Conceitos básicos

A principal função na apresentação dos conceitos básicos em Gestão de Risco é proporcionar um nivelamento de conhecimento entre vários players que trabalham ou interagem com a área de gestão de riscos. Para tal, apresentamos os principais conceitos:

1. Severidade 

É o resultado do efeito da concretização de determinado risco, quando gera uma perda ou destruição parcial ou total de valor. A severidade de um risco sem ações de mitigação ou processos de transferência é conhecida como magnitude do risco. Os efeitos deste mesmo risco quando instalados mecanismos de controle, ações de mitigação ou devidamente transferido, este efeito é conhecido como impacto.

2. Frequência 

Refere-se com que repetitividade determinado evento de risco ocorre. A frequência pode ser definida por meio de probabilidades quando se possuem históricos de eventos ou ser definida por estimativas utilizando-se o julgamento de especialistas.

3. Risco

3.1 Definição do Portal da Gestão de Riscos (Análise de Risco Parametrizada)

Risco é o potencial de desvio do resultado esperado existente em determinada atividade causado por determinada ação (ou ausência de ação), sendo incerta a sua ocorrência e resultando do que acontece quando uma ameaça encontra uma vulnerabilidade ou um conjunto de vulnerabilidades nos sistemas/mecanismos de proteção em processos críticos, permitindo a concretização do evento que causará destruição de valor ou desvio da meta, objetivo ou padrão pré-estabelecido.

3.2 Definição ISO 31000

Efeitos de incertezas nos objetivos. Note que um efeito pode ser positivo, negativo ou um desvio do esperado. Risco também é as vezes descrito por um evento, uma mudança em circunstância ou uma consequência.

3.3 Definição do Institute of Risk Management (IRM)

Risco é a combinação da probabilidade de um evento e sua consequência. Consequências podem variar de resultados positivos à negativos.

3.4 Definição do Orange Book para HM Treasury 

Incerteza dos resultados, dentro de um alcance de exposição, emergindo de uma combinação de impacto e de probabilidade de potenciais eventos.

3.5 Definição do Instituto de Auditores Internos

A incerteza de um evento ocorrendo que poderia ter um impacto na realização dos objetivos. Risco é medido em termos de consequências e probabilidade.

 

4. Gestão de Riscos

É um processo que visa identificar e mensurar eventos que possam causar perdas ou desvios de objetivos da organização de maneira a mitigá-lo pelo emprego balanceado de recursos materiais / tecnológicos, alocação e capacitação de capital intelectual, criação e/ou redefinição de normas e procedimentos, estabelecimento de mecanismo de controle e de gestão, gerando o desenvolvimento de uma cultura organizacional robusta e compatível com à Apetite ao Risco da organização.

Consiste no emprego coordenado dos recursos e ferramentas de governança e de gestão para alinhar objetivos, ações e processos com as práticas de gestão de riscos capazes de proporcionar resultados alinhados com as expectativas dos acionistas e da organização em termos de apetite e Tolerância ao Risco.

 

5. Mitigação

Mitigar um risco consiste em minimizar a probabilidade de ocorrência; ou o impacto (perda, prejuízo, desvio do objetivo, variância etc) decorrente da consecução de determinado risco.

Mitigar não significa reduzir determinado risco à zero, mas reduzir as vulnerabilidades existentes nos sistemas de proteção existentes para proteger a organização deste risco.

Normalmente, quando mitigamos determinado risco, diminuímos a probabilidade de sua ocorrência ou conseguimos diminuir o impacto, em caso de sua concretização.

Mitigação de Riscos & Contenção de Perdas

Exemplo prático: Mitigar determinado risco apresenta um caráter preventivo de medidas que envolvem o emprego de tecnologias e sistemas de monitoramento e controle, a criação de planejamentos, normas, procedimentos, utilização de recursos humanos especializados ou sua preparação para desempenhar determinada função de maneira eficiente e eficaz, tudo isto visando que a probabilidade e as consequências da ocorrência de determinado risco seja diminuída.

 

6. Contingência

Contingências são as ações tomadas de forma coordenadas e baseadas em planejamentos específicos para diminuírem as consequências danosas oriundas da concretização de determinado risco.

Um plano de contingência robusto aumenta o grau de resiliência da organização para se restabelecer dos efeitos dos riscos. As duas principais características de uma ação de contingência é a capacidade de limitar a perda e a velocidade em se voltar a operar e permitir a organização o cumprimento de sua missão, ainda que de forma precária.

Os planos de emergência são focados na coordenação de ações emergenciais para solucionar ou minimizar os efeitos imediatos determinada perda. Os planos de contingência visam as ações subsequentes capazes de limitar o tamanho desta perda.

 

7. Resiliência

Resiliência consiste na capacidade de se retornar ao “status quo” original após ter sido atingido por determinado risco, ou seja, quão rápido a empresa consegue voltar a cumprir sua missão após determinado risco, catástrofe, acidente ou incidente que a impeça momentaneamente de cumprir a sua atividade fim.

 

8. Perda

Perda consiste em um resultado negativo causado por um evento específico. Normalmente, perda está diretamente ou indiretamente ligada à perda financeira. Geralmente, a concretização de riscos implica em perdas.

 

9. Valor Máximo em Risco

É definido considerando a perda total do patrimônio, tendo como origem eventos críticos ou eventos catastróficos ou outros desastres naturais.

 

10. Perda Máxima Possível

É definida como a maior perda estimada em decorrência da concretização de um risco, de forma extrema em um determinado local, causado pelo pior cenário, embora este não seja o mais provável, normalmente é seja um cenário até pouco provável de se ocorrer.

 

11. Perda Máxima Provável

É a maior perda estimada em decorrência da concretização de determinado risco e mitigada pela efetividade esperada dos mecanismos de proteção existentes ou limitada pelo próprio lay out que impossibilita que a concretização do risco seja capaz de destruir todo o patrimônio. Poderíamos exemplificar com o risco de incêndio das edificações de um condomínio cortado ao meio por um rio. Logo, sua perda máxima possível seriam todas as casas, mas a perda máxima provável dificilmente seria todo o condomínio e sim a metade ou até mesmo um único quarteirão, poiso fogo provavelmente não se propagaria para os imóveis que não fossem vizinhos diretos.

 

12. Perda Esperada

Estima a ocorrência de um cenário de perdas durante condições normais de operação, considerando a existência de proteções adequadas e em funcionamento, levando-se em consideração o seu impacto e sua probabilidade.

O conceito de perda esperada significa o impacto (severidade) de determinada perda multiplicado pela probabilidade (frequência) de sua ocorrência.

Exemplo Prático: Digamos que determinada empresa tem uma média de 100 carregamentos por mês e apresenta 1 avaria por mês com um valor de perda média de R$ 150.000,00 por cada evento de avaria. E que esta média vem-se mantendo praticamente inalterada nos últimos 3 anos. Logo, sua perda esperada por carregamento é de R$ 150.000,00 X 1/100 = R$ 1.500,00 por carregamento.

A grosso modo, poderíamos dizer que deveríamos descontar R$ 1.500,00 por carregamento para fazer um fundo para cobrir perdas futuras ou contratar uma apólice e incluir seus custos como custo do negócio. Caso contrário, podemos estar esperando um lucro que não irá ocorrer ou será bastante afetado em termos de resultado devido a um sinistro que irá ocorrer.

 

13. Perda Esperada Estimada

É a perda esperada obtida quando não se possui bases estatísticas para se chegar a probabilidade (frequência). Neste caso, utiliza-se o valor da perda (estimado ou exato) multiplicado pela Estimativa de Probabilidade (EP) para se obter a Perda Esperada Estimada, sendo a Estimativa de Probabilidade (EP) obtida por um processo matemático definido na metodologia Análise de Risco Parametrizada 2.0 e não por um modelo estatístico tradicional.

 

14. Riscos Críticos

São os riscos que afetam os Fatores Críticos de Sucesso de uma organização. Estes riscos, em decorrência de suas consequências, são considerados prioritários para o gestor de risco; e, devem ser identificados, quantificados, mitigados e monitorados com especial cuidado pela equipe de gestão de riscos.

 

15. Fatores Críticos de Sucesso

São os fatores (variáveis) em termos de recursos ou capacidades que uma empresa precisa possuir para conseguir atingir sua missão, sua visão de futuro, seus objetivos estratégicos ou para entregar a sua proposta de valor.

Os Fatores Críticos de Sucesso de uma organização podem ser tangíveis (ex.: sistemas de controle, capacidade de armazenagem etc…) ou intangíveis (ex.: imagem, credibilidade etc…).

Estes fatores são definidos de acordo com o tipo de negócio da organização, e independentemente de como eles são apresentados ou classificados, são considerados vitais para a organização, e devem receber uma atenção especial e contínua.

Qualquer evento que venha afetá-los pode potencialmente gerar prejuízo às atividades correntes da organização, seus objetivos estratégicos ou o cumprimento de sua missão.

Seguem abaixo, exemplos de fatores críticos de sucesso de uma indústria do ramo farmacêutico:

1. Know-How

2. Qualidade

3. Pesquisa & Desenvolvimento

4. Capital Intelectual

5. Credibilidade

6. Marca

Se utilizarmos como exemplo uma empresa do ramo siderúrgico, outros fatores críticos de sucesso são normalmente considerados:

1. Capacidade Logística

2. Capilaridade

3. Parcerias Estratégicas

4. Acesso a Recursos naturais

5. Capacidade Gerencial

6. Capacidade Operacional

 

16. Risco inerente

É o risco inerente ao negócio sendo o risco puro, que independente de ter sofrido qualquer tratamento para sua mitigação continuará existindo pelo simples fato da operação ou daquele patrimônio existir.

 

17. Riscos Residuais

Os riscos já identificados e tratados, após serem mitigados, são considerados como riscos residuais.

 

18. Apetite ao Risco

Refere-se à predisposição de uma determinada organização, ou grupo de acionistas, a aceitarem determinados níveis de risco em suas operações.

Apetite pelo risco: segundo a ISO 31.000, consiste na “dimensão e tipos de riscos” que uma organização está preparada para buscar, manter ou assumir.

Aversão ao risco: atitude de afastar-se dos riscos.

De acordo com a 5 ª edição do Guia PMBOK, o apetite de risco é o grau de incerteza que a entidade está disposta a assumir, em antecipação de uma recompensa.

O apetite de risco de uma organização mostra o quanto uma organização está disposta a assumir um risco, a fim de crescer. É a quantidade de risco que uma organização está disposta a aceitar para atingir seu objetivo de negócios.

 

19. Tolerância ao Risco

De acordo com a 5ª edição do Guia PMBOK, tolerância ao risco é o grau, quantidade ou volume de risco de que uma organização ou indivíduo irá suportar.

Tolerância ao risco lhe diz o quão sensível a organização ou as pessoas são aos riscos. Alta tolerância significa que a organização pode suportar um risco elevado e baixa tolerância significa que a organização não conseguirá suportar muito risco. Ela também diz respeito à resiliência / capacidade financeira que a empresa tem para suportar perdas.

Enquanto “apetite ao risco” está associado ao nível de risco que a organização pode aceitar na busca e realização de sua missão / visão, retorno sobre o investimento, “tolerância ao risco” diz respeito ao nível aceitável de variabilidade na realização das metas, objetivos definidos (atividade mais associada ao monitoramento, e suportabilidade / capacidade de absorção das perdas.

O apetite de risco pode ser considerado como uma tendência de um indivíduo ou grupo de pessoas para assumir riscos.

Tolerância ao risco é uma variação aceitável, por exemplo entre 5% e –5%. A tolerância é um limite de suportabilidade.

Caberá ao Comitê de Administração, ou Diretoria Executiva na inexistência do CA, a discussão e a clara definição do apetite aos riscos da organização e a direção adequada a ser sugerida como orientação emanada da alta administração.

A este comitê também caberá sugerir os limites de tolerância aos diferentes riscos identificados como aceitáveis pelo conselho de administração.

Os limites constituirão a ferramenta para a área executiva conduzir as políticas da empresa.

 

20. Capacidade global de tomada de risco

É a capacidade máxima que uma empresa possui para suportar determinado isco. Esta capacidade está intimamente ligada a sua resiliência financeira.

 

21. Cultura de Risco

Refere-se à postura adotada por determinada organização para lidar com riscos. Ela define o grau de sensibilidade com que determinada organização trata riscos e como ela leva em conta os fatores de risco para tomar determinadas decisões.

À medida que as empresas ganham mais maturidade nesta questão, elas são capazes de levar em conta os fatores de risco em suas decisões de forma quase que automática. Todos os executivos reconhecem a importância do tema e levam em consideração para o seu processo de tomada de decisão.

Atitude perante o risco: segundo a ISO 31.000, representa a abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do mesmo.

 

22. Perigo

Como indicado anteriormente, Perigo (condição insegura) – expressa uma exposição relativa a um risco, que leva a sua materialização em danos pessoais ou materiais.

Normalmente, perigo está ligado a situações de risco que podem gerar ameaças ou consequências graves para a vida ou segurança física das pessoas.

 

23. Vulnerabilidades

Refere-se às falhas ou deficiências existentes em nossos sistemas de proteção. Estes sistemas incluem:

1. Capital Intelectual – são os recursos humanos e suas competências essenciais necessárias para performarem adequadamente suas funções

2. Recursos Materiais – refere-se aos softwares, hardwares e infraestrutura empregada para operar os sistemas de segurança e monitoramento de riscos (sensores, detectores, monitoradores, bloqueadores, etc..) e infraestrutura / lay out físico.

3. Normas e procedimentos – conjunto de normas e procedimentos que definem processos e forma de agir dos recursos humanos para a consecução de determinada tarefa) que atuando em conjunto visam impedir ou mitigar a concretização de determinado risco ou conjunto de riscos. São as políticas, os planos, os procedimentos operacionais padrão, fluxogramas, etc… que servem para fazer a ligação entre o capital intelectual e a tecnologia, assegurando que a operação ocorra dentro de um nível de risco aceitável e de forma eficiente e eficaz. Além disto, modelam o comportamento das pessoas de acordo com os valores da organização.

4. Cultura Organizacional – grau de resiliência da cultura organizacional referente ao tema avaliado, ou seja, como as pessoas aceitam e aderem espontaneamente às ações que visam diminuir os riscos de determinada organização.

5. Capacidade de Gestão – Refere-se à capacidade de controle dos processos, dos procesos de gestão de risco e de seus indicadores críticos de forma contínua e aderente ao nível de apetite e Tolerância ao Riscos adequados.

 

24. Fator de Risco

Fator de Risco está intimamente ligado às deficiências dos sistemas de proteção ou variáveis que influenciam diretamente a potencialização de determinado risco. Na maioria das vezes os fatores de riscos são vulnerabilidades nos sistemas de proteção.

 

25. Origem do Risco

A origem do Risco está ligada diretamente a causa ignitora deste risco ou a sua ameaça, agente interno ou externo, humano ou não humano que é responsável por performar uma atividade ou ação que poderá gerar a destruição de valor e a concretização de determinado risco. São as principais causas de ocorrência de um risco.

 

26. Ameaças

Ameaças são consideradas todos os agentes capazes de performar qualquer ação que possa culminar com a concretização de determinado risco.

As ameaças são os agentes que causam ou permitem que os riscos possam ocorrer.

As ameaças podem ser externas ou internas a uma organização. Não necessariamente é um agente humano. O raio é um exemplo claro de ameaça (oriunda de agente não humano) que pode causar um risco de incêndio.

 

27. Análise de Risco

Análise de risco é o processo composto das seguintes fases:

1. – Levantamento dos riscos

2. – Identificação dos riscos críticos

3. – Avaliação e classificação dos mesmos

Tais informações subsidiarão as fases seguintes:

1. – Análise das vulnerabilidades (gaps nos sistemas de proteção)

2. – Análise custos X benefício das soluções

3. – Definição dos riscos a serem eliminados, assumidos e transferidos

– Confecção dos planos de ação para diminuir os gaps identificados

1. – Priorização da implementação das soluções

O primeiro passo para definir qual tratamento será dado a cada risco consiste em determinar o grau de exposição da organização àquele risco, e seu efeito potencial – a probabilidade de ocorrência e o impacto das potenciais perdas.

Em geral, os impactos são medidos pelos prejuízos financeiros, no período de tempo. Entretanto, é importante incorporar na análise os impactos mais difíceis de mensurar – imagem, mercado, retenção de pessoas e muitas outras.

A quantificação do grau de exposição nem sempre é trivial, podendo haver interdependência entre os riscos. Assim, um determinado evento pode gerar “impactos múltiplos”, com efeitos sobre diferentes tipos de riscos, em diversas áreas.

Neste caso, o grau de exposição irá depender do impacto financeiro consolidado e da probabilidade conjunta de todos os eventos.

 

28. Retenção de Risco

Refere-se ao fato da organização assumir toda responsabilidade pelo pagamento das consequências de determinado risco, sem realizar qualquer forma de transferência (seguro, hedge, mútuo, etc..)

 

29. Tratamento dos Riscos

Partindo-se do princípio de que não existe atividade sem riscos, a alternativa é administrá-los segundo tratamento adequado a cada caso.

Para tal poderemos optar por eliminar operações que não estejam de acordo com o apetite de risco da organização, trabalhar na sua prevenção ou no seu tratamento trazendo-os para um patamar de risco aceitável.

Após tratá-los, eles passam a ser considerados riscos residuais. Só então, eles devem ser transferidos. Transferir riscos sem tratá-los, significa assumir custos altos de prêmios de seguros. Logo, é de bom alvitre que somente os riscos sejam tratados antes de serem inseridos em programas de seguros.

A Gestão de Riscos tem de oferecer medidas práticas e eficazes, com base na redução do índice de vulnerabilidade existente interferindo o mínimo possível no dia a dia da empresa.

Os custos da gestão de risco não podem ser maiores do que o custo da concretização do risco, bem como as medidas de gestão de riscos não podem ser impeditivos para que a empresa cumpra a sua missão ou entregue a sua proposta de valor.

Cabe lembrar, que todo risco, após sua concretização, possui consequências diretas e indiretas, atinge ativos tangíveis (imóveis, utensílios etc…) e ativos intangíveis (marca, imagem, credibilidade etc…). Logo, é importante levar em consideração os efeitos dos ativos intangíveis no cálculo do custo da solução a ser empregada para mitigá-los.

A contratação de seguro é uma das formas mais conhecidas de financiamento de risco, constituindo-se em um mecanismo de transferência ou de compartilhamento de risco.

Na realidade o efeito deste risco é diluído por aqueles que contratam o mesmo tipo de seguro. O risco encontra-se “mutualizado” pelas diversas empresas que compõem aquela carteira.

Alternativamente, a empresa pode decidir por assumir (totalmente ou parcialmente) os riscos e estabelecer um fundo com recursos financeiros próprios para suportar eventuais perdas. Caso não ocorram, o recurso é convertido em lucro.

Nesse caso, é importante certificar se está lidando com riscos residuais, ou seja, diminuir ao máximo o nível de vulnerabilidade em seus sistemas de proteção referentes a estes riscos. Um dos erros mais comuns em gestão de risco consiste na adoção de processos de transferência de riscos sem antes tratá-los. Neste caso dizemos que está sendo transferido o risco puro.

A empresa pode decidir eliminar ou evitar determinado risco declinando da operação ou do negócio que traria este risco.

Partindo-se do princípio de que não existe atividade sem riscos, a alternativa é administrá-los, de forma que se possa dar o tratamento adequado. Para tal, poderemos trabalhar na sua prevenção ou no seu tratamento. Por meio da prevenção poderemos eliminá-los quando o solucionamos por completo ou reduzi-los através de medidas ou de instalação de equipamento especifico capaz de reduzir sua consecução. Por vezes torna-se impossível o tratamento eficaz do risco ou ele está intimamente ligado a natureza do negócio em questão, sendo assim necessária uma forma de financiamento deste risco.

Dentre as formas mais conhecidas de financiamento de risco temos a contratação de seguro. Quando a empresa contrata uma seguradora, na realidade ela está financiando o seu risco. O seguro possui 2 finalidades básicas: repor a perda e proteger o fluxo de caixa da empresa. Por vezes a concretização do risco pode assumir proporções de tal monta que geraria um impacto catastrófico para a empresa, podendo inclusive colocá-la em um estágio falimentar. Quando a empresa contrata a seguradora, ela na realidade transfere / compartilha o seu risco de forma mutualizada com os demais assegurados. Entretanto, a empresa pode decidir por assumir a gestão financeira referente a reposição da perda do seu risco. Neste caso ela inicia algumas medidas preventivas para reduzir o risco e paralelamente recolhe uma quantia toda vez que vai iniciar a atividade de risco; como se fosse o recolhimento executado pela seguradora. Desta maneira ela faz o auto-seguro, ou seja, caso ocorra a sinistralidade ela mesmo paga / repõe a perda, caso não ocorram sinistros, o dinheiro que seria pago a seguradora retornando ao seu caixa na forma de saving.

 

30. Limite de Retenção

É o limite entre o que será transferido para um programa de seguro e o que será absorvido pela organização, ou seja, a partir de qual valor o risco será coberto por uma apólice de seguro. Abaixo deste valor a empresa não possui cobertura e ela deve suportar o impacto deste risco.

 

31. Riscos Catastróficos

São riscos que podem causar a extinção do negócio por ultrapassar sua capacidade financeira ou pelo desgaste contundente em sua imagem, credibilidade ou reputação.

 

32. Crash Numbers

São auditores ou consultores que aplicam diretamente as Planilhas de Análise de Riscos Parametrizadas para fazerem as avaliações dos sistemas de proteção.