Auditora Líder ISO 9001:2015, ISO 22000:2018 e ISO 31000:2016. Redatora do Blog da Qualidade e Especialista de Comunicação no Qualiex! Eu ajudo profissionais a resolverem problemas de qualidade por meio de tecnologia e acredito que esse é o primeiro passo para uma vida de Excelência. Gosto de rock, desenho animado e vejo qualidade e excelência em tudo isso. Não me leve tão a sério no Twitter, mas se preferir, você também pode me encontrar no Facebook e Linkedin.
Definir estratégias para abordar riscos é uma das atividades mais importantes quando se gerencia ameaças e oportunidades. É nesta etapa que definimos se vamos prevenir, mitigar, compartilhar ou aceitar quando estamos lidando com ameaças; e explorar, melhorar, compartilhar ou aceitar quando falamos de oportunidades. Hoje eu vou falar especialmente da estratégia de ACEITAR.
NOTA 1: Haverá várias notas nesse texto.
NOTA 2: Pode ser que eu fale mais sobre ameaças, mas simplesmente porque acredito que é mais simples de explicar efeitos negativos. Mas lembre-se, riscos são ameaças e oportunidades.
Por que falar especialmente da estratégia ACEITAR?
Gerenciar riscos implica tomar decisões. Sempre que você avalia a probabilidade e impacto de um risco e entende sua criticidade na empresa, você deve decidir: “Ok, o que vou fazer com esse risco agora?”. Não importa se é uma ameaça ou oportunidade, muito menos se a criticidade é alta, média ou baixa, você sempre deverá definir uma estratégia para abordar esse risco. O que eu vejo é que existe um certo “medo” de se usar a estratégia ACEITAR e, como consequência disso, um enorme número de riscos são abordados com a estratégia de mitigar.
Pausa aqui. Não quero dizer que está errado mitigar os riscos, pelo contrário, mitigar é realmente uma estratégia muito comum. Mas talvez, ao compreender melhor a estratégia de aceitar, você reflita se todos os riscos que você tem trabalhado para mitigar precisam mesmo ser mitigados. Aceitar riscos não é ruim, é apenas uma decisão.
Quando usar a estratégia ACEITAR?
Você fez a análise de um risco. Avaliou a probabilidade de ocorrer, o impacto dele na empresa e o resultado é uma criticidade BAIXA, ou seja, ele não é um risco grave. A aceitação de um risco significa que a gravidade do risco é tão baixa que não iremos tomar nenhuma ação, a menos que ele aconteça. Esse é um tipo de risco que a gente escolhe aceitar.
Isso significa que você poderá aceitar todos os riscos com criticidade BAIXA? Se você definir assim no seu procedimento, sim, pode!
Existe um algo chamado “nível de tolerância” que é pouco comentado por aí. Você pode definir no seu procedimento qual o nível de tolerância que você tem sobre riscos, ou seja, até que ponto você pode aceitar um risco, e quando você vai gerenciá-lo de fato. Isso significa que você pode dizer que vai aceitar todos os riscos que tem criticidade baixa, ou até média, se isso fizer sentido para o seu contexto, e assim, você só irá gerenciar riscos que possuem criticidade alta.
NOTA: Não encare o nível de tolerância como um mandamento. Pode haver riscos de criticidade média que você queira trabalhar e não há problema algum nisso, mas ter um nível de tolerância definido, ajuda a priorizar e tomar decisões.
Agora vamos imaginar uma outra situação. Você tem um risco que possui criticidade média ou alta, entretanto, não há ações que você possa tomar a respeito dele. Exemplo: mudanças de leis que impactam diretamente o seu negócio, ou um concorrente lançar um novo produto. São ameaças externas em que você pode não pode atuar, não ter muitas ações a tomar para evitá-las ou minimizar a chance delas ocorrerem. A estratégia que te resta é ACEITAR. Mas isso significa que vou ficar de mãos atadas a respeito desse risco? Bom, é agora que começamos a entender que aceitar um risco não é ignorá-lo completamente.
Aceitar um risco não significa que você vai fazer nada (não necessariamente)
Eu sei que o “aceitar” dá uma sensação de imobilidade, mas não é bem assim que funciona essa estratégia. Quando aceitamos um risco estamos dizendo que não agiremos preventivamente quanto a ele, ou seja, não vamos fazer nada que possa impedi-lo de acontecer. Entretanto, podemos sim agir se ele ocorrer. Resumindo, eu não vou me preocupar com o risco até que haja uma incidência.
Há duas maneiras de aceitação de um risco: ativa e passiva, e é sobre elas que vamos refletir agora.
Aceitação ativa
Aceitar um risco ativamente é quando ele é identificado como aceitável, mas decidimos fazer um plano de contingência, ou seja, caso o risco venha acontecer, nós desenvolvemos um PLANO B que diz quais são as principais ações devemos tomar nessa situação.
Lembra quando eu falei sobre ter riscos dos quais “você não vê tantas saídas a não ser aceita-lo?” Pois é, a aceitação ativa garante que você terá um bom PLANO B caso o risco venha ocorrer. No exemplo que eu dei acima, sobre uma lei que impacta seu negócio, ou um concorrente lançar um novo produto, as perguntas que você deve fazer são: “E se essa lei for sancionada, o que eu posso fazer para não sofrer tanto?” ou “Se o produto novo for lançado, como eu posso reagir para reduzir os impactos disso?”.
Por mais que seja uma aceitação, há muito ganho em estabelecer um plano de contingência, pois isso garante que ao invés de tentar lidar com o risco quando ele ocorre, ou seja, quando há pouco tempo e muito caos, você pode analisar e planejar as ações com mais calma. Mas não vai adiantar se esse plano não estiver disponível para sua equipe quando o risco ocorrer, portanto, mais que definir um plano de contingência, você deve conscientizar a equipe sobre seu PLANO B e deixá-lo disponível, pois caso o risco ocorra, toda a “correria” pode fazer as pessoas não pensarem direito e tomar ações que podem agravar a situação.
NOTA 1: Lembra do seu nível de tolerância? Você pode definir que os riscos de criticidade média podem ser aceitos ativamente, assim você garante que, mesmo que aceitos, terão um plano caso venham a ocorrer.
NOTA 2: Planos de contingência não são exclusivos para a estratégia de aceitação, pelo contrário, você pode usá-lo para qualquer risco.
Aceitação passiva
Na aceitação passiva nada é feito, nenhuma ação é tomada ou planejada, seja pensando no antes ou no depois da ocorrência do risco.
“Mas isso não é imprudente, Monise? ”. Não! Haverá riscos que poderão ser passivamente aceitos. Esses riscos são simplesmente pequenos demais para serem motivo de preocupação. O custo de gerenciá-lo é maior que o custo de lidar com o risco, caso ele ocorra, mesmo sem preparação. Esses sim são aqueles riscos que terão impactos insignificantes caso eles ocorram, portanto, não tenha medo de aceita-los.
Um exemplo extremista, mas que você vai entender: o risco de não ter caneta de tinta vermelha na sua empresa. O quanto isso vai impactar a sua empresa? Compensa parar para fazer uma análise desse risco? Uma caneta de tinta vermelha não dá nem para assinar um contrato, então, não vale a pena se preocupar com isso.
NOTA: Você pode escolher não documentar riscos que você aceitou passivamente, ou seja, não há necessidade de reter informação documentada, seja em planilha ou software. Você já decidiu que eles são insignificantes para sua empresa, e também escolheu não fazer nada a respeito deles, então, por que ficar lembrando deles ao revisar seus riscos? Não faz sentido. Simplesmente esqueça-os.
Barreiras de risco
A barreira de risco é um termo muito utilizado em alguns segmentos, como alimentos e saúde, por exemplo, e também está dentro da estratégia de aceitação. Existem riscos aos quais você se expõe com mais frequência, e a barreira sugere algum tipo de “proteção”.
Exemplo: o risco de infecção em uma sala de cirurgia é inevitável, portanto, não é possível fazer uma cirurgia e não se expor a esse risco. Em todo caso, o uso de luvas, toucas e roupas especiais são barreiras que, mesmo tendo aceitado o risco, podem proporcionar uma certa proteção. O uso de capacete de proteção na construção civil também pode ser compreendido como barreira, não é uma ação de mitigação pois não está agindo preventivamente para que o risco não aconteça, mas sugere algum tipo de proteção ao expor um colaborador ao risco.
Processos de monitoramento também podem ser compreendidos como “barreiras”. Vamos supor que eu tenha um refrigerador, e que guardo alimentos nele. Não tenho recurso financeiro para comprar outro, mas estou ciente de que ele pode variar a temperatura e estragar meus alimentos, que precisam ser condicionados em temperaturas abaixo de 3 graus. Por enquanto, vou ACEITAR esse risco, pois não tenho dinheiro para comprar outro refrigerador, mas posso criar uma barreira: monitorá-lo de hora em hora e estabelecer um plano de contingência caso o meu monitoramento identifique que a temperatura está em 2.5 graus, por exemplo.
Algumas informações importantes sobre aceitação de riscos
Antes de finalizar o assunto, eu gostaria de te alertar sobre alguns pontos importantes sobre aceitação de risco:
1 – Defina uma periodicidade para revisitar os riscos aceitos
Aceitar um risco não significa nunca mais olhar para ele. Pelo contrário, esses riscos devem ter uma periodicidade de análise bem definida. A probabilidade e o impacto de um risco muda na mesma velocidade que o seu contexto da organização muda, então, um risco que tem uma criticidade baixa hoje, pode ser média ou alta amanhã. O ambiente que você está muda todos os dias, seus riscos também. Portanto, mesmo que em uma periodicidade bimestral, semestral, anual, não importa, visite seus riscos aceitos de vez em quando, isso te manterá com uma mentalidade preventiva.
2 – Documente as análises de risco
Com exceção dos riscos para os quais você definiu uma aceitação passiva, não importa se você vai criar uma barreira ou se vai aceitá-los ativamente. Todos eles devem estar documentados, e estas informações devem estar acessíveis e disponíveis. Isso vai evitar retrabalhos e ajudará a sua equipe a agir da maneira planejada em momentos de caos.
3 – Gerenciar riscos não é apenas gerar informação documentada
Fazer todo esse trabalho de definição e documentação não vai adiantar nada se a sua equipe não for envolvida, capacitada e conscientizada. Não vai adiantar ter um nível de tolerância, ou planos de contingência definidos se só você sabe sobre eles, ou até se apenas você pode acessá-los. A mentalidade de riscos ainda é um fator importante aqui, então não se esqueça, manter sua equipe alinhada e com uma cultura de pensamento baseado em riscos vale muito mais do que qualquer informação documentada. Sim, você pode e deve documentar as coisas, mas lembre-se, isso não é o mais importante!
Como simplificar esse processo
Sim, trabalhar com riscos dá trabalho! Você vai ter que gerenciar esse processo de maneira séria, assim como faz com outros processos importantes da sua empresa. Isso se você quiser colocar tudo isso em prática para que dê resultado de fato, e não para passar em alguma auditoria ou coisa assim. E já deixo claro, se você quer fazer esse processo para “inglês ver”, desculpa, mas esse post não foi feito para você.
Nós aqui da Forlogic buscamos executar tudo o que citei neste texto com a ajuda do Forlogic Risks, software para gestão de riscos do Qualiex. Ele nos ajuda a centralizar análises e tornar os planos de contingência acessíveis para todos os envolvidos na tratativa de riscos, padronizando nosso processo e facilitando a nossa gestão.
É claro que dá para fazer tudo sem utilizar um software, apenas com as boas e velhas planilhas! Principalmente se você tiver poucos riscos para monitorar e se sua equipe já estiver madura o suficiente em relação a riscos. Caso contrário, é melhor contar com um software simples de usar e com a ajuda de Auditores Líderes para colocar seu processo em fluxo, engajando as pessoas na mentalidade de riscos.
Clique no botão abaixo, agende uma demonstração online do Forlogic Risks e converse com nossos Auditores Líderes para entender o nível de maturidade do seu processo de Gestão de Riscos. Garanto que, independentemente de qualquer coisa, vai valer a pena conversar sobre o seu processo de gestão de riscos:
8 comentários em “Gestão de riscos: usando a estratégia de ACEITAR sem ser irresponsável”
Monise, mais uma vez “show”…parabéns
Duas perguntas:
1.Todos os riscos devem ser identificados mais nem todos devem ser tratados (prevenir, mitigar, compartilhar ou aceitar…)?
2. É uma boa prática deixar descrito no procedimento de gestão de riscos que os riscos “insignificantes” e que não tenham relação direta com a estratégia da empresa não serão tratados ou melhor seria, serão “aceitos passivamente” ?
Grato
ALex
Olá Alex, prazer te ver por aqui. Vamos lá!
1 – Riscos devem ser identificados, mas nem todos devem ser tratados.
Não é bem assim. Identificou os riscos, você deve tomar uma decisão sobre eles, essa decisão, que também pode ser chamada de “resposta ao risco”, pode ser de prevenir, mitigar, compartilhar ou aceitar. Alguns, você vai aceitar ativamente e outros passivamente. Vai acontecer! Mas é importante pensar que mesmo a decisão de “não tratá-lo” é uma decisão.
2 – É uma boa prática deixar no processo os riscos que são insignificantes
Acredito que é uma escolha bem sua, de acordo com seu contexto. Usualmente, as empresas não documentam, simplesmente porque é um monte de informação que não é usada para nada. Então o foco fica totalmente naqueles riscos que foram “levados a diante”. Mas se, para se resguardar, você queira deixar registrado numa ata de reunião ou coisa assim, não vejo problema.
Lembrando: a gente não faz gestão de riscos para gerar evidências, as evidências são geradas porque a gente fez o trabalho de gestão de riscos. Então, documente aquilo que você vai usar e trabalhar. Não vai ter erro!
Abraço!
parabéns! ótimo artigo!
Obrigada pelo feedback Fernanda! Abraço!
palmas, um artigo completo e bem informativo me auxiliou muito nas pesquisas para o meu trabalho muito obrigado por compartilhar o seu conhecimento