IDENTIFICANDO RISCOS CORPORATIVOS

Identificando Riscos Corporativos

  1. COMPREENSÃO DA EXISTÊNCIA DE PERIGOS

A identificação dos riscos e de seus fatores significa a compreensão das origens de cada perigo. Deve-se buscar responde porque o perigo existe na empresa. Quais são as condições que potencializam a concretização do evento estudado.

A compreensão da origem do perigo é imperiosa para a eficácia no tratamento, na priorização que a empresa vai poder dedicar para mitigar aquela situação. Somente após o entendimento do porque da existência de cada perigo, é que poder-se-á sugerir medidas eficazes para mitigar.

Continue reading “IDENTIFICANDO RISCOS CORPORATIVOS”

FUNÇÃO DA GESTÃO DE RISCOS CORPORATIVOS

No efetivo gerenciamento de riscos decorrente das atividades desenvolvidas nas organizações, a alta direção deve ter uma visão consolidada de suas exposições operacionais. Para este fim, é necessária a criação de uma área para o gerenciamento de riscos corporativos. O desenvolvimento dessa área requer, necessariamente, uma criteriosa definição do escopo do trabalho dos responsáveis pela sua implementação.

Continue reading “FUNÇÃO DA GESTÃO DE RISCOS CORPORATIVOS”

Análise de Riscos – Método de Mosler

Imagine você como Gestor de Segurança de uma empresa multinacional recebendo a seguinte consulta: Qual a possibilidade de ocorrer um sequestro envolvendo executivo membro da diretoria na filial de Porto Alegre? Você se sente preparado para responder, tecnicamente, ao diretor sem utilizar o “famoso” jargão – “eu acho que”?

A doutrina de Análise de Riscos apresenta algumas ferramentas que podem ser utilizadas nessas situações. Caso nunca tenha ocorrido qualquer situação, dessa natureza, envolvendo executivos em Porto Alegre, o Gestor deverá se valer de métodos subjetivos.

O Método de Mosler, metodologia qualitativa de avaliação de riscos, trata-se de uma bela ferramenta de identificação e avaliação de riscos potenciais. A partir do diagnóstico dos ambientes internos e externos – pontos fortes e fracos – pode-se projetar qual o risco que a empresa possui.

A avaliação do risco nada mais é do que saber qual a chance do risco vir a se concretizar. No caso de Mosler, por se trabalhar com dados subjetivos, somente deverá ser utilizado quando não existir qualquer tipo de dados.

O método serve de base para a identificação, análise e evolução de fatores que podem influir na manifestação e concretização da ameaça, projetando o impacto para cada risco.

EVOLUÇÃO DO RISCO

Valora-se o risco – calculando a magnitude “C” e quantificando sua probabilidade de ocorrência “Pb” –  que é o tamanho da ameaça.

Evolução do risco – “ER” = “C” X “Pb”

Para se chegar à quantificação calcula-se a magnitude do risco – “C”

C = I + D

I = importância do sucesso – F X S (função X substituição)

D= danos causados – P X E (profundidade X extensão)

MAGNITUDE DO RISCO

C= I (F X S) + D (PXE)

Probabilidade de ocorrência – PB

PB= A X V ( agressão x vulnerabilidade)

Evolução do risco ER Classe do risco
2 – 250 Muito baixo
251 – 500 Pequeno
501 – 750 Normal
751 – 1000 Grande
1001 – 1250 Elevado

Para avaliar a possibilidade de ocorrer o seqüestro o Gestor irá reunir sua equipe (brainstorming) para então responder os quesitos abaixo.

Como exemplo, a decisão tomada pelo grupo está destacada em vermelho.

Método de Mosler

1) Critério da função  “F” – projeta as consequências negativas ou danos que podem alterar a atividade principal da empresa.

Escala Pontuação
Muito gravemente 05
Gravemente 04
Medianamente 03
Levemente 02
Muito levemente 01

2)Critério da substituição – “S” – impacto da concretização da ameaça sobre os bens. O quanto os bens atingidos podem ser substituídos.

Escala Pontuação
Muito dificilmente 05
Dificilmente 04
Sem muitas dificuldades 03
Facilmente 02
Muito facilmente 01

3)Critério da profundidade – “P” – Uma vez materializado o risco, mede a perturbação e os efeitos psicológicos que o risco pode causar para a imagem da empresa.

Escala Pontuação
Perturbações muito graves 05
Graves 04
Limitadas 03
Leves 02
Muito leves 01

4)Critério de extensão – “E” – mede o alcance e extensão que o dano causa para a empresa.

Escala Pontuação
De caráter internacional 05
De caráter nacional 04
De caráter regional 03
De caráter local 02
De caráter individual 01

5)Critério de agressão – “A” – mede a possibilidade do risco vir a acontecer em vista das características conjunturais e físicas da empresa, cidade e estado onde se encontra. Ex. um executivo no Rio de Janeiro tem mais possibilidade de sofrer agressão do que um do nordeste ou sul.

Escala Pontuação
Muito alta 05
Alta 04
Normal 03
Baixa 02
Muito baixa 01

6)Critério da vulnerabilidade – “V” – Tendo em vista o critério da agressão, a vulnerabilidade mede quais serão as perdas pela concretização do risco, no âmbito financeiro.

Escala Pontuação
Muito alta 05
Alta 04
Normal 03
Baixa 02
Muito baixa 01
Risco F S P E A V (FxS)

I(PxE)

D(I+D)

C(AxV)

PB(CxPB)

ER 4355331225379333

Com o ER de 333 vamos para a tabela abaixo e constatar a classe do risco.

Evolução do risco ER Classe do risco
2 – 250 Muito baixo
251 – 500               333 Pequeno
501 – 750 Normal
751 – 1000 Grande
1001 – 1250 Elevado

Evolução do Risco – 333 – pequena a probabilidade de ocorrer o seqüestro. Não quer dizer que as medidas de segurança devem ser deixadas de lado, no caso vamos sugerir a utilização de Segurança Pessoal Privada – SPP.

____________________________________

Análise de Riscos – Método Willian T. Fine

Dentre os sistemas de análise de riscos, o Método Willian T. Fine proporciona ao Departamento de Segurança a possibilidade de estabelecer prioridades, integrando o grau de risco com a limitação econômica, por ventura existente na empresa.

Assim, há como projetar o momento da implantação, o esforço e a previsão de verba, de acordo com o nível de criticidade de cada risco existente.
Esse sistema de prioridade é obtido por intermédio de uma simples fórmula, que calcula o perigo de cada situação. O resultado denomina-se Grau de Criticidade – GC.
O Grau de Criticidade – GC irá determinar a urgência da tomada de decisão, ou seja, se o risco apontado deve ser tratado com maior ou menor brevidade.
A justificativa dos investimentos na segurança deverá estar intimamente relacionada ao GC. Com este método obtém-se um parâmetro para realizar e justificar o investimento na segurança.
O método baseia-se em grades de probabilidades. Se a empresa não possuir histórico de ocorrências, o cálculo será baseado em dados e avaliações subjetivas.

Fine apresenta duas fórmulas: uma para estimar o GC – grau de criticidade e outra para a JI – justificativa do investimento.

O GC calcula-se com base em três fatores:

1) Consequência – C = impactos mais prováveis, tanto financeiros como danos pessoais, de ocorrer em caso do evento vir a concretizar-se;

2) Exposição ao Risco – E = frequência que este evento ou perigo costuma manifestar-se na empresa ou em organizações similares;

3) Probabilidade – P = a real chance do evento vir a acontecer, dentro de uma escala de tempo.

O Fator Consequência – C:

É classificado e valorizado de acordo com uma tabela prévia – Assim, uma consequência com valor 100, é classificada, pelo método, como quebra da empresa; Seguindo a tabela, terá valor 50, o dano considerado como de severo – prejuízos; Valor 25 quando o dano for grave; Valor 15 dano moderado; Valor 05 dano considerado leve; e Valor 01 para pequeno ou nenhum impacto.

Classificação  Valor
Catastrófico Quebra da Atividade Fim da Empresa.  100
Severo – Prejuízos    50
Grave    25
Moderado    15
Leve      5
Nenhum – Pequeno Impacto      1

O Fator Exposição ao Risco – E:

Da mesma forma é valorizado levando em conta sua exposição ao risco. A tabela diz o seguinte: Exposto várias vezes ao dia, valor 10; uma vez ao dia, frequentemente, valor 5; Uma vez por semana ou mês – ocasionalmente, valor 3; Uma vez ao mês ou ao ano – irregularmente, valor 2; Raramente possível – sabe-se que ocorre, mas não com frequência, valor 1 ; Remotamente Possível – Não sabe se já Ocorreu, valor 0,5.

Classificação  Valor
Várias vezes ao dia.   10
Uma vez ao Dia, Frequentemente.     5
Uma vez Por semana ou ao Mês, Ocasionalmente.     3
Uma vez ao ano ou ao Mês, Irregularmente.     2
Raramente possível, sabe-se que ocorre, mas não com frequência.     1
Remotamente Possível, Não sabe se já Ocorreu   0,5

O Fator probabilidade – P;

Também tem sua classificação e valor. Quando se espera que aconteça, valor 10; Completamente possível – 50% chances, valor 6; Coincidência se acontecer, valor 3; Coincidência remota – sabe-se que já ocorreu, valor 1; Extremamente remota, porém possível, valor 0,5; Praticamente impossível de ocorrer, uma chance em um milhão, valor 0,1.

Classificação  Valor
Espera-se que aconteça.    10
Completamente possível – 50% de chance     6
Coincidência se acontecer.     3
Coincidência remota     1
Extremamente remota, porém possível    0,5
Praticamente impossível, uma chance em um milhão    0,1

Depois da análise dos fatores C, E, P, parte-se para a Escala de Valores com o Grau de Criticidade, suas prioridades e ações.
Se o GC for maior ou igual a 200 – a correção deve ser imediata, o risco tem que ser, ao menos, diminuído; O GC abaixo de 200 e maior ou igual a 85 – a correção é urgente o risco requer atenção; se o GC for menor que 85 – o risco deverá ser monitorado.

Grau de Criticidade (GC) Tratamento do Risco
GC maior e igual a 200 Correção imediata – risco tem que ser reduzido
GC menor que 200 e maior que 85 Correção urgente – requer atenção
GC menor que 85 Risco deve ser monitorado

Assim, O GC: (probabilidade do risco vir a se concretizar através de %).
Igual ou maior de 200 a correção é imediata e a probabilidade fica entre 66,68% – 100%;

Menor de 200 e igual ou maior de 85 a correção é urgente e a probabilidade entre 33,34% – 66,67%;

Menor de 85 o nível de criticidade requer monitoração e a probabilidade entre 0 – 33,33%;

Grau de criticidade

Quantificação Nível de criticidade Probabilidade – %
Igual ou maior que 200 Correção imediata 66,68 – 100
Entre 200 e 85 Correção urgente 33,34 – 66,67
Menor que 85 Monitoração 0 – 33,33

Por fim, calcula-se a Justificativa do Investimento, através da fórmula: JI = GC dividido pelo fator de custo x grau de correção.

O Fator de custo é previamente classificado e valorado pelo método. Maior que U$ 50 mil – valor 10; entre U$ 25 mil e 50 mil – valor 6; entre 10 mil e 25 mil – valor 4; entre 1 mil e 10 mil – valor 3 ; entre U$ 100 e 1 mil – valor 2; entre U$ 25 e 100 – valor 1; e menos de U$ 25 – valor 0,5; (observar cotação do dólar americano)

Fator de Custo Valor
Maior que U$ 50.000  10
Entre U$ 25.000 e U$ 50.000    6
Entre U$ 10.000 e U$ 25.000    4
Entre U$ 1.000 e U$ 10.000    3
Entre U$ 100 e U$ 1.000    2
Entre U$ 25 e U$ 100    1
Menos que U$ 25    0,5

Quanto ao Grau de Correção a classificação é: Risco eliminado 100% – valor 1; risco reduzido 75% – valor 2; risco reduzido entre 50% e 75% – valor 3; risco reduzido entre 25% e 50% – valor 4; risco reduzido menor que 25% – valor 6.

Grau de correção Valor
Risco eliminado – 100% 1
Risco Reduzido – 75% 2
Risco Reduzido entre 50% e 75% 3
Risco Reduzido entre 25% e 50% 4
Risco Reduzido menor que 25% 6

Para utilizar a fórmula e determinar se o gasto proposto é justificado, deve-se aplicar os valores das classificações correspondentes e obter-se um valor numérico. Este é denominado “índice de justificação” do rendimento do investimento proposto. A princípio, o índice de justificação deverá ser superior a 10, para que o investimento seja considerado justificado. É óbvio que quanto mais alto for este índice, maior será o interesse do programa de prevenção.

A tabela, a seguir, foi estabelecida como padrão em 1976, pela Associação Americana de Gerenciamento de Riscos.

Fator de Justificação menor de 10 = investimento duvidoso; entre 10 e 20 = investimento normalmente justificado; maior de 20 = investimento plenamente justificado, grande redução do risco.

Escala de valoração do índice de justificação

IJ menor que 10 Investimento duvidoso
IJ entre 10 e 20 Investimento normalmente justificado
Ij maior que 20 Investimento plenamente justificado

 

EXEMPLO PRÁTICO.

Uma empresa do setor automobilístico, visando reduzir custos internos com a estratégia de terceirizar segmentos de serviços, vive grande possibilidade de greve. O Sindicato possui forte atuação e existem os seguintes riscos:

a) Sabotagem no CPD (estimativa 500 mil reais);

b) Distúrbios internos com danos na ordem de 120 mil reais.

A direção da empresa solicita ao Departamento de Segurança uma análise de riscos para saber se compensam os seguintes investimentos:

Implantação de CFTV nas áreas criticas do Centro de Processamento de Dados, com investimentos na ordem de 60 mil reais; Treinamentos e palestras durante 4 meses, com custos de 25 mil reais ao mês.

A equipe de segurança apurou os seguintes dados:
Riscos: Sabotagem no CPD – C – 50, E – 0,5, P – 6
GC = 50 x 0,5 x 6 = 150 – PB 61,50% (34 – 66%) = urgente
Riscos: Distúrbios internos – C – 15, E – 0,5, P – 6

GC = 15 x 0,5 x 6 = 45 – PB 27,50% ( 0 – 33%) = monitoração.

Justificativa de Investimento – JI = GC dividido por fator de custo x grau de correção.

a) Sabotagem no CPD JI = 150/ 4×3 (12) = 12,5 – investimento normalmente justificado.

b) Distúrbios internos JI = 45/ 6×4(24) = 1,87 – investimento duvidoso.

O método T. Fine trata-se de uma ferramenta valiosa para o departamento de segurança, pois possibilita comparar o investimento de segurança com a visão macro da empresa.

GESTÃO E ANÁILSE DE RISCOS

O risco é o grau de incerteza em relação a possibilidade de ocorrência de determinado evento, o que, em caso afirmativo, redundará em prejuízo.

 O risco é intrínseco a todas as Organizações, independente de seu segmento de mercado ou seu core business. As Organizações correm riscos desde o momento de seu “nascimento”.

Durante muito tempo as organizações vem lidando com tentativas de dimensionar os riscos e, assim, ganhar em segurança para decidir lucrar, reduzir perdas ou mesmo sobreviver. A questão sempre foi como mensurar o risco.

Por meio de suporte em abordagens probabilísticas há a possibilidade de se monitorar as variáveis que comportam os riscos e estudar o comportamento dos atores com poder para transformar essas variáveis em fatores de risco, para o empreendimento, para a organização ou para as decisões que se pretende tomar.

Para os profissionais de segurança uma boa noção de risco está embutida na equação Risco = Ameaças x Vulnerabilidades, de maneira simplificada, havendo assim necessidade de identificação precisa das ameaças que podem impactar a organização e seus negócios e das vulnerabilidades que a organização detém.

Nova Imagem

Vulnerabilidades são fragilidades internas de uma organização passiveis de serem aproveitadas por ameaças, de modo a causar danos a empresa.

As ameaças são originárias dos ambientes interno e externo à organização, havendo uma multiplicidade de formas com que podem se manifestar e de atores com potencial para produzi-las.

O risco é a probabilidade de ameaças impactarem vulnerabilidades ocasionando prejuízos as pessoas, ao patrimônio, e a imagem da organização, podendo causar danos e até comprometer a sobrevivência da organização como um todo.

Poder prever a probabilidade de uma dada ocorrência acontecer, o dano que ela pode causar na vida da organização ou mesmo as oportunidades que se possam surgir a partir de situações arriscada passou a se impor como ferramenta gerencial, capaz de gerar mais segurança nas decisões dos gestores ou de antecipar decisões visando facilitar ações futuras.

A sobrevivência no mundo competitivo dos negócios impôs essa necessidade e a maioria das organizações passou a adotar como política, de forma explicita ou não implantar uma metodologia que possibilite calcular, de forma confiável, o risco que a organização pode assumir na ocorrência de um fato já levantado e delineado.

Existem muitas metodologias que auxiliam as previsões para o gerenciamento de riscos. Algumas incluem análises qualitativas e quantitativas.

Ferramentas de TI são extremamente úteis à gestão de segurança e também para as tentativas de determinar as probabilidades de ocorrências de riscos.

É apresentado a seguir uma ferramenta de TI como solução a necessidade de determinar as probabilidades de ocorrências de riscos e mensurar seus respectivos danos.

GERENCIAMENTO DE RISCOS

xadrez-tvAs empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos sobre os seus negócios.

Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e sobrevivência.

Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido em sua filosofia, nas práticas e nos processos de negócio.

O gerenciamento do risco é uma parte integral do processo de gerenciamento. O gerenciamento do risco é um processo de múltiplas facetas, aspectos adequados dos quais são frequentemente melhores realizados por uma equipe múltipla disciplinar. É um processo interativo de melhoria contínua.

O processo de análise de riscos deve conter como elementos principais: Construção de Cenários de Riscos, Identificação dos Perigos, Análise de Riscos, Avaliação de Riscos, Plano de Ação, Monitoração e Revisão.

Construção de Cenários de Riscos

Esta primeira fase visa identificar variáveis externas da empresa, que possam trazer consequências negativas ou positivas ao negócio da empresa, tendo em vista a conjuntura macro de riscos. Nesta fase, elaboramos cenários específicos de riscos, procurando “levantar” rupturas de tendências. Quando isto acontece ou possui grandes chances de vir a acontecer, a empresa deve avaliar quais serão as ações que podem ser tomadas para enfrentar ou tentar influenciar. Desta forma, a empresa não fica passiva, podendo agir sempre de forma preventiva. Por esta razão é que a construção de cenários deve estar inserida no processo de planejamento de um gerenciamento de riscos. Nesta fase também é necessário estabelecer a estratégia, o contexto organizacional e gerenciamento de risco no qual o restante do processo se realizará.

Identificação dos Perigos

Esta segunda fase possui três objetivos:

Identificar e listar os perigos que a empresa, processos e ou departamento está exposto. A listagem deve ser realizada, levantando tanto os perigos conhecidos como os perigos desconhecidos. Os perigos desconhecidos são aqueles que nunca aconteceram, porém podem ocorrer, mesmo que remotamente.

Identificar os fatores de Influência. Os Fatores de Influência são os eventos que podem potencializar a concretização dos perigos. São variáveis controláveis e incontroláveis.

Avaliar os Fatores de Influência. A avaliação dos fatores de Influência é a mensuração dos respectivos fatores com o objetivo de identificar quais são os fatores de maior importância.

Análise de Riscos

Nesta fase estabelecemos critérios para os dois parâmetros universais: a Probabilidade e o Impacto. Os critérios para os dois parâmetros são de suma importância para a elaboração do estudo de análise de riscos.

Avaliação de Riscos

Comparar os níveis de risco em relação ao critério pré-estabelecido. A relevância dos riscos possui como parâmetro o grau de criticidade, ou seja, qual é a priorização que a empresa deve tratar cada risco, frente ao seu apetite ao risco.

Plano de Ação

Aceitar e monitorar os riscos de baixa prioridade. Para outros riscos, desenvolver e implementar um plano específico de gerenciamento o qual inclui consideração de provimento de fundos. O Plano de Ação é o conjunto de medidas organizacionais, sistemas técnicos de prevenção e monitoração, recursos humanos que gerenciarão os riscos. O Plano de Ação é elaborado com base nos Fatores de influência visando mitigar riscos.

Monitoração e Revisão

Monitorar e revisar o desempenho das ações e do sistema de gerenciamento de risco e proceder a mudanças que possam afetá-lo.