Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
O ISO Guide 73, como eu o chamarei nesta coluna para fins de simplificação, define
29 termos da Gestão de Riscos, os quais foram agrupados nas seguintes categorias:
a) Termos básicos; b) Termos relacionados a pessoas ou organizações afetadas por
riscos; c) Termos relacionados à avaliação de riscos; d) Termos relacionados ao
tratamento e controle de riscos.
As definições não foram elaboradas para cada área de aplicação da GR. Cada
definição procura ser genérica e a mais ampla possível. O conteúdo do guia é muito
mais que um simples "vocabulário", pois permite aos usuários terem uma boa idéia do
que é a Gestão de Riscos.
Os membros do grupo de trabalho que elaborou o ISO Guide 73 esperam que, com
esse guia, profissionais e especialistas das mais diversas áreas (finanças, segurança,
saúde, meio ambiente etc) consigam agora se entender e falar, finalmente, a mesma
linguagem...
Nestes últimos anos, a Gestão de Riscos, de maneira geral, tem buscado alcançar o
adequado balanceamento entre aproveitar as oportunidades de ganho e minimizar os
impactos adversos. A "nova" GR é parte integrante das boas práticas de gestão
empresarial e é um elemento essencial da chamada Governança Corporativa. É
desenvolvida como um processo iterativo, composto de etapas seqüenciais, de modo
a permitir a melhoria contínua da tomada de decisões e do desempenho da
organização.
Para ser eficaz, a GR deve estar "incrustada" na cultura da organização, nas suas
práticas e em seus processos de negócio. Não deve ser vista ou praticada como uma
atividade separada. Vários são os exemplos de métodos e técnicas, novos e
consagrados, que podem ser utilizados nesse contexto atual da Gestão de Riscos.
Para dar uma idéia a vocês, vou relacionar a seguir alguns deles, classificados de
acordo com o seu uso mais freqüente:
Riscos "positivos"
• Brainstorning
• Questionários • Pesquisas de mercado
• Benchmarking • Testes de marketing
• Análise de cenários • Pesquisa & Desenvolvimento
• Reuniões de avaliação de riscos • Análise de impactos do negócio
• Investigação de incidentes
• Auditoria e inspeção Riscos "negativos"
Ambos
Pode-se realizar uma análise preliminar, a fim de que riscos semelhantes ou de baixo
impacto sejam excluídos de um estudo mais detalhado. Os riscos excluídos devem ser
listados, na medida do possível, a fim de demonstrar a totalidade da análise de riscos.
Conseqüências e probabilidades
a) Registros anteriores;
b) Experiências pertinentes;
c) Prática e experiência do setor da indústria;
d) Publicações pertinentes;
e) Teste de marketing e pesquisa de mercado;
f) Experimentos e protótipos;
g) Modelos econômicos, modelos de engenharia e outros;
h) Opinião de especialistas e peritos.
As técnicas incluem:
Tipos de análise
A análise de riscos pode ser conduzida com vários graus de refinamento, dependendo
das informações e dados disponíveis. As análises podem ser: qualitativas, semi-
quantitativas, quantitativas ou uma combinação das mesmas, dependendo das
circunstâncias. Classificando-se as análises em ordem crescente de complexidade e
custos, tem-se: as qualitativas, as semi-quantitativas e as quantitativas. Na prática,
geralmente utiliza-se a análise qualitativa em primeiro lugar, a fim de se obter uma
indicação geral do nível de risco. Posteriormente, pode ser necessário realizar análises
quantitativas mais específicas. A seguir, são apresentados esses tipos de análise com
mais detalhes.
a) Análise qualitativa
i) como uma atividade de prospecção inicial para a identificação dos riscos que
requerem uma análise mais detalhada;
ii) quando o nível de risco não justifica o tempo e os esforços necessários para uma
análise mais completa; ou
iii) quando os dados numéricos são insuficientes para uma análise quantitativa.
b) Análise semi-quantitativa
Deve-se tomar cuidado com o uso desse tipo de análise, pois os números escolhidos
podem não refletir adequadamente os aspectos relativos, o que pode levar a
resultados inconsistentes. A análise semi-quantitativa pode ser insuficiente para
diferenciar os riscos apropriadamente, principalmente se a probabilidade e as
conseqüências forem extremas.
Em alguns casos, pode ser necessário considerar a probabilidade subjetiva como sendo
composta por dois elementos, geralmente chamados de freqüência de exposição e
probabilidade objetiva.
Freqüência de exposição é o grau até o qual existe uma fonte de risco e a
probabilidade objetiva é a chance de haver conseqüências, no caso de tal fonte de
risco existir.
Deve-se tomar cuidado nas situações em que a relação entre os dois elementos não é
totalmente independente, ou seja, quando houver uma forte relação entre a freqüência
de exposição e a probabilidade objetiva.
Essa abordagem pode ser aplicada tanto à análise semi-quantitativa quanto à análise
quantitativa.
c) Análise quantitativa
Na análise quantitativa, utilizam-se valores numéricos (em vez das escalas descritivas
utilizadas nas análises qualitativas e semi-quantitativas), tanto para as conseqüências
quanto para as probabilidades. A qualidade da análise depende da precisão e da
abrangência dos valores numéricos utilizados.
• Eventos negativos com impactos que vão desde um pequeno transtorno até
uma catástrofe podem afetar sua empresa onde quer que ela esteja localizada.
• Eventos negativos podem assumir diversas formas, sendo que cada evento
afetará uma organização de maneira diferente, causando um impacto que
poderá significar um pequeno transtorno para uma e uma grande catástrofe
para outra.
Com isso em mente, é importante lembrar que um fator de risco que se transforme em
um evento negativo real tem a possibilidade de transtornar os processos de sua
organização, deixando-a incapaz de atender aos requisitos dos clientes. O ponto
principal de um Sistema de Gestão da Qualidade (SGQ) é buscar a satisfação dos
clientes sob quaisquer circunstâncias.
Infelizmente, a série ISO 9000:2000 não aborda diretamente a gestão dos riscos que
podem afetar as organizações e a qualidade do produto. Evidentemente, não
deveríamos esperar que a ISO 9001:2000, Sistemas de gestão da qualidade -
Requisitos, exigisse a avaliação de riscos; afinal, ela é uma norma genérica para SGQs,
enquanto que o risco não é nem genérico nem um elemento básico do SGQ. Já a ISO
9004:2000, Sistemas de gestão da qualidade - Diretrizes para melhorias de
desempenho, dá algumas "pistas" para o desenvolvimento do processo de
gerenciamento de riscos, especialmente nas seções 6.3 (Infra-estrutura) e 6.4
(Ambiente de trabalho).
Isso não significa necessariamente uma falha, pois os criadores da série ISO 9000,
edição 2000, diluíram de certa forma a Gestão de Riscos em várias seções das normas
que compõem a série. Trata-se de uma abordagem prática, pois um risco não assume
uma forma única nem afeta um único processo ou elemento do SGQ.
Como existe a possibilidade de que um risco afete a qualidade - e até mesmo a própria
existência da organização -, explorarei alguns riscos que podem causar impacto sobre
os processos da organização. Darei também algumas sugestões sobre maneiras de
como gerenciar os riscos no contexto do SGQ.
A Tabela 1 fornece uma lista de alguns riscos que podem afetar uma organização. Não
chega a ser uma lista completa; porém, mais assustador do que essa lista é a total
falta de atenção e preparo de muitas organizações quanto a perdas inesperadas. É
bem provável que você trabalhe numa empresa ou conheça uma organização com uma
mentalidade do tipo "não vai acontecer conosco", em relação a possíveis riscos que,
além de afetar a qualidade do produto caso ocorra uma perda, podem causar o
fechamento definitivo da empresa e deixar seus donos endividados para o resto da
vida.
Uma organização inteligente, qualquer que seja seu tamanho, faz avaliações dos
possíveis riscos aos quais está exposta e estabelece meios viáveis de gerenciar seus
riscos de perda.
Tabela 1. Possíveis Tipos e Formas de Risco que Podem Afetar uma Empresa
Não-conformidade com requisitos
Ação legal
regulamentares
Impactos ambientais (considerados
Erros do cliente
significativos)
Atraso de pagamento ou não-pagamento
Erros do fornecedor
por parte do cliente
Defeitos de matéria-prima Não-conformidades do prestador de serviço
Investimentos financeiros (rendimento
Erros e omissões
inesperado ou inaceitável)
Falhas de projeto ou retorno sobre Responsabilidade legal relacionada ao
investimento (ROI) indevido produto
Práticas incorretas de funcionários (não-
conformidade com regras de segurança e
outros tipos de regra, roubo, dano físico a
Sabotagem
colegas de trabalho, fornecimento de
respostas incorretas, falsificação de
registros etc)
Perda catastrófica (incêndio, furacão,
Acidentes tornado, enchente, terremoto, nevasca
etc)
Dano resultante de ação militar ou
Tumulto civil ou ataque terrorista
insurreição política
Vandalismo Obsolescência do produto
Controle indevido ou omisso (sobre
processos, finanças, funcionários, Desatenção a sinais de perigo
fornecedores, prestadores de serviço etc)
Comportamento ilegal ou anti-ético por Desqualificação para certificações, licenças,
parte da direção permissões
Morte, invalidez ou saída inesperada de
Aquisição indesejada da organização
pessoas-chave
Outros casos de interrupção dos negócios .
3. Checar. Consiste em aprovar cada técnica para sua implementação integral, fazer
ajustes na(s) técnica(s) escolhida(s) e determinar a necessidade de selecionar
alternativas.
Essas medidas constituem o modelo PDCA, que é a base de um SGQ voltado para a
melhoria contínua. Na prática, uma organização que usa essa abordagem está
buscando a melhoria contínua e diminuindo sua exposição a perdas. Identificar
exposições a perdas é uma idéia "óbvia", porém é mais fácil dizer do que fazer.
1. O que está exposto a uma possível perda? Os itens que merecem ser considerados
são:
2. Que situação, evento ou perigo pode causar uma perda em cada exposição?
A Tabela 2 fornece uma análise detalhada dos tipos de exposição em relação a esses
quatro fatores.
Embora seja fácil perceber o que poderia ter sido feito após ocorrer uma perda,
perceber o que poderia acontecer de ruim - e então tomar medidas para eliminar ou
minimizar as vulnerabilidades existentes - é mais difícil. Mesmo assim, existem
técnicas e ferramentas para identificar e analisar a exposição a perdas.
• Mau uso
Resultado financeiro Redução das receitas • Redução dos lucros • A própria empresa
(Receitas, Despesas)
• Redução da • Acionistas
• Interrupção de participação no • Clientes
• Curto prazo negócios mercado
• Funcionários
• Perda de lucros • Redução do preço
antecipados das ações
• Longo prazo
•
• Redução da renda • Menos capital Interesses
de locação contratuais
• Redução de contas • Redução de
a receber melhorias
• Aumento das
despesas
• Aumento de
despesas
operacionais
Responsabilidade legal Classificação em relação • Custos legais, • A própria empresa
(resultante de um ente: ser ao ente a quem pertence incluindo:
processado por transgredir o dever - Julgamentos
• Acionistas
um dever legal ou contra o ente • Clientes
prejudicar outro ente; ser - Honorários
obrigado por contrato a • Criminal advocatícios • Funcionários
pagar por uma perda sofrida • Civil: - Danos punitivos
por outro ente) - Contrato
• Custo do tempo • Interesses
- Delito
envolvido contratuais
• Curto prazo
Classificação em relação à
fonte do dever legal • Perda de reputação
• Longo prazo
• Leis e Decretos
• Portarias e
Regulamentos
Conseqüências Possível Ente a Sofrer
Exposição a Perdas Causas
Financeiras Perda
Perda de pessoal • Morte • Perdas temporárias • Acionistas
vs. perdas
• Invalidez
permanentes
• Clientes
• Pessoas-chave
• •
Aposentadoria • Perdas normais vs. Funcionários
• Funcionários
• Demissão perdas acima do
• Clientes normal
• Interesses
• Fornecedores
• Benefícios de
contratuais
funcionários: • Benefícios
-Responsabilidade adicionais
• Membros da
contratual
comunidade
-Responsabilidade
criminal ou civil
É cada vez maior o número de métodos e técnicas que são usados para identificar e
analisar exposições a perdas, já que a análise de uma possível exposição é tão difícil
de se fazer quanto a identificação da exposição em si. A lista a seguir relaciona
algumas forma eficazes para identificar e analisar tais exposições.
• Indenização por perdas referentes aos últimos dois ou três anos, incluindo
multas e acordos extrajudiciais;
• Indicação e gravidade de dívidas incobráveis e pagamentos atrasados de
clientes;
• Indicação de perdas devido a ações fraudulentas de fornecedores ou
funcionários;
• Indicação de perdas devido ao cancelamento de licenças, certificações etc;
• Possíveis perdas caso expire um período de patente.
O segundo lugar que se deve "olhar" é para fora da empresa; ou seja, requisitar dados
de seguradoras referentes aos tipos e quantidades de indenizações feitas em nome da
organização (ex.: indenizações referentes à saúde e acidentes/invalidez,
responsabilidade civil).
6. Utilizar a FMEA (Análise de Modos de Falha e Efeitos). Essa é uma boa técnica para
determinar o que pode dar errado e que impacto esse erro terá nos processos e no
produto, tendo como objetivo evitar as falhas e seus efeitos. Veja a seguir uma
aplicação da FMEA.
7. Avaliar a eficácia dos sistemas de gestão. Essa avaliação não se trata das auditorias
internas realizadas para verificar a conformidade com uma ou mais normas e buscar a
melhoria contínua, embora também possa fazer parte desse tipo de auditoria. O ponto
principal aqui é a avaliação de riscos, a fim de verificar se existem "falhas" no(s)
sistema(s) de gestão que possam deixar ou estejam deixando a organização exposta a
perdas. Nunca é tarde demais para minimizar ou eliminar uma exposição; assim,
convém que cada avaliação realizada pela organização avalie a eficácia do sistema em
relação à prevenção de exposições e o que precisa ser melhorado ou corrigido para
reduzi-las. Além disso, será necessário avaliar um ou mais dos sistemas a seguir, para
determinar o nível de exposição e o que precisa ser feito para minimizá-lo:
• SGQs;
• Sistemas de gestão financeira, que incluem pagamentos de fornecedores,
receitas, folhas de pagamento, investimentos, gerenciamento de ativos e
reservas de contingência;
• Propriedade intelectual;
• Sistemas de segurança e garantia;
• Sistemas de gestão ambiental e outros sistemas.
Além de contratar o seguro para cobrir todo um possível risco ou uma parte dele,
pode-se estabelecer vários tipos de planos de contingência, como as reservas para
perdas, que é uma forma de auto-seguro. Contudo, o método de prevenção mais
eficaz talvez seja treinar funcionários para reconhecerem perigos e possíveis áreas de
risco.
Por exemplo, uma empresa conhecida conduziu uma série de seminários para
funcionários sobre "possíveis perigos e riscos". Em uma das sessões, um funcionário
mencionou que seu falecido pai, que também fora funcionário daquela empresa por
muito tempo, havia lhe contado sobre os danos causados quando o rio próximo à
empresa subira cerca de 3 metros além do normal após uma incomum cheia. Os
membros da atual direção da empresa, que haviam entrado na companhia nos últimos
cinco anos, não tinham conhecimento desse potencial de risco. Tal informação foi
muito útil para a alta direção, pois a empresa havia construído recentemente unidades
- repletas de equipamentos novos e caros - à margem do rio.
Numa outra empresa, certa funcionária investigou as indenizações por falhas de
produtos após um programa semelhante de treinamento. Isolando as causas relatadas,
sugeriu que o pessoal da engenharia explorasse meios de criar produtos que evitassem
o seu uso incorreto por parte dos clientes - causa da maioria das ocorrências. Isso
resultou numa mudança do projeto de engenharia, reduzindo o número de ocorrências
e a média de indenizações pagas devido a reclamações por "uso incorreto". Como
resultado, o prêmio do seguro baixou.
Em seu formato básico, a metodologia FMEA usada por essa empresa consistiu de 16
ações:
1. Definir as entradas do projeto;
2. Investigar possíveis projetos semelhantes;
3. Identificar o modo de falha (o que poderia dar errado);
4. Identificar os possíveis efeitos da falha (como o cliente interno ou externo tomaria
conhecimento do problema);
5. Classificar a gravidade dos efeitos (usando uma escala de 1 a 10, onde o "1"
significava "mínimo" e o "10" significava "máximo e sem aviso");
6. Estabelecer qual seria a(s) causa(s)-raiz;
7. Classificar a probabilidade de ocorrência da falha usando uma escala de 1 a 10;
8. Documentar os atuais controles de projeto;
9. Classificar a probabilidade de detecção da falha usando uma escala de 1 a 10;
10. Calcular o Número de Prioridade do Risco (NPR = gravidade X ocorrência X
detecção);
11. Recomendar ações preventivas e/ou corretivas (qual ação, quem iria executá-la,
quando) - note que a ação preventiva aparece primeiro, pois estavam lidando com o
estágio de projeto;
12. Voltar ao item de número 3, caso houvesse outras falhas possíveis;
13. Criar e ensaiar um protótipo;
14. Refazer a FMEA após obter os resultados do ensaio e fazer as alterações
necessárias ou desejadas;
15. Ensaiar novamente ou colocar em produção;
16. Documentar o processo, incluindo a FMEA, no banco de conhecimentos.
O envolvimento dos funcionários que participaram das atividades de projeto,
desenvolvimento, produção e atendimento ao cliente é fundamental, pois seu
conhecimento, suas idéias e suas perguntas sobre o projeto de um novo produto serão
baseadas em sua experiência nos diferentes estágios de realização do produto. Essa
contribuição, juntamente com a análise de projetos semelhantes (e os relatórios do
feedback de clientes e registros de FMEAs, não-conformidades de produtos e ações
corretivas), são normalmente as melhores fontes de análise.
• Brainstorming;
• Obtenção de contribuições (input) das partes envolvidas;
• Análise crítica dos resultados de despesas anteriores;
• Realização da FMEA;
• Realização de comparações (benchmarking) com outras empresas;
• Coleta e análise de dados de:
. Associações de classe
. Publicações governamentais
. Reclamações de clientes
• Análise do possível retorno dos investimentos (custo-benefício, VPL, TIR, ROI,
ROA etc).
Resumo
O objetivo deste artigo foi apresentar alguns dos fatores que devem ser considerados
para se criar e manter uma empresa de qualidade focada no cliente, conscientizando o
leitor sobre a necessidade de se avaliar e controlar os riscos que possam causar
impactos à organização. Lembre-se de que nem todas as empresas que ganham
Prêmios da Qualidade sobrevivem. O que estamos falando tem pouco a ver com o
atendimento a Critérios de Excelência e mais a ver com a maneira como uma
organização administra seus negócios, a fim de eliminar os riscos identificados.
Algumas das grandes falhas de empresas que faliram tiveram pouco ou nada a ver
com problemas de qualidade de produtos e serviços, e tudo a ver com falhas na
identificação, avaliação e tratamento de possíveis riscos.
Fontes de risco
Cada fonte genérica possui diversos componentes e cada um deles pode dar origem a
um risco. Alguns componentes ficarão sob o controle da organização que está
conduzindo o estudo, enquanto que outros não. Ambos os tipos precisam ser
considerados ao se identificar riscos. As fontes genéricas de risco incluem:
Áreas de impacto
As análises de riscos podem se concentrar nos impactos causados em uma única área
ou em várias possíveis áreas de impacto.
Comunicação da política
Desenvolver e aplicar mecanismos para assegurar a análise crítica contínua dos riscos.
Isso assegurará que a implementação e a política de gestão de riscos permaneçam
pertinentes, uma vez que as circunstâncias se modificam continuamente e a análise
crítica de decisões anteriores é vital. Os riscos não são estáticos. A eficácia do processo
de gestão de riscos também deve ser monitorada e analisada criticamente.