Pensamento baseado no risco
Todas as atividades de uma organização enfrentam influências internas e externas que provocam incerteza nos resultados esperados. O efeito que isso tem sobre a organização é o risco, que pode ser identificado e medido.
Para a ISO 9001:2015, risco é o efeito da incerteza num resultado expectável e o pensamento baseado no risco ou na incerteza do sucesso, deve ser a base das decisões de gestão. Este pensamento permite-nos ter confiança na capacidade da organização em cumprir objetivos, requisitos de produtos e serviços, projetos ou simples atividades de processos.
A gestão de riscos é um processo de decisão, que face à estratégia e à análise interna/externa da organização (contexto da organização), considera a possibilidade de ocorrência de consequências (negativas ou positivas) e a gravidade destas. De uma forma estruturada, procura-se responder a …
- O que pode acontecer?
- Qual a probabilidade de ocorrer?
- Quais as consequências dos danos?
- Como posso mitigar o risco?
- O que é aceitável e o que é não aceitável realizar!
Se considerarmos outros referenciais (ISO 31000 ou a ISO/IEC Guide 73), o risco é a combinação da probabilidade de um acontecimento e das suas consequências.
Na origem da ocorrência do risco, encontram-se as situações com potencial para originar danos, ou consequências na conformidade das atividades a realizar. Estas origens de risco são denominadas perigos. É pois necessário identificar os perigos, reconhecer a sua existência e definir as suas características para conhecermos o nível de risco. Este nível permite-nos conhecer a significância do risco e só assim podemos considerar aceitável ou não a realização de qualquer atividade.
Este nível de risco está dependente do contexto da organização, ou seja, dos objetivos estratégicos da organização, dos seus pontos fortes e/ou fracos, das oportunidades e ameaças da envolvente, dos requisitos dos clientes, legais ou outros.
A determinação do contexto da organização é um dos primeiros passos da estrutura de gestão de riscos apresentada pela ISO na Norma ISO 31000:
A comunicação e consulta permite-nos a recolha de todas as informações que suportam o estabelecimento do contexto da organização e envolve que todas as partes interessadas, tal como é apresentado na ISO DIS 9001. Permite igualmente preparar a organização para as possíveis mudanças que a gestão de riscos originará.
A identificação de perigos permite à organização identificar as fontes de danos ou de ameaças, áreas de impactos e as suas consequências potenciais. Permite listar as situações perigosas que possam dificultar, atrasar, impedir, acelerar ou melhorar a realização de objetivos, produtos e serviços, projetos ou simples atividades de processos.
A análise do risco é o processo destinado a caraterizar o risco e a determinar o nível de risco. Este processo permite-nos compreender os possíveis riscos e fornece as informações para a avaliação de risco, assim como suporta as decisões sobre o tratamento de risco. O risco é analisado determinado as consequências da sua ocorrência, bem como a probabilidade com que essas consequências podem ocorrer.
A análise do risco pode ser realizada com diferentes graus de pormenor, de acordo com o potencial da situação perigosa, a fim de permitir uma adequada e eficaz análise de dados, informações e recursos. A análise pode ser qualitativa, semi-quantitativa ou quantitativa, consoante as circunstâncias. As consequências e sua probabilidade podem ser determinadas através de resultados de uma atividade, ou por extrapolação a partir de estudos experimentais ou de dados e informações disponíveis. Estas podem ser expressas em termos de impactos tangíveis e intangíveis (valor numérico ou a descrição da consequência).
A avaliação do risco é o processo de comparação dos resultados da análise do risco com os critérios do risco para determinar se o risco é, por exemplo, inexistente, aceitável ou inaceitável. Permite igualmente, definir prioridades e estabelecer o tratamento que permite mitigar o risco.
Perante situações de riscos inaceitáveis, apenas existe o caminho de voltar atrás e de realizar a análise das situações perigosas de forma mais aprofundada, recolhendo mais dados, informações e conhecendo mais em pormenor as causas dessas situações (só a eliminação dessas causas permite a melhoria).
O tratamento do risco é o processo de modificar o risco – remover, alterar, evitar, aumentar, partilhar ou até manter. A seleção da opção de tratamento, é igualmente um processo que deve ser equilibrado, em função dos recursos necessários e dos benefícios esperados.
As atividades de monitorização e revisão devem ser periódicas, programadas e comunicadas a todos os intervenientes. Envolvem todos os aspetos da gestão de riscos e evidenciam a adequação e eficácia das decisões tomadas ao longo de todo o processo de gestão de riscos.
Permitem igualmente a recolha de dados e informações adicionais que podem confirmar ou alterar decisões anteriores.
Concluindo, temos assim o processo normal … habitual de outros referenciais de sistemas de gestão, em que identificamos os perigos, analisamos os possíveis impactos que esses perigos podem originar e para cada impacto avaliamos a probabilidade de ocorrência, a gravidade e se necessário, a nossa capacidade de controlo para evitar a sua ocorrência e consequências.
Por último, nem todos os riscos necessitam de ser eliminados mas também nem todos os riscos necessitam de ser frequentemente ignorados. Decidir medidas preventivas adequadas aos riscos envolvidos, requer uma gestão de riscos … requer avaliação … requer critérios.
José João Cordeiro, Consultor
XZ Consultores, SA