Empresa de Consultoria

Onde queremos chegar e qual deve ser o ponto de partida?

Os frameworks de Gestão de Riscos podem responder - Parte 2 de 5

Insights e publicações

Onde queremos chegar e qual deve ser o ponto de partida? Os frameworks de Gestão de Riscos podem responder (Parte 2 de 5)

No post anterior (parte 1 desta série), apresentamos uma visão geral dos riscos e o conceito básico de como gerenciá-los. Mas como você fará para adotar Gestão de Riscos desde já naquele seu projeto que, você bem sabe, tem potencial de ser extremamente problemático e está rodeado de incertezas e dúvidas quanto à sua execução?

Como discutiremos no último post desta série, a implantação de Gestão de Riscos não é trabalho para um gerente de projeto sozinho, pois ela demanda um esforço amplo da organização para gerar resultados.

Esse grau de complexidade não permite uma ação isolada, quando você partirá do zero e adaptará sua gestão por tentativa e erro, à medida que os problemas são enfrentados. Analise os frameworks que já foram testados pelo mercado e planeje a implantação a partir daí.

Frameworks de gestão de riscos

Um framework é um modelo pronto, com as ferramentas e regras gerais que sua organização deve seguir para gerir os riscos. Tais modelos comumente são muito amplos, portanto, não devem ser adotados integralmente de uma hora para a outra. Estude os modelos disponíveis, escolha um ponto de partida e desenvolva os ciclos de implantação, aumentando a maturidade aos poucos.

Dessa forma, você atingirá um nível de gestão profissional em relativamente poucos ciclos, dando assim chance para sua organização ir se adaptando ao longo do processo.

Há diversos frameworks disponíveis, já testados e maturados pelo mercado. Alguns são específicos de algum setor e outros são mais gerais. A lista é extensa, mas destacamos alguns a seguir:

  1. IHI – modelo americano de gestão de riscos na área de healthcare;
  2. Value at Risk – modelo de avaliação de riscos em ativos financeiros;
  3. Auditing Standard No. 2 do PCAOB (Public Company Accounting Oversight Board) – modelo americano de auditoria para controle de riscos em fraudes financeiras;
  4. COBIT – modelo de gestão e governança de TI, que engloba a gestão de riscos em um de seus módulos;
  5. ISO 31.000framework geral sobre gestão de riscos;
  6. COSOframework geral, voltado para gestão integrada de riscos.

Os dois últimos, por serem modelos adaptáveis para qualquer setor, são os mais utilizados no mercado. Portanto, focaremos neles a seguir.

A proposta dos frameworks

A evolução dos frameworks de gestão de riscos sempre foi muito ligada a problemas operacionais, fisicamente palpáveis. Tente identificar qualquer grande desafio operacional da humanidade e verá que sempre houve gestão de riscos envolvida, mesmo que básica. Não precisamos nos esforçar muito para chegarmos a um exemplo: imagine o programa espacial, especialmente durante a Guerra Fria. Como vencer tamanho desafio operacional sem se preparar para os imprevistos antes?

Nos anos 60, com a corrida espacial, a NASA evoluiu bastante a prática de gestão de riscos, especialmente a forma quantitativa (Bedford, 2001), com base estatística. Na verdade, essa gestão quantitativa chegou a prever que a missão à Lua tinha apenas 5% de chance de sucesso. No entanto, mesmo com esse cenário contrário, os riscos foram assumidos (por motivos políticos, diga-se) e como já sabemos, o objetivo final foi cumprido.

 Mas, então, este caso ilustra que utilizar um framework estruturado de gestão de riscos não é obrigatório? Afinal, a operação pretendida funcionou, apesar da avaliação contrária gerada pelo modelo. Na verdade a conclusão correta é inversa: uma boa gestão é fundamental. A previsão pessimista ajudou e chegou a ser utilizada para gerar alterações na missão à Lua, mas a diferença principal neste caso é que quase nenhuma organização possui os recursos humanos e financeiros que a NASA dispunha à época. Hoje, nem a própria NASA os possui mais.

A NASA das décadas de 60 e 70 é uma rara exceção. Considerando o cenário real que você está habituado, é provável que você não possa se dar ao luxo de errar em seus projetos: seus recursos (de prazo e custos) são bem escassos e, portanto, dependem de um bom modelo de gestão de riscos. Vamos então aos anos 80, quando a gestão de riscos passa a ter uma preocupação maior com os objetivos da organização ao invés de um foco mais operacional. Em 1985, quando nasce o COSO (Comittee of Sponsoring Organization of the Treadway Comission), a gestão de riscos passa a ter uma proposta integrada, envolvendo os diversos níveis da organização.

O gerenciamento de riscos corporativos proposto pelo framework do COSO tem por finalidade alinhar todos os processos (não apenas os operacionais) com o gerenciamento de riscos. A estrutura do COSO, portanto, se dá por uma matriz tridimensional na forma de um cubo:

Cubo COSO.png

Esta é apenas uma forma gráfica de resumir o que o modelo prega: a gestão de riscos ocorre nas três diferentes dimensões (eixos) do cubo. Os Componentes (face 1 do cubo, na imagem acima) devem ser aplicados em todos Objetivos (face 2) e em todas Unidades (face 3). Por isso é chamada de “estrutura integrada”. Se quiser conhecer mais sobre o COSO, consulte o material oficial, disponível em português.

Além do COSO, destaca-se no mercado a adoção do ISO 31.000 como framework. No Brasil, ele é a base utilizada na norma ABNT ligada à gestão de riscos, portanto é bastante utilizado como referência por aqui. Para quem quiser entender detalhes da implantação, recomenda-se o guia ISO para pequenas e médias empresas, que orienta os passos da implantação através de um guia de perguntas, onde você auto-avalia como sua organização desempenha em cada tópico.

Mas quais as principais diferenças entre o COSO e a ISO 31.000?

Quando comparamos os dois frameworks, tanto o COSO como a ISO 31.000 possuem estruturas similares (ver figura abaixo). Na verdade, se sua organização ainda não apresenta gestão de riscos, possivelmente ambos serão mais completos do que você precisará no início. Consulte o material de referência indicado nos hyperlinks deste post e defina qual o grau mínimo (ou seja, o ponto de partida) que sua organização deve chegar no primeiro ciclo de implantação.ISO vs COSO.png

Definir uma regra geral de implantação não é tarefa fácil, já que esta escolha dependerá do contexto. Porém, recomendamos iniciar a adoção de riscos não de forma integrada em todos os níveis da organização (como pregado pelo COSO), mas pela área de gestão de projetos. Ou seja, o trabalho deve se iniciar pelo PMO (com respaldo da diretoria, usualmente responsável pela aprovação dos projetos) e após maturação do modelo, ser desdobrado para o restante da organização. Tratamos mais sobre a implantação no último post desta série.

Porém, independentemente do framework que você utilizar como referência, a organização sempre terá que desempenhar atividades de levantamento (identificação) dos riscos e definição de resposta (ou tratamento) aos riscos.

Não perca os próximos episódios da Série de postagens sobre gestão de riscos.

  • Rodrigo Cavalcanti

    Sócio Consultor da 3GEN em planejamento estratégico e finanças corporativas, trabalhou por 8 anos como gerente administrativo e financeiro de organizações de grande e médio porte, tendo atuado com foco na implantação e reestruturação do backoffice, tanto em em entidades privadas como no terceiro setor. Possui experiência em projetos de BSC, desenho de modelos de negócios, análise de viabilidade financeira e riscos, valuation e também em implantações de sistemas de gestão de performance, BIs e ERPs. É graduado em administração pela Universidade Federal de Pernambuco e cursou MBA em Finanças Corporativas, com foco em M&A e valuation, pela FGV/RJ.