Case: Aplicação da Metodologia Análise de Risco Parametrizada 2.0
 

Análise de Risco Parametrizada 2.0

 
A Análise de Risco Parametrizada 2.0 é uma metodologia desenvolvida inicialmente para a prática de consultoria com a finalidade de se manter uniformidade no trabalho a ser desenvolvido e, por conseguinte, manter os padrões de qualidade desejados, mas com o passar do tempo foi sendo adotada como uma prática para suportar a implantação e manutenção da prática de Enterprise Risk Management (ERM) nas organizações. Tal aceitabilidade ocorre devido ao alinhamento desta metodologia com práticas consagradas, tais como: ISO 31.000, COSO, COSO ERM etc…
 
A principal característica desta metodologia é focar não somente em ferramentas de medição dos riscos em termos de impacto e probabilidade, mas principalmente na identificação e mensuração (por meio de auditorias de riscos “in loco”) da efetividade dos sistemas de proteção existentes para mitigar estes riscos.
 
A metodologia basicamente consiste na aplicação direta de listas de parâmetros nos trabalhos de campo pelos crash numbers. A principal diferença consiste no fato de utilizar-se lista de parâmetros em 5 níveis de classificação onde cinco refere-se ao nível mais baixo e um refere-se a best practice existente no mercado ao invés de questionários do tipo Go / No Go ou Sim / Não. Além disto, para cada pergunta existe um racional numérico por trás similar a uma FMEA que define “pesos” específicos para cada parâmetro. Desta forma o grau de precisão da avaliação é muito mais realista.
 
Outra característica da Análise de Risco Parametrizada 2.0 é sua facilidade na aplicação devido ao grau de detalhamento dos parâmetros em questão, conforme podemos constatar no quadro a seguir:
 
Nota-se quão fácil é sua aplicação por parte daqueles que irão desenvolver o trabalho de campo. Esta simplicidade em sua leitura permite uma uniformidade em sua aplicação e diminui a necessidade de profissionais com maior nível de experiência como crash numbers para a realização de trabalhos de campo, desta forma barateando o custo de consultoria ou auditoria.
 
A aplicação dos parâmetros gera o Índice de Vulnerabilidade dos Sistemas de Proteção (IV), permitindo ao consultor (ou ao gestor de riscos) avaliar se os seus sistemas de proteção estão adequados aos riscos da organização avaliada.
 
A Análise de Risco Parametrizada 2.0 pode ser aplicada aos mais variados campos de atividade, sendo necessário somente a realização de um processo de “Elicitação do Conhecimento” por especialistas da área para a definição das Tabelas de Análise de Risco Parametrizada que serão utilizadas posteriormente nos trabalhos de campo.
 
Este processo consiste na realização de sucessivos “brainstormings” com especialistas da área e consultas aos manuais, às normas e às boas práticas existentes para a definição dos parâmetros e para a confecção das suas planilhas de trabalhos de campo (conforme demonstrado acima).
 
A principal vantagem desta metodologia é possibilitar o correto balanceamento entre o nível de efetividade dos sistemas de proteção existentes (definido pelo Índice de Vulnerabilidade – IV encontrado nas auditorias de riscos) contrastando-se com a mensuração dos riscos em termos de impacto e probabilidade (definidos na Matriz de Riscos). Este approach inovador permite que o gestor de riscos consiga ter uma percepção mais abrangente, vislumbrando que o principal problema não é a existência de determinado risco em si, mas sim a inadequabilidade de determinado sistema de proteção para mitigar este risco em si, ou seja, a existência de um desbalanceamento entre o nível de risco e o nível de efetividade do sistema de proteção para mitigá-lo.
 
A Metodologia Análise de Risco Parametrizada 2.0 tem como principal característica permitir um correto balanceamento entre o nível de risco e o nível de vulnerabilidade dos sistemas de proteção. Em outras palavras, ela permite que se definam sistemas de proteção adequados para os riscos inerentes do negócio ou da operação em tela, gerando o máximo de racionalidade e otimização dos investimentos em sistemas de proteção.
 
Para que se tenha uma ideia correta da principal ferramenta e característica desta metodologia, demonstraremos sua aplicação de forma bastante resumida em um case prático e real. Outra finalidade deste case é proporcionar um overview da metodologia antes de descrevê-la step by step no decorrer do livro. Desta forma, o leitor consegue ter uma noção de sua abrangência e aplicabilidade.
 
Case: Definição do nível ideal de investimentos em sistemas de proteção de acordo com os riscos críticos do negócio (em um projeto de Centro de Distribuição Logística)
 
Objetivo:
 
O presente case tem por finalidade demonstrar a utilização da metodologia Análise de Risco Parametrizada 2.0 para definir cenários de risco de acordo com o risco do negócio e com o grau de investimentos em sistema de proteção utilizados para diminuir o nível de vulnerabilidade e mitigação dos riscos críticos, ou seja, auxiliar na definição de um ponto ideal entre nível de risco, nível de vulnerabilidade e investimento em sistemas de proteção.
 
Overview:
 
Introdução do case do projeto do Centro de Distribuição Logística
 
A demanda em questão surgiu da necessidade de um fundo de investimento calcular os custos ideais a serem gastos com o projeto de um Centro de Distribuição Logística. Parte de alguns dos custos mais significativos era referente aos investimentos com os sistemas de proteção. Haviam 2 preocupações claras por parte dos investidores: ter mecanismos de proteção suficientes e adequados para mitigar os principais riscos críticos do negócio e investir em sistemas de proteção da forma mais otimizada possível, evitando assim a inviabilização do projeto por custos desnecessários.
 
Característica do negócio
 
O Centro de Distribuição possui área de 80.000 m², sem compartimentação no layout, com pé direito de 12m, docas com niveladoras externas, piso com resistência de 8 ton / m² e sistema de sprinkler cobrindo todo o complexo, conforme o layout abaixo:
 
As premissas gerais para a implantação deste empreendimento contemplam:
 
1. Portaria com acessos individuais

2. Área de conferência totalmente segregada

3. Pátios pavimentados

4. Área de conforto para os motoristas com banheiro e vestiários

5. Área de pit stop e área de manutenção de empilhadeiras (grande e pequeno porte) com caixa de separação de óleo e de contenção

6. Área comum com refeitório, ambulatório e sala de jogos

7. Balança
 

8. Área de escritório

Neste case vamos verificar a necessidade de levantamento da melhor solução de gestão de riscos para este projeto do tipo Green Field (projeto começando do zero). Visualizaremos uma análise custo x benefício entre os custos em sistemas de proteção e o grau de risco do negócio. Para isso, precisamos de que seja feito um balanceamento entre o nível de vulnerabilidade (Nível de Efetividade dos Sistemas de Proteção) e o nível de risco do negócio.
 
O primeiro passo para isto foi obter o correto entendimento do negócio ou da operação. Para tal, foram realizadas entrevistas com os principais gestores e investidores. Baseado neste entendimento, foi confeccionada e validada uma lista com os principais riscos críticos que afetariam o negócio / operação. Esta Lista de Riscos Críticos serviu de base para se definir quais sistemas de proteção deveriam se instalar para se mitigar e controlar cada um destes riscos.
 
Após entendimento do negócio e de seus fatores críticos de sucesso, são definidos seus riscos críticos. Riscos críticos são aqueles riscos que afetam algum fator crítico de sucesso, a missão da empresa ou seus objetivos estratégicos. Neste caso foram definidos os seguintes Riscos Críticos para a planta em questão:
 
· Incêndio

· Invasão

· Acidente do trabalho

· Dano ao meio ambiente

· Alagamento
 
Os riscos críticos direcionam os sistemas de proteção que serão avaliados por ocasião da análise de riscos, ou seja, se foi identificado o risco crítico de incêndio, faz-se necessário que o sistema de combate a incêndio seja auditado por um Check list de Análise de Vulnerabilidade dos Sistemas de Proteção Parametrizado.
 
Para cada um destes riscos críticos tem-se um ou mais sistemas de proteção dedicados ou compartilhados para sua mitigação e / ou seu controle, bem como uma ou mais normas que definem as melhores práticas existentes no mercado, conforme representado na tabela abaixo:
 
Uma vez definido o risco crítico e o seu sistema de proteção, deve-se avaliar a adequabilidade do mesmo. Em outras palavras, avaliar o nível de vulnerabilidades existentes no sistema de proteção em questão.
 
Para a definição das vulnerabilidades, realiza-se uma auditoria baseada em lista de parâmetros que permite a identificação de vulnerabilidades nos sistemas de proteção referentes à:

      • Recursos Materiais
      • Capital Intelectual
      • Normas e Procedimentos
      • Cultura Organizacional
      • Capacidade de Gestão

Estes 5 pilares são avaliados na forma de auditorias de risco utilizando-se Check lists Paramétricos. Check lists Paramétricos são Check lists baseado em normas sólidas ou boas práticas, consolidadas no mercado, conforme descrito anteriormente. Desta forma é possível fazer um Assessment dos sistemas de proteção e obter-se o Índice de Vulnerabilidade (IV), permitindo ao avaliador ter uma ideia do nível de efetividade do sistema avaliado em relação a melhor prática existente no mercado, conforme exemplificado abaixo:
 
Neste caso, não existindo o site fisicamente, por tratar-se de um projeto que ainda será implantado (Green Field), é necessário assumir um valor de Índice de Vulnerabilidade (IV) baseado nos sistemas de proteção que serão empregados no projeto. Para isto, foi conduzida uma simulação de cenários para o futuro projeto, onde foram utilizados os Check lists de Análise de Vulnerabilidades Parametrizados (conforme desenho acima) para cálculo do Índice de Vulnerabilidade (IV) considerando nível de proteção básica (nível 5 do IV), nível intermediário (nível 3 do IV) e a melhor prática existente no mercado (nível 1 do IV). Por não existir o projeto implantado, os Check lists foram utilizados baseando-se em cenários hipotéticos. Desta forma, gerou-se três cenários hipotéticos: menor efetividade dos sistemas de proteção (maior nível de vulnerabilidade possível), moderada efetividade dos sistemas de proteção (nível de vulnerabilidade intermediária) e maior efetividade dos sistemas de proteção (menor nível vulnerabilidade possível), implicando em sistemas de proteção diferentes e com custos distintos. Neste case apresentaremos 2 dos 3 cenários calculados para 2 sistemas de proteção específicos (sistema de segurança patrimonial e sistema de incêndio) ligados a 2 riscos (risco de invasão e risco de incêndio, respectivamente).
 
O comparativo de cenários, nos quais foram contrastados o cenário de maior vulnerabilidade, com o cenário intermediário de vulnerabilidade e com o cenário de menor vulnerabilidade, deram origem a 3 Índices de Vulnerabilidade (IV) hipotéticos permitindo gerar três matrizes de risco, podendo-se ter uma clara ideia da relação de causa e efeito entre o nível dos sistemas de proteção instalados e a estimativa de probabilidade de tais riscos se concretizarem em decorrência da eficiência destes sistemas de proteção.
 
Com base na opinião de especialistas, logo podemos simular cenários alterando-se o Índice de Vulnerabilidade (IV) da fórmula. Cabe lembrar que a única variável que depende exclusivamente do gestor é o nível de Efetividade dos Sistemas de Proteção, que é materializada pelo Índice de Vulnerabilidade (IV). Somente a gestão pode definir o quanto ela está disposta a investir em sistemas de proteção e qual o nível de risco está alinhado ao seu apetite ao risco. Em outras palavras, se assumirmos que determinado projeto iremos aplicar o Índice de Vulnerabilidade (IV) = “3”, teremos que aplicar os sistemas de proteção de nível 3 encontrados nas tabelas de parâmetros, hipoteticamente, conforme demonstrado na tabela abaixo:
 
Para fins didáticos, escolhemos somente o risco de invasão e os sistemas de proteção utilizados para mitigar este risco e realizamos uma análise passo a passo. Cabe lembrar que é necessário repetir a mesma análise para todos os demais riscos levantados.
 
Para o nível de vulnerabilidade adotado na tabela de parâmetros teremos um sistema de proteção com características correlacionadas ao que foi definido nesta tabela.
 
Tratando-se de um projeto ainda não implantado, sem a existência da edificação e de seus sistemas de proteção, faz-se necessário simular os cenários prováveis de risco e os sistemas de proteção a serem empregados. Desta forma, podemos ter uma ideia do nível de vulnerabilidade a ser adotado e do seu respectivo custo de projeto.
 
Basicamente, seguiremos os passos normais da metodologia. Contudo, a não existência física dos sistemas de proteção nos obrigará a definir cenários hipotéticos para a definição dos níveis de risco e vulnerabilidade. Em outras palavras, efetuaremos uma simulação utilizando os questionários de auditoria, onde adotaremos marcações de acordo com o nível de vulnerabilidade desejado.
 
Para este projeto foi solicitado aos especialistas que escolhessem dentro das Tabelas de Check list Paramétricos três opções, conforme descrito abaixo:
 
· Marcassem quais eram os sistemas necessários para se ter um nível de efetividade básico, mas de acordo com os parâmetros mínimos legais. (Índice de Vulnerabilidade alto)

· Marcassem quais eram os sistemas necessários para se ter um nível de efetividade moderado. (Índice de Vulnerabilidade moderado)

· Marcassem quais eram os sistemas necessários para se ter um nível de efetividade alto, de acordo com as melhores práticas do mercado. (Índice de Vulnerabilidade baixo)
 
Conforme exemplificado abaixo:
 
Neste exemplo, temos a escolha do cenário hipotético com o maior nível de vulnerabilidade: IV = 5 (menor nível de efetividade dos sistemas de proteção), o que implica somente na instalação dos sistemas de mitigação e adoção de normas mais básicas possíveis. Procedimento similar foi utilizado para o cálculo de outros cenários investindo-se mais em sistemas de proteção e, por conseguinte, obtendo-se outros resultados de IV (IV entre 1,0 e 2,0).
 
Obs: Para definição da melhor relação entre nível de vulnerabilidade, nível de risco e investimento necessário nos sistemas de proteção na execução do Case foram escolhidos 3 cenários de IV de acordo com a opinião dos especialistas que geraram 3 cenários de riscos. Por uma questão de praticidade na confecção desta obra, foram escolhidos somente 2 destes 3, gerando-se 2 cenários de riscos possíveis. A metodologia permite gerar “N” cenários de riscos ligados à “N” simulações de IV.
 
O modo mais fácil de definir a melhor opção dos sistemas de proteção para serem adotados no projeto é a definição de vários cenários de riscos baseado nos Índices de Vulnerabilidade (IV) simulados. Na realidade, o gestor de riscos vai buscar o melhor equilíbrio entre o nível de riscos aceitável e o nível de vulnerabilidade dos sistemas de proteção buscando um equilíbrio adequado entre ambos e dentro das limitações orçamentárias.
 
Partindo-se do princípio de que os riscos críticos serão os mesmos para o projeto, independentemente do nível de eficiência dos sistemas de proteção adotados. Logo, a única variável que depende exclusivamente do gestor de riscos é a variável Índice de Vulnerabilidade (que define o nível de efetividade dos sistemas de proteção). As demais variáveis da fórmula que estimam a probabilidade não sofrerão qualquer alteração, conforme mostrado na fórmula abaixo:
 
Para o cálculo da Estimativa de Probabilidade, temos a possibilidade de simularmos níveis de efetividade de sistemas de proteção diferentes, baseados na opinião dos especialistas que geraram Índices de Vulnerabilidades (IV) diferentes. Por exemplo, levando-se em consideração que o gestor decida por adotar o nível mais básico possível: sistemas de proteção que gerem Índice de Vulnerabilidade (IV) entre 4,0 e 5,0, isto gerará um IV diferente do caso dele adotar sistemas de proteção mais sofisticados que apresentam menor Índice de Vulnerabilidade (IV). Isto decorre do resultado da substituição destes IVs diferentes na fórmula da Estimativas de Probabilidade (EP), gerando EPs diferentes, conforme demonstrado abaixo:
 
Para este case, obtêm-se os seguintes resultados para Quantificação do Impacto (os cálculos de ambas as fórmulas serão detalhados no decorrer da obra):
 
Consegue-se perceber facilmente como o investimento no nível de efetividade dos sistemas de proteção permite diminuir a estimativa de probabilidade de ocorrência de determinado risco. Desta forma, a metodologia fornece aos gestores uma ferramenta robusta para a tomada de decisão à medida que compara como o nível de efetividade dos sistemas de proteção afetam a estimativa de probabilidade e, por conseguinte, influenciam no grau das perdas potenciais / perdas esperadas.

Normalmente, o deslocamento do risco dentro da matriz decorre da melhoria no nível de efetividade dos sistemas de proteção por meio de projetos específicos / direcionados para a mitigação de determinado risco ou pela implantação de ações diversas para mitigação destes riscos.

A metodologia descrita nesta obra fornece um Road Map consistente para que o gestor possa buscar um melhor equilíbrio entre o nível de risco e o nível de efetividade dos sistemas de proteção de forma lógica, prática e efetiva, levando-se em consideração os custos de cada cenário.
 
É uma das poucas metodologias do mercado que possibilita estabelecer uma clara relação de causa e efeito entre a efetividade dos sistemas de proteção e as consequências dos riscos em termos de impacto e estimativa de probabilidade. Desta forma, é possível se ter uma visão de quanto se deve investir. Tal raciocínio pode servir de base para negociações de prêmio de seguros junto às seguradoras uma vez que fornece ao gestor de riscos uma ferramenta bem robusta de análise e gestão de riscos.
 
Serve também para o gestor de riscos poder ter parâmetros de comparação entre o nível de risco e de vulnerabilidade dos diversos sites da sua empresa. Este overview das condições dos diversos sites permite que seja feito um direcionamento dos investimentos nos sistemas de proteção para cada unidade de negócio de forma mais pragmática e dentro um racional robusto.