De acordo a norma internacional ISO 31000, o risco é o efeito da incerteza quanto à ocorrência de determinado evento sobre os objetivos de uma organização e que pode ser mensurado a partir da aferição da probabilidade de ocorrência do evento incerto, combinada com o impacto e as consequências desse evento para os processos de trabalho e objetivos de uma organização.
DEFINIÇÃO DE GESTÃO DE RISCOS
Segundo a norma internacional ISO 31000, o risco é o efeito da incerteza quanto à ocorrência de determinado evento sobre os objetivos de uma organização e que pode ser mensurado a partir da aferição da probabilidade de ocorrência do evento incerto, combinada com o impacto e as consequências desse evento para os processos de trabalho e objetivos de uma organização.
O Tribunal de Contas da União, em seu Manual de Gestão de Riscos do TCU, assevera que a Gestão de Riscos está intimamente associada ao princípio constitucional da eficiência, pois sua implementação só faz sentido quando proporciona ganhos em termos de entrega de resultados e alcance dos objetivos institucionais. Isso a torna uma grande aliada do gestor no desafio de garantir a qualidade dos serviços prestados ao cidadão, porque permite a tomada de decisões de forma racional, contribui para aumentar a capacidade da organização em lidar com eventos inesperados, que podem afetar negativamente os objetivos, estimula a transparência, favorece o uso eficiente, eficaz e efetivo dos recursos, bem como fortalece a imagem da instituição.
Nesse sentido, a Gestão de Riscos consiste num conjunto de procedimentos destinados ao gerenciamento de riscos realizados dentro de critérios que atestam a sua eficácia. Trata-se de um sistema institucional de natureza permanente, estruturado e geralmente monitorado por um Comitê de Gestão de Riscos e pela Alta Administração. É direcionado às atividades de identificar, analisar e avaliar riscos, decidir sobre estratégias de resposta, além de monitorar e comunicar sobre o processo de gerenciamento desses riscos, com vistas a apoiar a tomada de decisão, em todos os níveis, e ao efetivo alcance dos objetivos da instituição.
OBJETIVOS DA GESTÃO DE RISCOS
A finalidade principal da Gestão de Riscos é diminuir o grau de incerteza na consecução dos objetivos, causando impacto direto na eficiência da instituição. A organização precisa conhecer os eventos que podem trazer consequências, positivas ou negativas, para conseguir tratá-los, se necessário.
E o Mapeamento de Processos é uma ferramenta que torna possível visualizar o processo de trabalho e a relação dos setores envolvidos, evidenciando suas fragilidades e pontos passíveis de melhorias na execução dos trabalhos, além de oportunidades não exploradas adequadamente.
A sistematização da Gestão de Riscos em nível institucional visa aumentar a capacidade da organização para lidar com incertezas, estimular a transparência e contribuir para o uso eficiente, eficaz e efetivo de recursos. Além disso, a Gestão de Riscos é um processo que tem por característica ser contínuo e aprimorável, composto por atividades coordenadas para orientar e controlar a organização quanto à mitigação de riscos que a afastam de seus objetivos institucionais.
Assim, passar a gerir os riscos que possam comprometer o atingimento dos objetivos da organização significa uma nova forma de pensar a condução do “negócio” da instituição, elevando de forma expressiva a atenção dispensada à possibilidade da ocorrência de eventos que possam impedir o sucesso na realização do propósito institucional.
Portanto, trata-se de uma mudança de cultura, que para sua realização precisa que medidas sejam adotadas no ambiente com o intuito de contribuir para que essa mudança ocorra de forma gradual, contínua, harmoniosa e ao mesmo tempo consistente, visando fundamentar uma Gestão de Riscos efetiva e integrada aos propósitos da instituição.
BENEFÍCIOS DA GESTÃO DE RISCOS
No setor público, é importante fomentar a Gestão de Riscos de forma sistemática nas organizações, de forma a comunicar e engajar adequadamente os dirigentes e o corpo funcional, bem como otimizar a alocação de recursos a fim de alcançar os objetivos institucionais.
Dentre os principais benefícios da Gestão de Riscos, destacam-se:
• Aumento da probabilidade de atingir os objetivos;
• Melhora na identificação de oportunidades e ameaças;
• Melhora na governança;
• Aumento na confiança das partes interessadas;
• Melhora dos controles;
• Melhora na eficácia e eficiência operacional;
• Prevenção de perdas e gestão de incidentes;
• Minimização de perdas;
• Aumento da aprendizagem organizacional;
• Aumento da resiliência da organização;
• Estabelecimento de base confiável para a tomada de decisão e planejamento.
CATEGORIA DE RISCOS NA GESTÃO PÚBLICA
No que concerne as categorias de riscos aplicáveis ao setor público, atualmente as organizações levam em consideração:
a) Riscos operacionais: relativos a eventos de risco que estão normalmente associados a fragilidades que podem comprometer os processos de trabalho executados por uma determinada organização, como uma pane em equipamentos e a falta de capacitação técnica de pessoal, por exemplo.
b) Riscos à integridade: relativos a eventos de risco que podem resultar em desvios éticos, irregularidades administrativas, fraude e corrupção; assim, por exemplo, a inadequada especificação de bens ou serviços em um processo de compras públicas pode resultar em direcionamento intencional da licitação e falta de competição e isonomia entre os participantes.
c) Riscos estratégicos: relativos a eventos de risco que comprometem o alcance dos objetivos estratégicos declarados pela organização; são eventos de risco que não se limitam a comprometer apenas um determinado processo de trabalho da organização, mas podem constranger o cumprimento da missão institucional e o atingimento da visão estratégica da organização.
ETAPAS DA GESTÃO DE RISCOS
Segundo o Tribunal de Contas da União, a Gestão de Riscos compreende um processo de trabalho de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, aplicável em qualquer área da organização e que contempla as atividades de identificar riscos, analisar riscos, avaliar riscos, decidir sobre estratégias de resposta a riscos, planejar e executar ações para modificar o risco, bem como monitorar e comunicar, com vistas ao efetivo alcance dos objetivos da instituição.
Segundo a ISO 31.000 de 2009 o processo de Gestão de Riscos possui as seguintes etapas:
Etapa 1 - Estabelecimento do contexto.
Etapa 2 – Seleção e estudo do processo.
Etapa 3 - Identificação de riscos.
Etapa 4 - Análise avaliação de riscos.
Etapa 5 – Tratamento de riscos.
Etapa 6 - Comunicação e Monitoramento.
Etapa 1 – Estabelecimento do contexto:
A primeira coisa a ser feita no estabelecimento do contexto é a listagem dos processos de trabalho, de acordo com a sua relevância, e um breve resumo dos objetivos organizacionais, uma vez que são os riscos ao atingimento desses objetivos que serão gerenciados.
Nesse momento a equipe executora do gerenciamento de riscos deve se organizar para estabelecer os fatores, definir as categorias de eventos e respectivos desdobramentos dos contextos e definir os critérios de riscos para os quais os riscos deverão ser geridos.
Etapa 2 - Seleção e estudo do processo:
Em seguida, passa-se ao conhecimento dos processos de trabalho, visando a identificação dos riscos, o que deve ser feito continuamente mesmo após a implantação do projeto, com o objetivo de identificar possíveis mudanças e até mesmo novos processos de trabalho.
Orientações para a escolha do processo:
a) Processos com deficiências: em um processo com deficiências ficam ainda mais evidentes os benefícios obtidos da adoção da gestão de riscos.
b) Processos com número moderado de etapas: em um processo com menos etapas fica mais fácil a percepção completa do processo para aqueles que irão participar da aplicação da metodologia.
c) Processos que não envolve grande diversidade de áreas/atores: em um processo envolvendo poucas áreas/atores, fica mais fácil evitar polêmicas que decorram de diferentes interesses na condução do processo.
d) Processos que pertençam a áreas sensíveis a riscos: existem algumas áreas e processos mais sensíveis a riscos, que podem ser identificados a partir de normativos que trazem as competências institucionais do órgão/entidade, seu regimento interno, organograma e documentos como o planejamento estratégico.
A Gestão de Riscos pode ser reaplicada muitas vezes permitindo que, de forma contínua, os processos possam ser revisitados e os controles possam ser revisados e aprimorados à luz de novos riscos identificados, assim como daqueles já conhecidos.
Para que um processo organizacional seja submetido ao escrutínio da metodologia de Gestão de Riscos, é necessário estar minimamente documentado, de forma a permitir que todos os participantes que irão contribuir na aplicação da metodologia, possam ter conhecimento alinhado, necessário e suficiente. Nesse sentido, o processo deve possuir, além dos normativos aplicáveis, pelo menos as seguintes informações adicionais:
- Descrição resumida: relato que contemple as principais etapas, atividades, produtos e atores envolvidos.
- Objetivos gerais e específicos: declaração de objetivos que permite a identificação dos riscos.
- Responsável: área da organização e dirigente na qual encontra-se a competência principal para a realização do processo em questão.
- Periodicidade: quantas vezes serão realizados o processo e a sua média de duração em horas, dias, semanas etc.
Etapa 3 - Identificação de riscos:
Feita a definição dos objetivos que a instituição pretende atingir, é hora de mapear quais os eventos de risco que podem impedir que estes objetivos sejam atingidos.
De acordo com a ISO 31000, a identificação de riscos é o processo de busca, reconhecimento e descrição dos riscos. Envolve a identificação das fontes de risco, eventos, causas e consequências potenciais. A finalidade da etapa de identificação de risco é gerar uma lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
Os responsáveis pela identificação dos riscos podem e devem utilizar-se de ferramentas e técnicas de identificação de riscos que sejam adequadas aos seus objetivos e capacidades e aos riscos enfrentados. Por esse motivo é importante que as pessoas envolvidas nesse processo tenham um conhecimento adequado sobre o negócio.
Após a identificação do risco, deverão ser apontadas todas as suas causas e consequências significativas, associadas a determinado evento.
Causa é o motivo que pode promover a ocorrência do risco; Evento é a ocorrência ou mudança em um conjunto específico de circunstâncias – pode ter várias causas e consistir em uma ou mais ocorrências - e; Consequência é o resultado de um evento que afeta os objetivos.
Vale notar que, nesta etapa, faremos o exercício de identificação dos chamados riscos inerentes, que são aqueles em que a organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto.
Durante a análise dos riscos, também serão levantados os controles já estabelecidos em relação aos riscos, para que sejam conhecidos os riscos residuais, aqueles em que a organização está exposta mesmo após a implantação de ações gerenciais para o tratamento de risco.
Etapa 4 - Análise e avaliação de Riscos:
De acordo com a ISO 31000, análise de riscos é o processo de compreender a natureza do risco e determinar o nível de risco. Ela fornece a base para a avaliação de riscos, bem como para as decisões quanto ao tratamento destes.
Inicialmente serão analisados os riscos inerentes. Dado que o risco é uma função tanto da probabilidade como do impacto, o nível do risco é expresso pela combinação da probabilidade da ocorrência do evento e de suas consequências caso se concretize, em termos da magnitude do impacto nos objetivos.
Adicionalmente, o mapa de calor é uma ferramenta que pode ser utilizada para a análise de riscos, apresentando de forma simples e visual suas relevâncias através do cruzamento das probabilidades e dos níveis de impacto.
Há diversas formas de estimar e apresentar a probabilidade e o impacto de um risco, que variam muito em relação à precisão e à complexidade. Considerando que o órgão/entidade esteja iniciando seu contato com processos de gestão de riscos, recomenda-se a utilização de metodologia mais simples, sem ponderações para impacto e probabilidade.
Etapa 5 – Tratamento de Riscos
De acordo com a ISO 31000, tratamento de riscos é o processo para modificar o risco. Nesta etapa, devem ser estabelecidas as medidas (controles) que a organização pode tomar para evitar, mitigar ou transferir os seus riscos de integridade mais relevantes.
Podemos agrupar respostas aos riscos em quatro tipos de tratamento:
a) Aceitar: a entidade decide não atuar em relação ao risco. A sua probabilidade e impacto são tão baixos que não justificam a criação de controles para mitigação, ou os controles existentes já resguardam boa parte de suas consequências. É geralmente uma ação escolhida para riscos com baixo impacto e probabilidade.
b) Transferir: o risco possui probabilidade e impacto tão altos que a organização não pode suportar e decide transferi-los a outra entidade. Por exemplo, um órgão público decide contratar um seguro de acidentes para certos empregados que exercem atividades muito perigosas – ele transfere o seu risco de sinistro para uma outra entidade.
c) Mitigar: o órgão/entidade decide atuar para reduzir a probabilidade e/ou impacto do risco, tornando-o menor ou mesmo removendo-o da lista dos principais riscos.
d) Evitar: envolve alterar o processo visando a evitar a ocorrência do risco. Por exemplo, um órgão pode decidir evitar o oferecimento de determinado serviço por envolver riscos de alto impacto e probabilidade.
Quando se trata de riscos, a perspectiva não deve ser a de garantir sua eliminação, pois se está lidando com a incerteza. Portanto, na maioria das vezes, serão tomadas ações para minimizar ou mitigar o risco, por meio de medidas que visam reduzir o impacto e/ou probabilidade do risco, resultando em níveis aceitáveis do risco, compatível com o que a organização possa lidar sem maiores danos.
Uma diversidade de medidas pode ser concebida para o tratamento de riscos para a integridade, a exemplo das listadas a seguir:
- Treinamento de pessoal;
- Procedimentos de controle envolvendo áreas e processos sensíveis (aquisições, regulação de mercado, concessão de licenças e benefícios etc.);
- Diluição do excesso de poder e discricionariedade em poucos indivíduos ou áreas; e
- Promoção da transparência e do controle social.
É interessante observar que as medidas de mitigação dos riscos podem possuir efeitos mais amplos do que o tratamento do risco em si. Por exemplo, uma capacitação sobre normas e procedimentos licitatórios pode mitigar não apenas o risco de ocorrer algum desvio nesse tipo de processo, mas também melhorar a qualidade técnica dos trabalhos da área de licitações como um todo.
É também comum que certas medidas mitigadoras possuam maior abrangência e acabem por abarcar o tratamento de mais de um risco para a integridade, como a elaboração/atualização de um código de ética/conduta, por exemplo.
A seguir apresenta-se um rol exemplificativo com ideias de medidas para o tratamento de riscos para a integridade. Contudo, ressalta-se que outras medidas podem ser pensadas, a depender dos riscos específicos de cada órgão/entidade e dos recursos disponíveis:
- Publicação de informações relevantes no endereço eletrônico, tais como planejamento estratégico, fluxos de processos e próximas licitações.
- Estabelecimento de políticas, normas e procedimentos internos que definam os procedimentos mais sensíveis do órgão/ entidade.
- Verificação periódica de informações classificadas como sigilosas/reservadas.
- Previsão de mecanismos formais e regulares de participação cidadã.
- Disponibilização da lista dos servidores públicos em quarentena, com informação sobre período da medida e área de proibição para atuação.
- Redução do nível de discricionariedade do tomador de decisão em processos sensíveis, como a instituição de segregação de funções.
- Padronização de especificações que são mais comuns (limpeza, vigilância, telefonia, material de expediente etc.), como o uso de editais-padrão.
- Definição de alçadas de aprovação, dependendo do valor envolvido em licitações, contratos e concessão de benefícios.
- Realização de diligência nas empresas contratadas com o intuito de verificar possíveis casos de fraude e conluio.
- Implementação de mecanismos de decisão colegiada no órgão, compartilhando o poder de decisão.
- Criação de sistemas informatizados que exerçam controle sobre atividades sensíveis à quebra de integridade.
- Estabelecimento de critérios objetivos para indicação de ocupantes de cargos diretivos, como capacitação e experiência.
- Exigência de motivação detalhada nos casos em que houver discordância entre os posicionamentos da área técnica e da direção superior.
- Mapeamento de servidores, ex-servidores e terceirizados visando identificar relacionamentos com empresas e grupos econômicos.
- Publicação de informações gerais sobre programas que resultem em renúncia de receitas.
Etapa 6 - Comunicação e Monitoramento:
De acordo com a ISO 31000, tanto a comunicação como a consulta às partes interessadas internas e externas devem ocorrer durante todas as fases da Gestão de Riscos por serem processos que uma organização conduz para fornecer, compartilhar ou obter informações e dialogar com suas contrapartes.
Em todo processo de gestão, a comunicação, é necessidade básica para o sucesso. Na Gestão de Riscos, a Comunicação e Consultas garantem o fluxo necessário de informações com as partes interessadas (pessoas ou órgãos que têm expectativas com relação ao processo, mas não participam da execução) e partes envolvidas (quem executa o projeto) em todas as fases da Gestão de Riscos.
A esse respeito, a IN MP/CGU nº 01/2016 ressalta que informações relevantes devem ser identificadas, coletadas e comunicadas a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e condições externas que possibilitem o gerenciamento de riscos e a tomada de decisão. Lembra, ainda, que a comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos.
Questões a serem consideradas na comunicação sobre riscos:
- O que precisa ser comunicado?
- Quem precisa saber?
- Qual o prazo?
- Qual o melhor formato para apresentar as informações?
- Qual a análise precisa ser previamente realizada para a entrega de dados robustos?
- Qual ação de follow-up é necessária?
Por sua vez, o monitoramento é definido no contexto da ISO 31000 como a verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado.
São apontadas como finalidades do monitoramento e análise crítica:
- Garantir que os controles sejam eficazes e eficientes no projeto e na operação;
- Obter informações adicionais para melhorar o processo de avaliação dos riscos;
- Analisar os eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e fracassos e aprender com eles;
- Detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas prioridades;
- Identificar os riscos emergentes.
CONSIDERAÇÕES FINAIS
Houve um época em que as pessoas paravam, olhavam a história e diziam: "o mundo mudou!". Hoje a afirmação é outra: "o mundo está em constante mudança! Nesse contexto em que a velocidade das transformações é impressinante, o grande desafio para a Gestão Pública é como se inserir nessas transformações, absorvê-las e adequá-las aos objetivos de melhora continua da administração dos bens públicos.
A organização pública ou privada que realiza seus objetivos por meio da Gestão de Risco, o faz com a convicção de que exercer o gerenciamento de suas atividades com base na prevenção de ocorrência de possíveis impropriedades, com reflexo muitas vezes devastadores para o planejamento e os objetivos da instituição, é fator primordial para poder utilizar-se de um conjunto de cenários e oportunidade de refletir sobre os possíveis resultados.
Mas o fato é que a Gestão de Riscos, implantada de forma sistemática, impõe uma mudança de cultura para quem ainda persiste no modelo de "deixar acontecer, para ver o que se faz", o que quase sempre trás como resultado perda de recursos financeiros, demora na prestação de serviços e, claro, a continuidade de estar sujeito aos riscos sem saber sua origem, sua causa e seus efeitos. No jargão popular, seria uma administação "as cegas".
Não há dúvida, a implantçaõ de um programa de Gestão de Riscos, capaz de permitir a tomada de decisões estratégicas, não é uma tarefa fácil, requer um esforço interdisciplinar, pessoas de diferentes áreas trabalhando em equipe, formando comissões encarregadas de desenvolver todo o processo, em todas as suas etapas. Adotando-se uma perspectiva holítica, o processo deverá ser continuo, proativo e sistemático de compreensão, gerenciamento e comunicação de riscos a partir da perspectiva da organização como um todo.
Portanto, o pressuposto principal da implantação da Gestão de Riscos e Controles Internos é que esse modelo deve promover alterações na forma de pensar, agir e aplicar políticas e processos. A começar com a fundamentação em boas estratégias e no fortalecimento do ambiente de controle das empresas. Adotar uniformemente essa cultura traz benefícios nos resultados para os investidores. Os reflexos também são positivos na gestão de conhecimento dos colaboradores.
TRILHAS DE CONHECIMENTO
Comments