Risco é qualquer acontecimento que pode ocorrer e modificar o resultado de uma atividade.

A finalidade da Administração de riscos é aumentar a probabilidade e os impactos dos eventos positivos e reduzir a probabilidade dos impactos negativos.

A administração de risco não é estática mais sim uma ação continuada em que há interação todo tempo e que permeia toda a organização. Essas ações são inerentes à forma que a alta administração gerencia a organização.

A filosofia da administração de uma organização é representada pelo conjunto de convicções e atitudes que caracterizam a forma da organização considerar risco desde a estratégia até suas atividades do dia-a-dia. Reflete seus valores, cultura e influencia como são identificados os riscos, quais são aceitáveis e como são administrados.

Aqui neste texto considero critérios e técnicas para a execução do Processo de Administração de Riscos com base na obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of Sponsoring Organizations of The Treadway Commission (COSO).

Esta metodologia, esta dividida em oito componentes inter-relacionados e integrados com o processo de gestão das Organizações como segue abaixo.

AMBIENTE INTERNO

O ambiente interno é a base para todos os outros componentes. É o conjunto de convicções, valores, competências e atitudes, ou seja, compreende o tom da organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.

FIXAÇÃO DE OBJETIVOS

Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.

IDENTIFICAÇÃO DE EVENTOS

Este componente identifica os potenciais eventos que, se ocorrerem afetarão a capacidade de alcançar adequadamente os objetivos estabelecidos.

Os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para a administração utilizar nos processos de estabelecimento de estratégias ou de seus objetivos. E os Riscos devem ser avaliados e construídas respostas a eles.

AVALIAÇÃO DE RISCO

Os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes (logo que identificado) ou residuais (depois de tratado).

Aqui serão verificadas vulnerabilidades (fontes de risco) relativas a pessoal, processos, sistemas, infraestrutura física e organizacional, tecnologia utilizada, e eventos não gerenciáveis (eventos externos) e suas conseqüência para cada risco listado. Seguindo deste ponto, será atribuído o grau qualitativo da probabilidade e o grau qualitativo do impacto para então, a partir da combinação dos fatores de probabilidade X impacto ser gerada a matriz de risco indicando a magnitude de cada risco inerente a cada objetivo. Quanto maior a magnitude do risco maior será a prioridade em tratá-lo.

RESPOSTA A RISCO

A administração escolhe as estratégia ou respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o seu apetite a risco.

ATIVIDADE DE CONTROLE

Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia quando a estratégia escolhida é a de mitigação.

INFORMAÇÃO E COMUNICAÇÃO

As informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis da organização.

MONITORAMENTO

O monitoramento deve ser planejado como parte do processo e deve realizar checagem e vigilância regulares, ou seja, deve validar se os planos de ação propostos foram executados, acompanhar a evolução das condições de risco e se sofreram mudanças, apresentação de relatórios indicando a eficácia ou inexistência de controles.

EM RESUMO, COMO FUNCIONA TODO O PROCESSO?

A Alta Administração deve utilizar o Planejamento Estratégico e/ou Plano de Gestão para fixar os objetivos do processo, cuja Administração de Riscos será executada e alinhando-os aos objetivos estratégicos da organização. Esse alinhamento é imprescindível para que os processos que dão suporte a organização, possam efetivamente contribuir para o atingimento das metas e objetivos traçados no seu planejamento estratégico.

Cabe lembrar que cada objetivo do processo incorre em, pelo menos, um risco.

Entretanto, cada risco pode ser concretizado/manifestado pela influência de um ou mais fatores de risco (causas), bem como gerar uma ou mais consequências nos objetivos do processo.

Os riscos evoluem ao longo tempo e do Processo de Administração de Riscos, à medida que são analisados. Em uma primeira análise, sem qualquer ação de controle, são considerados riscos inerentes.

Após analise e indicação de tratamento para dar uma resposta ao risco, desenha-se controles preventivos, controles detectivos e planos de ação, quando a estratégia escolhida for a mitigação do risco. A partir desse ponto já se vê um novo grau de criticidade do risco, passando a chamar-se de risco residual estimado.

No entanto, no Processo de Administração de Riscos, é necessário monitorar a implementação dos diversos planos e ações propostas, nos quais se incluem a elaboração, aperfeiçoamento e implementação dos controles internos e dos planos de contingência. Assim, o gestor reavalia os riscos, com base nas ações de monitoramento, concluindo por um grau de criticidade mais próximo da real. Nesse ponto, o risco passa a ser denominado de risco residual efetivo.

A partir da conclusão da execução das oito etapas do Processo de Administração de Riscos, o gestor, com certeza, terá informações mais precisas para a sua tomada de decisão.

Logo, a importância para o gestor integrar a Administração de Riscos em todos os níveis da Gestão dos Processos Organizacionais é clara.