Gestão de Riscos, entenda de uma vez!
A dinamicidade atual do mercado, acrescida das incertezas econômicas e políticas, tem feito com que a gestão de riscos esteja no topo dos investimentos das organizações. É sobre isso que vamos conversar ao longo deste artigo. Continue lendo para entender em profundidade o que são riscos de negócio, o que é gestão de riscos e por que é importante se preocupar com isso.
O que configura um risco no negócio?
Um risco, em um contexto de negócios, é qualquer coisa que ameace a capacidade da organização gerar lucros em seus níveis-alvo. A longo prazo, os riscos podem ameaçar a sustentabilidade da empresa.
Os riscos de negócios são amplamente categorizados como riscos puros, que são eventos negativos sobre os quais a organização não tem controle, e riscos especulativos, que são efeitos potenciais de ações tomadas e escolhas feitas que podem ter efeitos positivos e/ou negativos. Outro modelo categoriza os riscos de negócios como internos e externos (resultantes de eventos ocorridos fora da organização).
O que é a gestão de riscos?
A gestão de riscos é o processo de identificar, avaliar e controlar ameaças ao capital e ganhos de uma organização. Essas ameaças, ou riscos, podem derivar de uma ampla variedade de fontes, incluindo incerteza financeira, responsabilidades legais, erros de gerenciamento estratégico, acidentes e desastres naturais.
As ameaças de segurança de TI e os riscos relacionados, por exemplo, tornaram-se uma das principais prioridades das empresas com modelos de negócios digitalizados. Como resultado, elas investem na identificação e no controle de ameaças dos seus ativos digitais, incluindo dados corporativos proprietários, informações pessoais dos clientes e propriedade intelectual.
Padrões de gerenciamento de risco foram desenvolvidos por várias organizações, incluindo a International Organization for Standardization (ISO). Eles são projetados para ajudar as organizações a identificar ameaças específicas, avaliar vulnerabilidades, pensar maneiras de reduzir esses riscos e, em seguida, implementar esforços de acordo com a estratégia organizacional.
Os princípios da ISO 31000, por exemplo, fornecem estruturas para melhorias no processo de gestão de riscos que podem ser usadas pelas empresas, independentemente do tamanho ou do segmento de atuação. Eles foram projetados para “aumentar a probabilidade de alcançar objetivos, melhorar a identificação de oportunidades e ameaças e efetivamente alocar e usar recursos para o tratamento de riscos”, segundo a ISO.
A ISO recomenda que as seguintes áreas-alvo, ou princípios, devem fazer parte do processo geral de gerenciamento de riscos:
- o processo deve criar valor para a organização;
- deve ser parte integrante do processo organizacional geral;
- considerar o processo de tomada de decisão geral da empresa;
- abordar explicitamente qualquer incerteza;
- ser sistemático e estruturado;
- basear-se na melhor informação disponível;
- ser adaptado ao projeto;
- considerar fatores humanos, incluindo possíveis erros;
- ser transparente e inclusivo;
- ser adaptável para mudar;
- ser continuamente monitorado e melhorado.
Quais etapas compõem uma estratégia de gestão de riscos?
Independentemente de serem baseado nos princípios da ISO, todos os planos de gerenciamento de riscos seguem praticamente as mesmas etapas. São elas:
Redefinição do contexto
O primeiro passo para a elaboração de uma estratégia voltada à gestão de riscos consiste em compreender o contexto no qual a empresa está inserida. Isso significa reavaliar os seus objetivos e de que forma os agentes externos e internos podem ameaçar a realização deles.
Isso pode ser feito por meio da matriz SWOT, que detalharemos adiante no tópico sobre planejamento. De qualquer forma, nessa primeira etapa, ainda é preciso definir quais riscos são aceitáveis para a empresa e a probabilidade deles se concretizarem.
Identificação
Avançando no processo de gestão de riscos, a empresa identifica ameaças potenciais que podem influenciar negativamente um processo ou projeto específico. Nesse aspecto, vale apostar na abordagem top-down, na qual os riscos são identificados e listados em uma escala decrescente.
Em outras palavras: primeiro, são reconhecidos os riscos inerentes aos grandes objetivos para, a partir disso, identificar riscos em escalas menores. Por exemplo: uma nova pandemia de Covid pode ser um risco para a empresa. Já o aumento no absenteísmo no setor de compras é uma ameaça para esse setor especificamente, embora repercuta na empresa como um todo.
Análise
Uma vez identificados tipos específicos de risco, a empresa determina as probabilidades de ocorrência, bem como suas consequências. O objetivo da análise é entender melhor cada instância específica de risco e como ela pode influenciar os projetos e objetivos do negócio. Nessa etapa, o risco deve ser calculado começando pelo risco bruto, que consiste em antecipar as chances de um evento ocorrer antes que qualquer medida protetiva seja implementada.
Em seguida, os responsáveis por essa análise devem avaliar as medidas de contenção já existentes e que possam impedir o risco bruto de causar danos. O que sobra disso é o chamado risco residual que, por sua vez, deve ser classificado em níveis em uma tabela para identificação dos que devem ser tratados como prioridade.
Avaliação
O risco é então avaliado após a determinação da probabilidade geral de ocorrência, combinada com sua consequência geral. A empresa pode, então, decidir se o risco é aceitável e se está disposta a aceitá-lo com base no seu “apetite ao risco”.
Na fase de avaliação, os riscos já catalogados podem ser reclassificados conforme o tratamento a ser dado para cada um. Nesse caso, temos quatro possíveis:
- aceitar — no qual as consequências do risco, se concretizado, são aceitas considerando os danos que venham a causar;
- mitigar — tratamento que consiste em adotar medidas no sentido de minimizar os riscos, tendo em vista a maior probabilidade de que eles se realizem;
- transferir — se a opção for transferir o risco, a empresa define de que forma fará isso, seja por meio da contratação de profissionais ou ao transferir a responsabilidade;
- evitar — finalmente, se o tratamento para o risco em questão for evitar, a empresa estipula de que forma fará isso, seja proibindo certas práticas ou deixando de lado uma frente de negócios.
Mitigação
Durante essa etapa, a empresa avalia seus riscos mais bem classificados e desenvolve um plano para aliviá-los, usando controles específicos. Esses planos incluem processos de mitigação de riscos, táticas de prevenção e planos de contingência no caso de um risco se concretizar.
Aqui, a empresa determina com precisão o prazo, a forma e quem se responsabilizará pelas medidas de tratamento definidas. Sendo assim, devem ser previamente conhecidas as medidas de controle no sentido de mitigar um risco. Da mesma forma, deve ser conhecido em qual prazo essa medida será tomada e quais profissionais estarão à frente desse processo.
Monitoramento
Parte do plano de mitigação inclui o acompanhamento para monitorar e rastrear de forma contínua os riscos novos e existentes. O processo geral de gerenciamento de riscos também deve ser revisado e atualizado constantemente.
Em resumo, nessa última etapa, é hora de avaliar se todas as medidas preventivas ou de redução de danos foram executadas conforme o planejado. É quando a empresa revê o que foi feito e avalia se os objetivos traçados na fase inicial eram, de fato, compatíveis com a análise SWOT previamente realizada.
Com os resultados, a gestão de riscos pode ser corrigida, se necessário, ou novas medidas de prevenção podem ser adotadas, dependendo da demanda e dos recursos disponíveis.
Por que fazer gestão de riscos?
A gestão de riscos é importante em uma organização porque, sem ela, fica bastante difícil definir seus objetivos para o futuro. Se a empresa define objetivos sem considerar os riscos, é provável que ela perca a direção uma vez que algum desses riscos se tornem problemas reais. Além de tudo o que já apontamos até aqui, confira, a seguir, algumas razões pelas quais você deveria investir na gestão de riscos em seu negócio
A gestão de riscos reduz as surpresas
Uma das principais características de uma estratégia de gestão de riscos é a conscientização antecipada de problemas potenciais. Isso significa que as pessoas certas podem intervir para mitigar um problema antes que ele se torne muito grave.
Essa estratégia também evita o cenário de “combate a incêndios”, que geralmente é uma maneira dispendiosa e exige um esforço muito maior para corrigir problemas. O gerenciamento dos riscos antes que eles se materializem produz menos “manchetes sensacionais”, mas uma maneira mais suave, eficiente e econômica de administrar os negócios.
Fornece dados de melhor qualidade para a tomada de decisão
Com a gestão de riscos, os líderes têm acesso a dados de melhor qualidade e mais úteis, o que os permite tomar decisões melhores, mais fundamentadas na realidade do negócio ou de um projeto específico. Ser capaz de acessar informações de risco em tempo real significa que as decisões são tomadas com base nos dados mais recentes, e não em um relatório que já está desatualizado antes de chegar à equipe executiva.
Torna a expectativa de sucesso mais realista
Saber que um risco é gerenciado ativamente estabelece uma expectativa para o sucesso de um projeto. Com essa estrutura implementada, todos começam a trabalhar sabendo que o sucesso é o resultado esperado. Isso muda toda a mentalidade da equipe: saber que eles trabalham em algo destinado a entregar ótimos resultados para a empresa, melhora a moral e aumenta a produtividade.
Melhora o foco das equipes
Com os riscos sendo rastreados e gerenciados ativamente, as equipes podem manter o foco nos resultados críticos. A gestão de risco apoia isso porque serve para destacar onde os resultados podem não ser alcançados, focalizando a equipe no que fazer em relação às preocupações para colocar os projetos e os planos de ação de volta nos trilhos.
Com o gerenciamento de riscos lançando uma luz sobre as áreas de desafio, as equipes podem agir rapidamente para lidar com eles, garantindo que as ações sejam tomadas para realizar entregas com sucesso. Isso evita que os problemas sejam negligenciados no dia a dia — especialmente quando parecem difíceis de resolver.
Como aplicar e fazer uma gestão de riscos?
O que será considerado são as possíveis ameaças que, em curto, médio ou longo prazo podem vir a comprometer a performance ou até a continuidade de uma organização. Portanto, tudo começa pelo mapeamento dos riscos e do desenvolvimento de uma postura estratégica, como vimos em tópicos anteriores. A partir disso, a empresa deve operacionalizar essa postura, por meio de técnicas, rotinas e ferramentas que viabilizem a gestão de riscos. Vamos ver como fazer isso.
Cuide do planejamento
Ao redefinir o contexto de atuação e identificar os riscos, a empresa se coloca de forma realista no mercado. Dessa forma, ela se torna capaz de reconhecer o que de fato pode limitar sua capacidade em continuar a cumprir sua missão. Nesse sentido, a melhor maneira de aplicar a gestão de riscos é cuidar do planejamento por meio da matriz SWOT, na qual cada letra representa:
Fatores internos
- S — Strength, as forças que a empresa comprovadamente tem;
- W — Weakness, suas fraquezas e aspectos nos quais precisa melhorar;
Fatores externos
- O — Opportunities, ou seja, as oportunidades que o mercado oferece;
- T — Threats, que consistem nas ameaças que vêm de fora.
Continue mapeando os riscos
Riscos são, por definição, agentes imprevistos e que, por isso, estão sujeitos a mudar constantemente. Isso quer dizer que o que é uma ameaça hoje pode não ser mais amanhã e vice-versa.
Cabe à empresa utilizar métodos estatísticos que auxiliem a transformar os riscos em números, para que eles sejam permanentemente analisados. Um método que pode ser “importado” é o que profissionais da área médica usam para medir o risco de propagação de doenças e o risco relativo.
Consiste em desenhar uma tabela 2×2, na qual cada quadrante deverá conter dados relativos a:
- a quantidade de pessoas que estão expostas a um risco (A);
- a quantidade de pessoas expostas, mas que não foram atingidas (B);
- a quantidade de pessoas que não foram expostas ao risco, mas que sofreram suas consequências (C);
- a quantidade de pessoas que não estão expostas nem sofreram qualquer dano (D).
Com os dados dispostos, aplique a fórmula:
Risco Relativo (RR) = A / (A+B) / C / (C+D)
Para interpretar os resultados, considere:
- RR = 1, significa que não existe diferença no risco entre os dois grupos.
- RR menor que 1, significa que há risco menor no grupo exposto em relação ao grupo não-exposto.
- e para RR é maior que 1, o risco do grupo exposto é maior, comparado ao do grupo não-exposto.
Faça análises qualitativas
Ainda que sejam usados métodos estatísticos para aferir com maior precisão o grau de risco, nem sempre a frieza dos números será suficiente para explicar algo. Por isso, além dos cálculos, procure também analisar as medidas de gestão de risco pelo viés qualitativo.
Por exemplo: a empresa define que, como tratamento ao risco de perdas de receitas, vai se retirar de uma praça onde atua há muitos anos. Quantitativamente parece ok, mas será que qualitativamente essa medida será efetiva? Afinal, é possível que empregados antigos se sintam descontentes ou que a comunidade local não deseje a saída da empresa.
Então, ficou claro por que começar desde já a implementar a gestão de riscos, certo? Utilizando as dicas que aprendeu aqui, você blinda seu negócio das ameaças internas e, principalmente, das que vêm de fora.
Não perca nenhum dos nossos conteúdos. Siga nossas redes sociais e fique sempre a par dos melhores artigos sobre gestão, tecnologia e negócios. Estamos no Facebook, LinkedIn, Instagram e YouTube.