Please enable JavaScript.
Coggle requires JavaScript to display documents.
GESTÃO DE RISCOS - Coggle Diagram
GESTÃO DE RISCOS
TÉCNICAS PARA
GESTÃO DE RISCOS
A
MATRIZ DE RISCOS
é conhecida como “matriz de probabilidade/consequência”
PRIORIZAÇÃO DE PROCESSOS
Ainda que a gestão de riscos deva ser parte integrante de todos os processos organizacionais (princípio previsto pela ISO 31000), ela
não deve ser aplicada a todos os seus processos com a mesma intensidade
, visto que os recursos da organização são limitados.
FATORES
a)
relevância estratégica
do processo.
b)
materialidade
, que indica a representatividade dos recursos financeiros alocados ao processo
c)
maturidade
do processo
BRAINSTORMING
Útil para
identificar riscos
de novas atividades, novas tecnologias ou em situações em que não há dados disponíveis.
ENTREVISTAS
O produto gerado é a visão dos entrevistados sobre as questões propostas, as quais buscam normalmente i
dentificar eventos de risco, fontes, consequências e controles
.
DELPHI
Aplicável em
qualquer etapa do processo
, em especial na
identificação, análise e avaliação
ANÁLISE PRELIMINAR DE PERIGOS (APP)
Os participantes consideram as informações existentes, tais como atividades, recursos, ambiente, interfaces entre os diversos elementos e os objetivos a alcançar e produzem, de comum acordo, uma
lista de situações perigosas ou de riscos.
(PERCEPÇÕES DE RISCO)
LISTAS DE VERIFICAÇÃO
Uso de listas pré-existentes de perigos ou riscos, como instrumento de apoio a outras técnicas de avaliação de riscos.
ANÁLISE DE CAUSA RAIZ
Tenta identificar a raiz ou causas originais ao invés de lidar somente com os sintomas imediatos e óbvios.
Pode ser utilizada desde a etapa de
análise dos riscos
, na qual contribui para a estimativa da probabilidade, até a etapa de
tratamento dos riscos
, na qual permite direcionar ações para as causas principais
TÉCNICA “E SE” ESTRUTURADA (SWIFT)
É o exame sistemático, realizado em equipe, para
identificação de riscos
de desvios em um processo, sistema ou atividade
Os resultados da aplicação da técnica geralmente são:
listas de possíveis eventos
,
fontes de riscos
, c
onsequências e controles
, bem como de
ações de tratamento priorizadas.
ANÁLISE BOW TIE
Técnica que busca analisar e descrever os caminhos de um evento de risco, desde suas
causas até as consequências
, por meio de uma representação pictográfica semelhante a uma gravata borboleta (bow tie)
O produto resultante dessa análise é o próprio diagrama esquemático gerado, bem como as informações a ele associadas que foram identificadas:
evento de risco, fontes, causas, controles preventivos ou intensificadores (oportunidades / riscos positivos) e controles reativos de atenuação.
ANÁLISE DE DECISÃO POR MULTICRITÉRIO (MCDA)
Essa técnica tem o objetivo geral de
classificar um conjunto de opções por ordem de valor ou prioridade
, a partir da percepção de um grupo de pessoas.
Diferentes métodos podem ser usados para a ponderação dos fatores e para a agregação das notas das opções. O método Analytic Hierarchy Process (AHP) é comumente utilizado para esse tipo de análise
Na gestão de riscos, a técnica pode ser útil para
classificar riscos ou priorizar ações de tratamento
, entre outras aplicações.
PENSAMENTO SISTÊMICO
Conjunto de conceitos, comportamentos e ferramentas que auxiliam na compreensão de estruturas interdependentes de sistemas complexos.
PROCESSO DE GESTÃO DE RISCOS
ISO 31.000
1 COMUNICAÇÃO E CONSULTA
Durante todas as etapas ou atividades
da aplicação do processo de gestão de riscos deve haver comunicação informativa e consultiva entre a organização e as partes interessadas, internas e externas
Garantir que todos os
envolvidos estejam cientes de seus papéis e responsabilidade
s, e avalizem e apoiem o tratamento dos riscos.
Auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente,
reunindo áreas diferentes de especialização
2 ESTABELECIMENTO DO CONTEXTO
Envolve o
entendimento da organização, dos objetivos e do ambiente
no qual os objetivos são perseguidos, com o fim de obter uma visão abrangente dos fatores que podem influenciar a capacidade da organização para atingir seus objetivos
Fatores do ambiente, interno e externo (SWOT)
Identificação das partes interessadas ( matriz RECI (RACI matrix ou chart, em inglês) e matriz de responsabilidades)
Conjunto de critérios mais importantes para analisar e avaliar os níveis de risco
3 IDENTIFICAÇÃO DE RISCOS
Processo de
busca, reconhecimento e descrição dos riscos
, tendo por base o contexto estabelecido e apoiando-se na comunicação e consulta com as partes interessadas internas e externas
Lista abrangente de riscos, incluindo fontes e eventos de risco que possam ter algum impacto na consecução dos objetivos identificados
Descrição de cada risco, pelo menos com a fonte de risco, as causas, o evento e as consequências.
4 ANÁLISE DE RISCOS
Processo de
compreender a natureza e determinar o nível de risco
, de modo a subsidiar a avaliação e o tratamento de riscos
NÍVEL DE RISCO = PROBABILIDADE X IMPACTO
O método e o nível de detalhamento da análise podem ser influenciados pelos objetivos, pela natureza do risco, pela disponibilidade de informações e de recursos.
PRODUTOS: nível de risco inerente e residual
Nível de risco inerente
Nível de risco antes da consideração das respostas que a Administração adota para reduzir a probabilidade do evento ou os seus impactos nos objetivos
Nível de risco residual
Risco que ainda permanece depois de considerado o efeito das respostas adotadas pela gestão para reduzir a probabilidade e o impacto dos riscos, incluindo controles internos e outras ações
Risco de controle = 1 – Nível de confiança
Nível de risco residual = Nível de risco inerente x Risco do Controle
Nível de confiança
Estabelecido mediante análise dos atributos do desenho e da implementação do controle
5 AVALIAÇÃO DE RISCOS
A finalidade da avaliação de riscos é auxiliar na tomada de decisões, com base nos resultados da análise de riscos, sobre
quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento
(a) se um determinado risco precisa de tratamento e a prioridade para isso
(b) se uma determinada atividade deve ser realizada ou descontinuada
(c) se controles internos devem ser implementados ou, se já existirem, se devem ser modificados, mantidos ou eliminados
Envolve comparar o nível de risco com os critérios de risco estabelecidos quando o contexto foi considerado: aceitável ou tolerável ou se algum tratamento é exigido
PRIORIZA
6 TRATAMENTO DE RISCOS
Envolve a
seleção de uma ou mais opções para modificar o nível de cada risco
e a elaboração de
planos de tratamento
que, uma vez implementados, implicarão em novos controles ou modificação dos existentes
Opções de tratamento
Evitar
decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto sujeito ao risco.
Reduzir (mitigar)
adotar medidas para reduzir a probabilidade ou a consequência dos riscos ou até mesmo ambos
Transferir (compartilhar)
por meio da transferência ou compartilhamento de uma parte do risco, mediante contratação de seguros ou terceirização de atividades nas quais a organização não tem suficiente domínio.
Aceitar (tolerar)
é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a consequência do risco. Ocorre quando o risco está dentro do nível de tolerância
O processo de tratamento é cíclico e inclui
a) avaliação do tratamento já realizado
b) avaliação se os níveis de risco residual são toleráveis
c) se não forem, definição e implementação de tratamento adicional; e
d) avaliação da eficácia desse tratamento
Conforme o PMBOK (6º edição) são 5 estratégias para ameaças (riscos negativos):
Escalar
. (Subir/ascender o risco para alta administração).
A escalação é apropriada quando a equipe do projeto ou o seu patrocinador concorda que uma ameaça está fora do escopo do projeto ou que a resposta proposta exceda a autoridade do gerente do projeto.
A estratégia de escalar o risco é uma das novidades do PMBOK (6º edição)
Prevenir.
A prevenção de riscos ocorre quando a equipe do projeto atua para
eliminar a ameaça ou proteger o projeto de seu impacto
. Pode ser apropriado para ameaças de alta prioridade com alta probabilidade de ocorrência e um impacto negativo importante.
Transferir
. (envolve um pagamento de um prêmio – ex: seguros)
A transferência envolve passar a responsabilidade de uma ameaça a terceiros para gerenciar o risco e suportar o impacto, caso a ameaça ocorra.
Mitigar.
Na mitigação de riscos a ação é realizada para r
eduzir a probabilidade de ocorrência e/ou o impacto de uma ameaça
. A ação de mitigação antecipada é quase sempre mais efetiva do que tentar reparar o dano depois que a ameaça ocorreu.
Aceitar.
A aceitação de risco reconhece a existência de uma ameaça, mas nenhuma ação proativa é tomada. Essa estratégia pode ser correta para ameaças de baixa prioridade e também pode ser adotada quando não é possível, nem econômico, resolver a ameaça de qualquer outra forma.
7 MONITORAMENTO E ANÁLISE CRÍTICA
etapa essencial da gestão de riscos e tem por finalidade
(a) detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco
(b) obter informações adicionais para melhorar a política, a estrutura e o processo de gestão de riscos
(c) analisar eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e fracassos e aprender com eles
(d) assegurar que os controles sejam eficazes e eficientes no projeto e na operação
As responsabilidades relativas ao monitoramento e à análise crítica devem estar claramente definidas na política e detalhadas nos planos, manuais ou normativos
a)
monitoramento contínuo
(ou pelo menos, frequente) pelas funções que gerenciam e têm propriedade de riscos e pelas funções que supervisionam riscos
b)
análise crítica dos riscos e seus tratamentos
realizada pelas funções que gerenciam e têm propriedade de riscos e/ou pelas funções que supervisionam riscos, por meio de autoavaliação de riscos e controles
c)
auditorias
realizadas pelas funções que fornecem
avaliações independentes
, seja por meio de auditoria interna ou externa
Abordagem das Três Linhas de Defesa
1o) Funções que gerenciam e têm propriedade de riscos
UORG
2o) Funções que supervisionam riscos
CGE
3o) Funções que fornecem avaliações independentes
auditoria interna
BOAS PRÁTICAS
ISO 31000 Estratégia de implantação da gestão de riscos
Delegação e o compromisso
Concepção do Framework
/ modelo / estrutura de gestão de riscos
Implementação da gestão de risco
Monitoramento e revisão do framework
Melhoria contínua do framework.
POLÍTICA DE GESTÃO DE RISCOS
CGU (Controladoria-Geral da União): Destaca a importância de
processos de comunicação claros e de uma cultura organizacional que suporte a gestão de riscos
.
Práticas recomendadas
Cultura de Risco
: Promover uma cultura organizacional que reconheça a importância da gestão de riscos em todos os níveis da organização.
Treinamento e Capacitação
: Oferecer programas de capacitação para gestores e equipes, garantindo que todos compreendam e sejam capazes de aplicar as práticas de gestão de riscos
Documentação e Transparência
: Manter registros detalhados e transparentes das atividades de gestão de riscos, facilitando auditorias e análises futuras.
Uso de Tecnologia
: Integrar sistemas de informação e softwares específicos para a gestão de riscos, permitindo um monitoramento mais preciso e em tempo real.
10 PASSOS BOA GESTÃO DE RISCOS - TCU
1
Decida gerenciar riscos de forma proativa
2
Aprenda sobre gestão de riscos
3
Defina papéis e responsabilidades
4
Estabeleça a política de gestão de riscos
5
Defina o processo de gestão de riscos
6
Identifique os riscos-chave
7
Trate e monitore os riscos-chave
8
Mantenha canais de comunicação com as partes interessadas
9
Incorpore a gestão de riscos aos processos organizacionais
10
Avalie e aprimore a gestão de riscos
MODELOS NACIONAIS E INTERNACIONAIS
ISO 31000 – Gestão de Riscos – Princípios e Diretrizes
: Padrão internacional amplamente adotado para gestão de riscos, fornece diretrizes genéricas e flexíveis.
COSO ERM
(Enterprise Risk Management): Modelo de gestão de riscos corporativos que integra a gestão de riscos à estratégia organizacional.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de modo eficaz, no contexto dos objetivos e da estrutura de cada organização.
Modelo proporciona maior alinhamento às expectativas em torno das responsabilidades das instâncias de governança e da alta administração no cumprimento das suas obrigações de accountability.
DIMENSÕES
(1) missão, visão e valores centrais
(2) objetivos estratégicos e de negócios
(3) desempenho organizacional
PMBOK
: Aborda a gestão de riscos no contexto de gerenciamento de projetos, estabelecendo práticas recomendadas
INTEGRAÇÃO AO PLANEJAMENTO
ISO 31000 e COSO: Ambos destacam a
importância de integrar a gestão de riscos ao processo de planejamento estratégico
, garantindo que os riscos sejam considerados na definição de objetivos e na alocação de recursos.
PMBOK: Enfatiza a necessidade de
incorporar a gestão de riscos ao planejamento de projetos
para mitigar impactos negativos.
Os riscos devem ser considerados desde o início do processo de planejamento e incorporados em todas as etapas subsequentes
Identificação de riscos durante a formulação da estratégia
Ao desenvolver a estratégia da organização, é importante identificar os riscos potenciais que podem afetar a sua implementação.
Análise de riscos durante o desenvolvimento do plano de ação
Ao elaborar o plano de ação para implementar a estratégia, os riscos devem ser analisados para garantir que sejam considerados na alocação de recursos e na definição de metas.
Avaliação de riscos durante a revisão e monitoramento do plano
Durante a implementação do plano, os riscos devem ser continuamente avaliados e monitorados para garantir que sejam gerenciados de forma eficaz e que não afetem adversamente o alcance dos objetivos estratégicos.
PRINCÍPIOS
ISO 31.000
a)
Criação e Proteção de Valor
: A gestão de riscos deve contribuir para a criação e proteção de valor dentro da organização
b)
Integração
: Os processos de gestão de riscos devem ser integrados às práticas e processos organizacionais, particularmente ao planejamento estratégico.
c) Parte da tomada de decisões
d) Aborda explicitamente a incerteza
e) Sistemática, estruturada e oportuna
Estruturação e Abrangência
: A gestão de riscos deve ser estruturada e estar alinhada aos objetivos da organização, cobrindo uma ampla gama de riscos, incluindo operacionais, financeiros, estratégicos e de conformidade.
f) Baseada nas melhores informações disponíveis
g)
Feita sob medida / Customização
: Cada organização deve adaptar os processos de gestão de riscos ao seu contexto específico, levando em consideração fatores como cultura, setor de atuação e tamanho da organização
h) Considera fatores humanos e culturais
i) Transparente e inclusiva
Participação de Stakeholders:
Envolver partes interessadas no processo de gestão de riscos é essencial para garantir a relevância e eficácia das ações tomadas.
j) Dinâmica, interativa e capaz de reagir a mudanças
k) Facilita a melhoria contínua da organização
Representam
condições que precisam estar incorporadas à estrutura e ao processo para que a gestão de riscos seja eficaz
e se torne parte da cultura da organização, traduzindo-se em um conjunto compartilhado de atitudes, valores e comportamentos que caracterizam como a organização aborda o risco.
CONCEITOS
RISCO
é o
efeito da incerteza sobre objetivos estabelecidos
. É a
possibilidade de ocorrência
de eventos que afetem a realização ou alcance dos objetivos, combinada com o
impacto dessa ocorrência
sobre os resultados pretendidos.
GESTÃO DE RISCOS
consiste em um conjunto de atividades coordenadas para i
dentificar, analisar, avaliar, tratar e monitorar riscos
. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos.
OBJETOS
ISO 31.000: Estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos (ABNT, 2009)