Governança pública
Gestão de riscos: fundamentos
O escopo da gestão de riscos pode variar, podendo ser aplicado a projetos, atividades ou ativos específicos, além de poderem abranger desde setores e departamentos até unidades organizacionais ou a organização como um todo. O foco do modelo aqui apresentado é esse último, o qual visa o estabelecimento de uma gestão coordenada dos riscos, a partir de uma visão holística da instituição, mas não deixa de admitir também a aplicação da gestão de riscos em escopos menos abrangentes, como os citados.
Na literatura, a denominação original e mais utilizada para um processo que tem a organização como escopo é “Gestão de Riscos Corporativos”, tradução mais conhecida do termo em inglês “Enterprise Risk Management”. Para organizações que não tenham propósitos comerciais, como é o caso de órgãos governamentais, pode-se usar também o termo “Gestão Institucional de Riscos”, entretanto muitas preferem usar o termo original ou simplificam para “Gestão de Riscos”. Essa é a denominação que utilizamos.
Consideradas as diversas fontes consultadas, que incluem as melhores práticas internacionais, normas técnicas, artigos acadêmicos e publicações das instituições líderes no estudo e fomento da disciplina objeto desta análise, é possível chegar-se ao entendimento do que é a gestão de riscos em nível institucional. Trata-se de um processo de trabalho de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, aplicável em qualquer área da organização e que contempla as atividades identificar riscos, analisar riscos, avaliar riscos, decidir sobre estratégias de resposta a riscos, planejar e executar ações para modificar o risco, bem como monitorar e comunicar, com vistas ao efetivo alcance dos objetivos da instituição.
Elementos do risco
Eventos indesejáveis e inesperados podem tornar indisponíveis ou degradar a qualidade/desempenho dos recursos internos ou externos que são utilizados pela organização ou dos produtos e serviços que ela gera. Recursos também podem vir a ter uso inapropriado, indevido. Além disso, eventos no ambiente interno ou externo podem alterar o grau de utilidade dos recursos, dos produtos e serviços, ou ainda, denegrir a imagem da instituição perante o público. Situações desse tipo afetariam para pior o alcance dos objetivos institucionais e caracterizam o risco.
De outra parte, análises da aplicação dos recursos internos ou externos, análises de mudanças no ambiente interno/externo, atual ou futuro, e das capacidades organizacionais, bem como outras avaliações, podem revelar situações que afetariam para melhor o alcance dos objetivos institucionais, o que caracteriza a oportunidade.
Do exposto se vê que o conjunto de consequências, também chamado de impacto da eventual realização de um risco ou de uma oportunidade, sempre se dá sobre os objetivos da instituição.
Vale ressaltar que objetivos são definidos em vários níveis da organização e podem referir-se a: alcance de metas definidas em iniciativas estratégicas, ações ou projetos, alcance de metas em processos de trabalho ou atividades de rotina, cumprimento de níveis de serviços definidos para produtos e serviços, etc.
- Risco: Possibilidade de que um evento afete negativamente o alcance de objetivos.
- Oportunidade: Possibilidade de que um evento afete positivamente o alcance de objetivos.
Algumas vezes torna-se difícil avaliar a relação que o objeto da gestão de riscos tem com os objetivos formalmente expressos pela organização, especialmente quando se analisam atividades ou recursos operacionais. Nessas situações, é útil mensurar o impacto também com base em um objetivo natural de toda organização, que é a sua autopreservação ou capacidade de ser sustentável no presente e no futuro. O alcance desse objetivo é afetado principalmente por dois fatores, que podem também ser entendidos como objetivos subsidiários ou intermediários para o alcance da sustentabilidade da organização: a capacidade de obter e preservar recursos, especialmente financeiros, e a preservação da reputação (imagem) da instituição. Verifica-se ainda que o alcance do objetivo de ser capaz de obter recursos costuma depender fortemente da reputação que a organização tem perante a sociedade, o mercado ou outros órgãos financiadores. Assim, a primeira figura mostrada neste documento poderia ser generalizada para incluir também esses elementos na forma de objetivos, como na figura abaixo:
É por essas razões que, mesmo quando não formalizados como objetivos, os possíveis efeitos financeiros, na reputação institucional e em recursos como instalações, equipamentos e pessoas costumam ser considerados ao se estimar o impacto do risco.