[REVIEW] #068 – Processo de Gestão de Riscos com Marcos Assi

No artigo de hoje, eu farei uma review do Qualicast  #068 – Processo de Gestão de Riscos com Marcos Assi. Discutirei aspectos que vão desde a definição mais geral de gestão de riscos até como ela influencia na gestão da qualidade. 

A gestão de riscos tem ganhado notoriedade nos sistemas de gestão desde 2006 quando o COSO ERM trouxe as questões sobre os 8 ambientes da gestão de riscos, que foi base para o desenvolvimento da ISO 31000:2008. O próprio Banco Central usou o COSO ERC para falar sobre gestão de riscos no sistema financeiro. 

O que é o COSO ERM?

O COSO é um Comitê de Organizações Patrocinadas, tais como o “International Internal Audit” (IIA), contadores certificados americanos e entidades financeiras, seu objetivo é apresentar e discutir práticas de controles internos. Esse movimento começou em 1992, quando foi implementado um framework  de controles internos para que as empresas pudessem desenvolver processos de prevenção às fraudes. 

No período, esse framework não funcionou, visto que aconteceram as fraudes contábeis da Enron e da Worldcom nos Estados Unidos. A partir disso, foi criada, em 2002, a Lei americana Sarbanes-Oxley com base no COSO para realizar a certificação de controles internos.

Em 2006, o COSO já apresentava a mentalidade de gestão de risco e, com isso, implementou o Enterprise Risk Management (ERM), que é um framework que discutia a gestão de riscos, como identificá-los e tratá-los. Esse histórico desencadeou uma sequência de normas ISO, melhorias de processos e estratégia.

A partir de 2015, as discussões sobre mentalidade de gestão de riscos começaram a “pipocar” devido às atualizações das normas a partir desse período. E, depois disso, todas as normas começaram a discorrer sobre a mentalidade de risco no sistema de gestão. 

Em 2017, o COSO publicou uma nova versão apresentando que a gestão de riscos começa no Conselho de Administração e termina no Mapeamento de Processos. Ou seja, é uma mentalidade que deve ser adotada por todo o contexto operacional. 

O que é gestão de riscos?

Mas calma, de ponto de partida nesse tópico, eu quero falar sobre o que é risco. De acordo com o Profº Marcos Assi, risco é tratar a subjetividade, ou seja, considerar que algo pode ocorrer fora do previsto ou não. É estar preparado para algo que pode acontecer, da forma que aconteceria. O risco é inerente a qualquer atividade humana.

Gestão de riscos seria definida como a maneira com que lidamos com as incertezas, ou é a forma como você tenta prevenir e minimizar possíveis perdas proveniente de falhas operacionais ou eventos externos por meio do entendimento completo do seu negócio. 

Dessa forma, a gestão de riscos é quando você entende que os eventos vão acontecer, como se prevenir do risco e aproveitar as oportunidades da causa do evento. Por isso o mapeamento de processos é tão importante, pois é um método de conhecimento de todas as etapas operacionais de um processo e, ao conhecer a totalidade desse processo, fica mais fácil prever riscos e oportunidades. 

Além disso, é necessário considerar as variáveis externas do seu negócio para identificar os impactos que determinados eventos podem ter na sua empresa. Analisar o contexto externo é tão importante quanto controlar e gerenciar os processos internos. 

As etapas do gerenciamento de riscos 

A ISO 31000:2018 começa falando sobre escopo, contexto e critério como as primeiras informações que são consideradas para definir um processo de gestão de riscos. O escopo traz o que você quer desenvolver na sua gestão de riscos e começa justamente no que muitas pessoas querem evitar ao adotar a mentalidade de gestão de riscos: quanto de risco você está disposto a assumir. 

Dentro disso, é necessário estabelecer critérios que segmentam os riscos de acordo com seu impacto: pequeno, médio e alto. Além disso, é preciso entender a periodicidade que o processo que detém o risco é executado. 

A questão do contexto define em qual tipo de segmentação está inserido o seu negócio. E o sistema P.E.S.T.E.L  é essencial para entender as operações externas que vão afetar o seu negócio. 

E, por último, quais são os critérios que você utiliza para definir riscos? A empresa precisa ter uma política de gestão de riscos e para que isso seja efetivado é necessário capacitar as pessoas no entendimento do risco. Qualquer atividade realizada na empresa tem que ter uma mentalidade de riscos. 

Um processo de gestão de riscos bem estabelecido demora 3 anos para ser efetivado caso você mapeie o processo adequadamente. E, às vezes, a empresa não tem nem os processos mapeados e que desenvolve a matriz de riscos. 

Quais são as etapas do processo de avaliação de riscos?

Dentro do processo de avaliação de riscos, nós temos três sub etapas: identificação, análise e avaliação. Porém, antes de iniciar esse processo, a empresa precisa definir quais são os seus principais riscos.

Primeiro nós identificamos os riscos, partindo do macro para o micro. Depois, nós analisamos e definimos se aquilo realmente é um risco ou uma falha de processo e o seu nível de criticidade para a empresa. Ou seja, nós analisamos os processos e definimos os seus riscos para que possa ser realizada uma avaliação baseada no escopo e nos critérios definidos anteriormente. 

Gestão de riscos como proteção e valor 

E, para finalizar, eu deixo uma frase que o Profº Marcos Assi usa durante o podcast: “A gestão de riscos não é só mais uma ISO da vida, ela é um modelo de proteção e de valor do negócio”

Caso você queira escutar o Qualicast na íntegra, clique abaixo 

Espero que tenham gostado da review. Coloca aí nos comentários a sua opinião. 

Até logo.

Idealizado por Forlogic | www.forlogic.net
Conheça nosso software para Gestão da Qualidade https://qualiex.com/