Metodologias de Risco

INTRODUÇÃO E DEFINIÇÃO DE RISCO

riscos_01
O acidente nuclear de Fukushima ocorrido em março de 2011 é um grande exemplo das consequências que a falta de uma gestão de riscos pode causar. Apesar de um relatório emitido em 2008 alertar para os possíveis riscos e danos no caso de um tsunami atingir a região, as medidas plausíveis não foram tomadas. Os resultados das explosões e vazamento radioativo quando o tsunami o atingiu são mundialmente conhecidos como um dos acidentes mais graves da história.

Já em ascensão em muitas indústrias, o foco na GESTÃO DE RISCOS entrou numa fase mais intensa em uma ampla gama de empresas globais desde a crise financeira de 2008 e depois dos acidentes naturais ocorridos na última década. Em uma pesquisa realizada pela Harvard Business Services Review Analytic Services, mais de dois terços dos 1.419 executivos de empresas de gestão de risco disseram que “o Gerenciamento de Risco se tornou muito mais importante ao longo dos últimos três anos”. A maioria dos executivos ainda sente que suas empresas têm um longo caminho a percorrer, ao construir de forma eficaz, uma cultura de consciência dos riscos. A Harvard Business Review Analytic Services, em estudo que foi patrocinado pela Zurich Financial Services Group, constatou que apenas um em cada 10 entrevistados disse que sua gestão executiva foi “altamente eficiente” na criação de uma “cultura forte sobre consciência dos riscos” E apenas 40% dos entrevistados consideraram sua abordagem à gestão de riscos corporativos ser “pró-ativa”, utilizando um processo integrado que envolve a bordo líderes empresariais e funcionais em todos os níveis da organização.

Este Artigo pretende olhar a Gestão de Risco sob foco mais amplo e apresentar algumas das principais metodologias para análise e Gerenciamento de Riscos em Projetos.

A Metodologias à serem discutidas são:

•    HAZOP (Hazard and operability studies)
•    FMEA (Failure Mode and Effects Analysis)
•    ISO31000
•    COSO (Committee of Sponsoring Organizations.)
•    PMBOK (Project management Body of Knowledge)

Definição de risco
“O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade…” (PMBOK, 2004)

A Incerteza da ocorrência de um evento não projetado, determinado para ocorrer em determinado momento do tempo e em uma determinada etapa do processo/projeto, seja conhecido ou não, podendo originar ganhos ou perdas ao processo/projeto.

HAZOP (HAZARD AND OPERABILITY STUDIES)
riscos_02
HAZOP (HAZARD AND OPERABILITY STUDIES) é uma técnica de análise qualitativa desenvolvida com o intuito de examinar as linhas de processo, identificando perigos e prevenindo problemas. É mais utilizado em grandes indústrias como a Nuclear, Química e do Petróleo e Gás.
Esta metodologia é baseada em um procedimento que gera perguntas chave (análise qualitativa) de maneira estruturada e sistemática através do uso apropriado de um conjunto de palavras-guias aplicadas aos pontos críticos de um sistema.

Ela surgiu em 1963, numa industria química britânica, a HEAVY ORGANIC CHEMICAL DIVISION da  IMPERIAL CHEMICAL INDUSTRIES – ICI, na época uma das maiores do mundo.
A metodologia surgiu numa tentativa da equipe de melhorar os processos, através de uma “análise critica”, o que caminhou para a identificação e determinação de soluções para os “desvios” de projeto.

Ainda de acordo com (KLETZ, 2006),o HAZOP é um estudo estruturado e sistemático de processos em planejamento, existentes ou em operação, no intuito de identificar e avaliar problemas que podem representar riscos às pessoas, equipamentos e/ou a eficiência da operação.

A técnica é amplamente empregada na indústria, porém devido a sua simplicidade e eficácia na identificação dos riscos, pode ser aplicada em outros setores.

Segundo (SMITH, 2006), em tradução livre, as três questões básicas do HAZOP, são:

•    “O que poderia sair errado?”
•    “Como poderíamos saber disso?”
•    “O que poderíamos fazer com relação a isso?”

Para cada identificação de um problema são analisados os desvios gerados, as causas possíveis de ocorrências, suas consequências e por fim quais ações são requeridas para o risco.

A intenção é eliminar os problemas operacionais diminuindo o erro humano, decrescendo assim o nível de risco.

FMEA (Failure Mode and Effects Analysis)
riscos_03
Em 1949, o exército americano criou um processo formal denominado “Procedures for Performing a Failure Mode, Effects and Criticality Analysis” (Procedimentos para desenvolver uma análise de modo, efeitos e criticidade de falhas), que mais tarde foi denominado FMEA (Failure Mode and Effects Analysis, ou Análise de Modo e Efeito de Falhas). Desde então essa técnica já foi utilizada pela NASA no Projeto Apollo por volta dos anos 60 e em 1972 pela Ford, que introduziu seu uso na indústria automobilística, difundindo-o na indústria por meio da Norma Q 101 (RAMOS, 2006, p.71).

O FMEA é atualmente utilizado por indústrias de diferentes ramos como química, automotiva, alimentícia e etc…

O principal objetivo do FMEA é evitar que problemas cheguem até o consumidor final do produto, sistema, processo ou serviço. Por isso, FMEA provê um método sistemático para examinar todos os modos que uma falha pode ocorrer (STAMATIS, 2003, p. 22, apud DOMINGUES, 2008, p.32). Ele se baseia na combinação de cinco técnicas: Kaizen, Brainstorming, Regra de Pareto, Análise de Causa Raiz e Mapeamento de Processo (DAILEY, 2004, p. 6 apud DOMINGUES, 2008, p. 32) e seu uso é requerido pelas normas QS9000, ISO TS 16949, EAQF94, VDA 6.1, AVSQ para projetos e processos de fabricação.

Essa metodologia pode ser utilizada tanto no desenvolvimento de produtos como de processos. As etapas e a maneira de realização da análise são as mesmas, ambas diferenciando-se somente quanto ao objetivo. Assim as análises FMEA´s são classificadas em dois tipos:

•    FMEA DE PRODUTO: na qual são consideradas as falhas que poderão ocorrer com o produto dentro das especificações do projeto. O objetivo desta análise é evitar falhas no produto ou no processo decorrentes do projeto. É comumente denominada também de FMEA de projeto.
•    FMEA DE PROCESSO: são consideradas as falhas no planejamento e execução do processo, ou seja, o objetivo desta análise é evitar falhas do processo, tendo como base as não conformidades do produto com as especificações do projeto.

A aplicação do FMEA pode ocorrer nas seguintes situações:
•    Para diminuir a probabilidade da ocorrência de falhas em projetos de novos produtos ou processos;
•    Para diminuir a probabilidade de falhas potenciais (ou seja, que ainda não tenham ocorrido) em produtos/processos já em operação;
•    Para aumentar a confiabilidade de produtos ou processos já em operação por meio da análise das falhas que já ocorreram;
•    Para diminuir os riscos de erros e aumentar a qualidade em procedimentos administrativos

A análise consiste basicamente na formação de um grupo de pessoas que identificam para o produto/processo em questão suas funções, os tipos de falhas que podem ocorrer, os efeitos e as possíveis causas desta falha. Em seguida são avaliados os riscos de cada causa de falha por meio de índices e, com base nesta avaliação, são tomadas as ações necessárias para diminuir estes riscos, aumentando a confiabilidade do produto/processo.

As etapas de aplicação do FMEA são:

1-    Planejamento (identificação de quais processos serão analisados e formação dos grupos de trabalho);
2-    Analise de falhas em potencial (analises de cada processo através de um formulário) e
3-    Avaliação de riscos (identificados por índices de severidade, ocorrência e detecção, a fim de se atribuir pesos que possibilitem obter os índices de prioridades de riscos).

Uma pequena desvantagem do FMEA para o gerenciamento de riscos é que ele foi concebido para encontrar problemas potenciais no projeto, sistema ou processo, o que acaba excluindo seu uso como ferramenta para análise de riscos positivos.

ISO 31000
riscos_04

 
ISO 31000 é uma família de normas relativas à gestão de riscos codificada pela Organização Internacional de Normatização (ISO). A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks já publicados que estavam relacionados com a gestão de riscos, e tem o objetivo de estabelecer princípios e diretrizes genéricas sobre gestão de riscos.

Ela visa proporcionar um paradigma universalmente reconhecido para os profissionais e empresas que empregam processos de gestão de risco para substituir a infinidade de normas, metodologias e paradigmas que diferiam entre indústrias, temas e regiões existentes, fornecendo diretrizes genéricas para a concepção, implementação e manutenção de processos de gestão de riscos em toda a organização. Por isso, a norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização, tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade. Uma vantagem de sua utilização é que sua visão integrada percebe o impacto cruzado de riscos identificados em diversas áreas ou processos da empresa..

A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, sendo de consequências positivas ou negativas.

O processo possui sete fases claramente identificadas, sendo circuito retro-alimentativo, seguindo os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Act.

Os processos da ISO 31000 são:
riscos_05

•    Comunicação e consulta
•    Estabelecimento do contexto
•    Processo de Avaliação de riscos dividido em:

1.    Identificação de Riscos
2.    Análise de Riscos
3.    Avaliação de Riscos

•    Tratamento de Riscos
•    Monitoramento e Análise Crítica

No processo de comunicação e consulta (item 5.2 na figura) são estabelecidos os fundamentos sobre os quais as decisões são tomadas e as respectivas razões, abrangendo as comunicações internas e externas. Nesta fase as partes interessadas são identificadas e seus papéis e responsabilidades definidos.

No processo de estabelecimento do contexto (5.3) definem-se os parâmetros básicos, por meio dos quais serão identificados os riscos que precisarão ser geridos e qual será o escopo do restante do processo de gestão de riscos. Também são definidos os critérios que serão utilizados na identificação, avaliação, impacto e aceitação dos riscos. O principal objetivo deste processo é estabelecer o contexto da gestão de riscos, seus critérios e métodos que a organização deverá utilizar, definindo-se as metas, objetivos, responsabilidades e o apetite ao risco que a organização suporta.

O processo de avaliação de riscos (5.4) engloba a identificação e a análise e avaliação dos riscos. O objetivo dessa etapa é determinar os eventos que possam causar perdas potenciais e deixar claro como, onde e por que a perda poderá ocorrer. A identificação dos riscos envolve a identificação das ameaças, dos controles existentes, das vulnerabilidades e das consequências. É importante identificar os riscos associados a não realização de uma oportunidade que trará benefícios, e não somente os riscos que podem trazer prejuízos.

O processo de análise de riscos (5.4.3) desenvolve a compreensão dos riscos, produzindo dados que irão auxiliar na decisão sobre quais riscos serão tratados e as formas de tratamento visando à eficiência de custos. Isso envolve considerações sobre a origem dos riscos, suas consequências e as probabilidades de ocorrência dos mesmos.

A avaliação dos riscos visa auxiliar na tomada de decisões com base nos resultados da análise de riscos. Este processo tem por objetivo definir quais riscos necessitam de tratamento, bem como qual a prioridade para o tratamento de cada risco identificado. O objetivo da avaliação de riscos é tomar decisões, baseadas nos resultados da análise de risco.

O processo de tratamento de riscos (5.5) envolve a identificação do tratamento aos riscos, avaliação destas opções e a preparação para colocar em prática os tratamentos selecionados, sendo um processo cíclico. Selecionar a opção de tratamento mais adequada aos riscos envolve equilibrar os custos e os esforços de execução versus os benefícios esperados após o tratamento.

O processo de monitorar e analisar criticamente (5.6)  tem a função de verificar a eficácia das estratégias de implementação e mecanismos de gerenciamento utilizados no tratamento dos riscos. Portanto, o processo de monitoramento deve ser contínuo e dinâmico.

COSO (Committee of Sponsoring Organizations.)
riscos_06
Para auxiliar os estudos sobre as causas de fraudes nos relatórios financeiros e contábeis, foi criada em 1985, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros – COSO), uma organização privada composta por representantes das principais associações de classe dos profissionais ligados à área financeira, cujo objeto principal de estudos foi os controles internos (COSO, 2010).

O propósito do COSO é promover a melhoria dos relatórios financeiros considerando a ética, a efetividade dos controles internos e a governança corporativa (BORGERTH 2007, p. 37).
 
Trata-se de uma iniciativa privada independente, encarregada de estudar fatores que podem levar à geração de relatórios fraudulentos e elaborar recomendações para as empresas abertas, para seus auditores, instituições educacionais, para a SEC13 e outros órgãos reguladores. Os integrantes do COSO são representantes da indústria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York.

Vale lembrar que a metodologia COSO foi um estudo embrionário de 1992, assim sendo, não previa técnicas e/ou procedimentos para mapeamentos de riscos. Isso aconteceu apenas em 2004, com a atividade denominada por Enterprise Risk Management – Integrated Framework, ou simplesmente COSO 2 (D’AVILA, 2005; ZANETTE et al. 2007).
COSO 1 – Estrutura de controles internos

Para controlar melhor as atividades de diversas organizações, o COSO 1 estabelece um processo de controles internos de forma a fornecer segurança razoável quanto à consecução de objetivos relacionados a três categorias:  

• Eficácia e eficiência das operações.
• Confiabilidade de relatórios financeiros.
• Conformidade com a legislação e regulamentos aplicáveis. (BORGERTH, 2009, p. 38; PETERS, 2007, p.7)

O relatório consiste em uma série de ações que permeiam a infraestrutura de uma entidade e se integram. É o resultado da interação de funcionários em todos os níveis da organização e fornece apenas segurança razoável, não absoluta, à administração e ou ao conselho de administração.

Cubo do COSO (1)
riscos_07
 
O cubo tem como princípio analisar e melhorar a efetividade dos controles internos, fornecendo subsídios para que a administração e demais interessadas pudessem utilizar e avaliar um sistema de controle.

As “limitações inerentes”, são típicas de atividades que envolvem a execução por parte de pessoas, como por exemplo:
•    Erros de julgamento,
•    Falhas cometidas por não entendimento das instruções corretamente
•    Erros por falta de cuidado, distração ou cansaço, atropelamento pela administração,
•    ou até mesmo a conspiração entre empregados que pode valer-se de seus conhecimentos e competências para burlar os controles e para praticar fraude.

COSO 2 – Estrutura integrada de gerenciamento de riscos

Devido à crescente preocupação com o gerenciamento de riscos, em 2001, o “COSO” solicitou à Price Waterhouse Coopers que desenvolvesse uma estratégia de fácil utilização pelas organizações para que elas pudessem avaliar e melhorar o próprio gerenciamento de riscos.
O COSO apresentou oito componentes inter-relacionados do gerenciamento de riscos corporativos, pela qual a administração gerencia a organização ampliando, desse modo, o conceito de controle interno (PEREIRA 2009, p. 122-125) e COSO (2010), como exemplifica a Figura abaixo.
riscos_08
 
Na figura, pode-se observar, na parte superior, que as quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes de gerenciamento de riscos corporativos estão representados nas linhas horizontais enquanto as unidades de uma organização estão ao lado direito na terceira dimensão.

A vantagem da utilização do cubo é que ele permite visualizar como se dá a atuação do COSO. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.

Os componentes do gerenciamento de riscos corporativos são os seguintes:

1.    Ambiente interno – os riscos são identificados e define-se a filosofia de gerenciamento de riscos
2.    Definição dos objetivos – definição de metas
3.    Identificação de eventos – classificação entre riscos e oportunidades
4.    Avaliação do risco – considerando-se probabilidade e impacto
5.    Resposta ao risco – de acordo com a tolerância ao risco
6.    Atividades de controle
7.    Informação e comunicação – informações relevantes são identificadas
8.    Monitoramento – integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.

PMBOK (Project Management Body of Knowledge)

Apresentaremos o PMBOK de forma resumida.

A figura abaixo apresenta uma visão geral dos processos do gerenciamento de riscos no PMBOK.  
riscos_09

. Processos e Riscos segundo o PMBOK

Como é sabido, no PMBOK os processos do gerenciamento de riscos do projeto estão dispostos da seguinte  forma:
•    Plano de Gerenciamento do Risco: decide como abordar, planejar e executar as atividades de gerência de risco para um projeto;
•    Identificação dos Fatores de Risco: determina quais riscos podem afetar o projeto e documenta suas características;
•    Análise Qualitativa de Risco: realiza uma análise qualitativa dos riscos e as condições para priorizar seus efeitos nos objetivos do projeto.
•    Análise Quantitativa de Risco: mede a probabilidade através de uma  análise numérica e as consequências dos riscos e estima suas implicações para os objetivos do projeto.
•    Planejamento de resposta ao Risco: desenvolve procedimentos e técnicas para melhorar as oportunidades e reduzir as ameaças para os objetivos do projeto.
•    Monitoramento e Controle do Risco: monitora riscos residuais identifica novos riscos, executa planos de redução de risco e avalia sua eficácia durante todo o ciclo do projeto.

Epílogo

Por Carlos Fernando Feu Rodrigues

O tema Gerenciamento de Riscos será a principal inclusão da Revisão da Norma ISO 9001 – 2008- Requisitos para Sistemas de Gestão da Qualidade, a ser publicada no 1º trimestre de 2015.
A estrutura de itens da Norma ISO 9001 está sendo totalmente modificada para incluir a inserção do Gerenciamento de Riscos, em todo o Ciclo de Vida do Produto.
Hoje a norma ISO 9001 está estruturada conforme modelo do PDCA – Plan – DO – Check e Action, conforme criação de Deming e profundamente incorporado ao TQC – Total Quality Control , no Modelo de Gestão Japonês.

A figura abaixo ilustra este modelo.
riscos_10

Com a revisão para 2015, este enfoque do PDCA continuará sendo um dos fundamentos do Sistema de Gestão da Qualidade, porém em cada um destes elementos, ilustrados acima, será demonstrado como os Riscos serão identificados, avaliados, mitigados, monitorados e controlados.

Com esta abordagem de inserção do Gerenciamento de Riscos, em todos os elementos que compõem um Sistema de Gestão, a norma ISO 9001 irá proporcionar às empresas, fornecedores e aos clientes uma garantia maior da entrega dos produtos dentro dos Requisitos Especificados.

Para empresas que executam Projetos, este enfoque do Gerenciamento de Riscos, deverá ser demonstrado já na fase de Contratação com o Cliente.

Neste momento, será necessária uma análise de todo o Contexto Interno e Interno do Projeto, nos aspectos dos Riscos envolvidos.
Assim, inicia-se neste momento a aplicação do Gerenciamento dos Riscos do Projeto. Nesta fase, as principais Categorias de Riscos deverão ser identificadas e consideradas para a Estrutura Analítica de Riscos do Projeto

Categorias de Riscos, tais como:

•    Fornecedores;
•    Comunidades;
•    Imagem;
•    Políticos;
•    Técnicos;
•    Prazos
•    Desempenho;
•    Equipe

e outra Categorias de Riscos, deverão ser mapeadas e irão compor a EAR do Projeto.

A inserção do Gerenciamento de Riscos, será a grande e mais importante novidade da revisão da Norma ISO 9001 :2015.
O atual Conceito de Ação Preventiva, da Norma ISO 9001:2015, será substituído pelo de Gerenciamento de Riscos.
Importante destacar que o conceito de Riscos será também considerado o de Oportunidades e não somente o de Ameaças.

REFERÊNCIAS

Artigos:

A METODOLOGIA COSO COMO FERRAMENTA DE GERENCIAMENTO DOS CONTROLES INTERNOS
Rômulo Paiva Farias1, Márcia Martins Mendes De Luca2, Marcus Vinicius Veras Machado
Contabilidade, Gestão e Governança – Brasília • v. 12 • n. 3 • p. 55 – 71 • set/dez 2009

Trabalhos Acadêmicos:

ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO
André Pontes Sampaio, Aristides Souza Barcellos Cristiane Nicoli Sansevero Eduardo Salvador Ramos
O Trabalho de Conclusão de Curso
FUNDAÇÃO GETULIO VARGAS / PROGRAMA FGV MANAGEMENT / MBA EM GERÊNCIA DE PROJETOS
CONTROLE INTERNO COMO FACILITADOR DA AUDITORIA INTERNA, UM ESTUDO BASEADO NOS COMPONENTES DA
“METODOLOGIA COSO”  LUCIANA MENDES CORRÊA  UNIVERSIDADE FEDERAL DE SANTA CATARINA / CENTRO SÓCIO-ECONÔMICO / CURSO DE BACHARELADO EM CIÊNCIAS CONTÁBEIS  

Websites:
COSO Gerenciamento de  Riscos Corporativos –
Estrutura Integrada / Sumário Executivo
COSO / Audibra / Price Waterhouse Coopers
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf

Seminários:
Seminário Rio Risk Management 2011.