Janeiro/2003

Gestão de Riscos

Acontecimentos divulgados recentemente têm levado os líderes de empresas a focalizarem a importância de se dar atenção a todas as partes interessadas. Embora o lucro seja fundamental para o sucesso da empresa, não se admite mais submeter os negócios exclusivamente a controles financeiros. Outros fatores devem ser considerados para garantir que os negócios da empresa continuem sendo bem sucedidos a médio prazo. Clientes, funcionários, legislações, litígios e opiniões locais e mundiais, todos podem afetar significativamente a saúde e a prosperidade de qualquer organização.

Será a sua empresa a próxima a sair nas manchetes? Veja os seguintes títulos retirados do Financial Times de julho de 2002:

• Reguladores dos Estados Unidos apresentam pouca verba e lutam para restaurar a confiança dos investidores.
• Sony torna-se a última vítima da preocupação de investidores.
• Ações da Tyco caem abruptamente após análise da Goldman Sachs.
• Insaciável demanda da China por carvão precipita uma série de explosões subterrâneas aterrorizadoras.
• A Organização Mundial de Saúde divulgou ontem o projeto de um tratado internacional revolucionário para o controle de tabaco.
• Fazendeiros e residentes protestam contra a apreensão planejada de suas terras para construção de um novo aeroporto internacional na Cidade do México.
  

Cada vez mais, os governos da América do Norte, da Europa e da Ásia estão focalizando a liderança corporativa e os controles internos. Como resultado, as organizações terão de demonstrar que possuem sistemas de gestão estruturados para analisar criticamente e priorizar todas as necessidades das partes interessadas, bem como gerenciar os riscos que a empresa enfrenta. Muitos vêem essas questões como iniciativas associadas que devem ser adotadas como funções adicionais da empresa. Como poderíamos lidar com as conflitantes exigências de retorno financeiro alto, salários justos, condições de trabalho decentes, preços baixos, serviços excelentes e impacto mínimo sobre o meio ambiente?

Encorajadas por normas como a ISO 9001:2000, muitas organizações estão adotando uma abordagem baseada em processos e aplicando-a a todas as suas atividades. Essa abordagem tem se tornado uma ferramenta essencial para ajudar a compreender as necessidades e expectativas dos clientes. A gestão da qualidade não é mais de domínio exclusivo das operações de manufatura; a abordagem de processo tem se mostrado inestimável para as organizações prestadoras de serviços, tais como governos locais, instituições de assistência à saúde e organizações financeiras. Como benefício adicional, as normas de gestão exigem que as empresas incorporem um ciclo de melhoria contínua em todas as suas atividades.

Empresas que implementaram essas normas e evoluíram com elas têm percebido que elas ajudam a administrar prioridades conflitantes de maneira estruturada. O desafio para essas organizações é reconhecer o que não está sendo feito e onde é necessário o desenvolvimento para se criar algo a partir de sistemas já existentes.

Além da ISO 9001:2000, duas outras abordagens baseadas em riscos foram introduzidas com a norma ambiental ISO 14001 e o sistema de segurança e saúde no trabalho OHSAS 18001. Com essas normas, as organizações são incentivadas a identificar e avaliar todos os riscos ambientais e ocupacionais encontrados. Riscos significativos com conseqüências graves devem ser gerenciados eliminado-os ou reduzindo sua freqüência e/ou gravidade.

Adotando essas abordagens baseadas em processos e riscos, as organizações poderão compreender melhor os requisitos e as expectativas dos clientes. Também estarão melhor posicionadas para administrar a forma como interagem com seu ambiente físico e buscar a segurança e saúde das pessoas no trabalho. As normas oferecem um método para se medir o progresso em relação aos objetivos, o que, por sua vez, ajuda a impulsionar a melhoria contínua, a competitividade e o sucesso num ambiente cada vez mais exigente.

Priorizando as necessidades das partes interessadas

Uma nova norma, a ISO 9004:2000, Diretrizes para Melhorias de Desempenho, é capaz de ajudar as empresas a analisar e priorizar com eficácia as necessidades das partes interessadas. Essa norma vai além dos requisitos do modelo mundial de normas para gestão da qualidade, ISO 9001:2000, usando oito princípios de gestão:

• Partes interessadas
• Liderança
• Envolvimento de pessoas
• Abordagem de processo
• Abordagem sistêmica para a gestão
• Melhoria contínua
• Abordagem factual para tomada de decisões
• Benefícios mútuos nas relações com os fornecedores

Adotando a ISO 9004:2000, as organizações desenvolvem uma melhor compreensão do seu vasto campo de atuação. Todas as organizações são afetadas pelas partes interessadas. Em alguns casos, esses efeitos são altamente visíveis, não sendo necessária uma análise crítica detalhada. Contudo, a maioria das organizações deixa as necessidades e expectativas das partes interessadas passar despercebidas, ocasionando o uso indevido dos recursos da organização.

As partes interessadas podem abranger donos/acionistas, fornecedores, concorrentes, sociedade, funcionários e clientes. Ao se desenvolver objetivos estratégicos de curto e longo prazo, deve-se considerar suas necessidades imediatas e futuras. Evidentemente, nem todas as necessidades das partes interessadas podem ou devem ser atendidas. Algumas podem entrar em conflito direto com outras, e, além disso, todas as organizações inevitavelmente possuem limitações quanto ao uso de seus recursos. As empresas devem desenvolver estratégias que equilibrem as expectativas das partes interessadas com a sobrevivência no clima competitivo do mundo dos negócios. Um dos aspectos dessas estratégias consiste em alocar recursos para as necessidades mais relevantes das partes interessadas. O fato de se conhecer e priorizar as necessidades das partes interessadas contribui para se tomar sólidas decisões estratégicas e operacionais, podendo também servir de insumo para o processo de gestão de riscos.

O conceito, a estrutura e os princípios da ISO 9004:2000 são semelhantes aos da ISO 9001:2000. As organizações que já estiverem familiarizadas com a ISO 9001:2000 acharão a aplicação da ISO 9004:2000 relativamente fácil. Contudo, a nova norma poderá produzir um drástico impacto na maneira de se utilizar os recursos - principalmente as necessidades, as expectativas e as prioridades correspondentes das partes interessadas.

Identificando e avaliando riscos

Os riscos podem ser vistos positivamente como oportunidades para a empresa, como, por exemplo, investir em um produto novo e inovador, mudar-se para novos mercados geográficos ou fundir-se com uma outra organização. As organizações que conseguem gerenciar com eficácia esses riscos têm muito mais probabilidade de proteger e aumentar o valor de mercado de suas ações e expandir seus negócios.

Numa perspectiva mais tradicional - isto é, negativa -, um risco é geralmente visto como uma possibilidade de perda, quer seja perda de rendimentos, litígio, reclamações ou danos a pessoas, a propriedades ou ao meio ambiente.

Em indústrias manufatureiras extremamente competitivas que empregam a técnica just-in-time, um atraso na entrega por parte do fornecedor significa parada na produção e clientes insatisfeitos. Reclamações por causa da perda de rendimentos e prejuízo para a reputação chovem na cadeia de fornecimento, destruindo a viabilidade financeira de outros negócios bem-sucedidos. Paralelamente aos pontos negativos óbvios incorridos quando há prejuízo para as pessoas e o meio ambiente, a cobertura inevitável e prejudicial da imprensa que se segue é capaz de destruir a confiança das partes interessadas e o valor da empresa.

Os riscos associados com ativos menos tangíveis, como, por exemplo, a marca de uma organização, também devem ser cuidadosamente avaliados. Uma marca requer vários anos e investimentos financeiros significativos para se estabelecer, mas apenas segundos para se destruir. Por exemplo, os controladores do tráfego aéreo acusaram recentemente os pilotos de algumas linhas aéreas do Reino Unido de colocar a eficiência acima de outros critérios. Você viajaria com uma linha aérea que apresentasse um registro de pouca segurança?

Depois de se reunir todas as informações necessárias da empresa, o próximo passo num processo de gestão de riscos consiste em realizar uma avaliação de riscos. Essa talvez pareça mais uma questão operacional, mas, na verdade, ela requer uma abordagem de âmbito organizacional. Um risco pode ser tão inerente numa oportunidade de aquisição quanto o é num acidente.

As organizações que aplicaram com sucesso a norma para sistemas de gestão ambiental ISO 14001 têm analisado suas operações com respeito a importantes questões ambientais (ex.: emissões de ar e água, gestão de resíduos, contaminação da terra, matérias-primas e recursos naturais e outras questões ambientais locais e comunitárias). Como parte do processo, a norma ajuda essas empresas a corresponderem com uma expectativa comum das partes interessadas: gerenciar riscos e evitar perdas com respeito ao meio ambiente.

As organizações que aplicaram com sucesso a OHSAS 18001 têm identificado perigos e realizado avaliações de riscos referentes a atividades rotineiras ou incomuns realizadas por qualquer um que tenha acesso ao local de trabalho, até mesmo subcontratados e visitantes. Esse exame também tem sido estendido às instalações do local de trabalho, sejam elas fornecidas pela organização ou por um fornecedor externo. As organizações que adotam essa norma não apenas estabelecem uma cultura de gestão de riscos, mas abordam também uma outra preocupação-chave das partes interessadas: as pessoas da organização.

Basicamente, o desafio das organizações é dominar o processo de avaliação de riscos e aplicá-lo em toda a empresa. Uma vez que o processo seja adotado para atender a questões óbvias, como, por exemplo, questões relacionadas com a gestão de resíduos ou maquinaria pesada, poderá ser usado também para se avaliar ativos menos tangíveis - como a gestão da marca. Mais uma vez, o ambiente no qual uma organização trabalha - e isso inclui as partes interessadas que influenciam a maneira como a organização atua - é um pré-requisito fundamental, não devendo ser esquecido.

Gerenciando riscos através de um sistema integrado

Uma vez que os riscos tenham sido identificados, a empresa deve decidir como irá tolerá-los, terminá-los, transferi-los ou tratá-los. Tratar um risco geralmente é a opção mais complicada, pois requer controle e medição. Essas são as atividades que compõem a base de um sistema de gestão eficaz.

Algumas dificuldades surgem quando a organização constata que um risco está ocorrendo fora do campo de atuação normal do seu sistema de gestão. Por exemplo, poderia-se identificar um risco com relação à proteção de informações ou à forma como as informações são coletadas, armazenadas, mantidas, acessadas e comunicadas em toda a empresa e quanto a outras partes interessadas. Aderindo aos requisitos aceitos pelo setor e aplicando os devidos meios de proteção para o sistema de gestão, tais como aqueles descritos na norma de segurança de informações ISO 17799, a organização pode melhorar seu sistema atual e reduzir os riscos significativos.

Um outro aspecto da gestão de riscos por meio de tratamento consiste em manter o equilíbrio entre competência e procedimento. As organizações que já implementaram a ISO 9001:2000 estão cientes de que geralmente é melhor gerenciar um processo utilizando-se um pessoal competente do que exigir que o pessoal siga passo a passo instruções meticulosas. Essa filosofia também se aplica à gestão de riscos: devido à sua própria natureza, o risco nem sempre pode ser controlado através de listas de verificação.

Utilizar as habilidades de pessoas treinadas e altamente competentes constitui-se em um método muito eficaz de gestão de riscos. O treinamento e a experiência adequados permitem aos funcionários identificar riscos inerentes em dadas situações e pensar rapidamente na ação mais adequada. Isso implica uma cultura bastante diferente daquela em que os funcionários devem trabalhar metodicamente utilizando procedimentos detalhados antes de preencher a documentação necessária.

Portanto, ao se gerenciar riscos, talvez seja conveniente estabelecer pontos de verificação ao longo do processo, a fim de se medir e identificar possíveis riscos. Em cada estágio do processo, pode-se ligar a competência dos funcionários aos riscos percebidos, garantindo-se que os riscos sejam gerenciados com segurança. A competência dos funcionários pode ser testada periodicamente, o que, por sua vez, ajudará a direcionar programas de treinamento e de planejamento.

A maioria das normas para sistemas de gestão exige que a organização meça seu desempenho em relação aos seus objetivos. Para as organizações que foram bem sucedidas na implementação de normas para sistemas de gestão, pode-se aplicar essas medições à gestão de riscos. Além disso, como elas já possuem processos para medir e analisar informações, os dados adicionais necessários para a gestão de riscos podem ser obtidos mais rapidamente. Por exemplo, uma empresa pode decidir que o armazenamento de um subproduto industrial específico numa quantidade maior do que aquela estabelecida é um risco inaceitável. Para monitorar e avaliar continuamente esse risco, a empresa poderá determinar, a partir do processo de vendas, o número de pedidos antecipadamente e, a partir desses números, a quantidade correspondente de subprodutos esperados uma vez que a produção esteja concluída. Pode-se então desenvolver um processo para garantir que, caso o subproduto exceda a quantidade estabelecida de armazenamento, ele seja descartado ou reciclado com segurança.

Qualquer empresa que use uma abordagem integrada incluindo a gestão de riscos será capaz de fornecer evidência objetiva à alta direção, a qual poderá usar as informações para garantir a saúde da organização e implementar a melhoria contínua. A aplicação de uma norma para sistemas de gestão garante uma abordagem estruturada das decisões baseadas em fatos referentes ao futuro da organização.

Figura 1

• Obtenção de uma base sólida para a integração da gestão de riscos.
• Gestão Total do Negócio (Sistema Integrado de Gestão)
• Partes Interessadas Envolvidas
• Mais Aspectos Abrangidos
• ISO 9004:2000 (Melhoria do Desempenho)
• BS 7799 (Segurança de Informações)
• OHSAS 18001 (Segurança e Saúde no Trabalho)
• ISO 14001 (Meio Ambiente)
• ISO 9001:2000 (Qualidade)
• A aplicação de normas adequadas para sistemas de gestão significa que mais necessidades das partes interessadas são atendidas e mais aspectos da empresa são abrangidos.
  

Figura 2

• Processo de Gestão de Riscos
• Avaliação de Riscos
• Análise de Riscos
• Avaliação do Valor dos Riscos
• Tolerar?
• Sim
• Não
• Redução de Riscos
  Eliminar, Transferir e Tratar
• Implementar e Gerenciar
• Medir/Monitorar
• Avaliar Resultados
  Investigar
• Aceitáveis?
• Sim
• Não
• Identificar Potencialidades
• Necessidades e Expectativas no Contexto das Partes interessadas

Um sistema para as melhores práticas

Seria a gestão de riscos uma questão independente, algo que deve ser gerenciado separadamente das operações do dia-a-dia? Evidências indicam que a maioria das organizações já estão gerenciando riscos por meio de normas para sistemas de gestão.

Criar a partir de algo que já existe é, geralmente, a melhor forma de progredir. Talvez o verdadeiro desafio para as organizações, hoje em dia, não seja identificar e gerenciar riscos, mas resolver como estabelecer uma cultura baseada num único sistema de gestão que possa ser usado para se aplicar as melhores práticas.

Normas reconhecidas internacionalmente podem ajudar as organizações a avaliar todas as necessidades e expectativas das partes interessadas. Os resultados de auditorias internas e externas baseadas nessas normas podem ser usados para impulsionar a gestão de riscos na organização. Todo o sistema deve focalizar a melhoria contínua, que deve estar em concordância com os objetivos estratégicos, a fim de garantir a prosperidade futura da organização. Tal sistema poderia ser definido como um Sistema Integrado de Gestão.