a independência para sua execução. Novamente propomos uma pergunta: os líderes ou dirigentes das organizações tem ideia da importância da imparcialidade e dispõe de critérios para assegurar a isenção de conflito de interesses na realização dessas verificações?

 

Não é suficiente conhecer os riscos, é preciso também gerenciá-los, e gerenciar significa muito mais do que ter bons planos de emergência (acionados apenas após a ocorrência dos eventos indesejáveis): significa avaliar estes riscos (determinar a sua magnitude) e implantar mecanismos de prevenção e monitoramento adequados à sua significância.

 

Richard Chan e Flávio Oliveira
Sócios-Diretores da PM Analysis
richard.chan@pmanalysis.com / flavio.oliveira@pmanalysis.com
www.pmanalysis.com.br



Gostou? compartilhe!