Administrar uma empresa sem ter um processo formal de gestão de riscos, pode ser a diferença entre vencer, perder ou até mesmo quebrar. Afinal, um negócio sempre tem riscos e eles precisam ser entendidos e gerenciados, além do sentimento (feeling) dos donos ou diretores. Experiência e sorte ajudam nos negócios, mas uma boa gestão de riscos técnica e processual pode colocar a empresa em vantagem e ainda adicionar um bom valor a ela.
Segundo a norma internacional ISO 31000:2009, risco é o efeito da incerteza nos objetivos. Uma incerteza é a condição ou natureza do que é incerto; qualidade daquilo que incita dúvida(s); indecisão ou ainda hesitação, indecisão, dúvida, imprecisão. Ou seja, algo que temos medo, receio e é difícil de prever.
O sentimento de falta de previsibilidade é um dos mais temidos entre os empresários ou gestores. Líderes gostam de medir e prever para poder antecipar ou evitar situações que possam prejudicar os negócios.
Risco nada mais é que uma equação, na qual consideramos a probabilidade de algo acontecer versus a vulnerabilidade e os possíveis impactos apresentam um resultado para classificação, medição e monitoramento, ou seja, risco = probabilidade de acontecer X vulnerabilidade X impactos.
Com isso, temos alguns tipos de riscos que são comuns nas empresas:
Riscos de continuidade de negócios: riscos compostos por ameaças relacionadas a probabilidade de interrupção das atividades gerando impactos financeiros, de imagem, legais ou operacionais, ocasionando a incapacidade de realização, operação ou prestação de serviços. Exemplo: parada de processamento, interrupção de links, impossibilidade de operar, sistemas fora do ar por um período longo, perda total da capacidade de gerenciar, interrupção total do prédio sede, entre outros (ref. ISO 22301);
Riscos de segurança empresarial: riscos compostos por ameaças relacionadas a segurança física e ambiental. Exemplo: invasão causando perdas, sabotagem, destruição de instalações, roubo, furto, danos intencionais, roubo de carga, acessos indevidos causando perdas, entre outros (ref. OHSAS 18001 e ASIS);
Riscos de saúde e meio ambiente: riscos compostos por ameaças relacionadas a saúde laboral e meio ambiente, riscos que possam afetar sua integridade, e seu bem-estar físico ou psíquico. Como por exemplo: máquinas e equipamentos sem proteção, probabilidade de incêndio e explosão, arranjo físico inadequado, armazenamento inadequado, excesso de trabalho e pressão por home office, instalações inadequadas, riscos de segurança empresarial, falta de CIPA ou ambiente inadequado para a prática dessa organização (ref. ISO 14001 e OHSAS 18001);
Riscos tecnológicos ou de segurança da informação: riscos compostos por ameaças relacionadas a perda de dados e informações, acessos indevidos lógicos, ataque hacker causando perdas, vírus de computador provocando interrupções, falhas de tecnologias, perda de links, entre outros (ref. ISO 27001, ISO 27701 e ISO 20000);
Riscos de governança: riscos compostos por ameaças relacionadas a mentiras, corrupção, lavagem de dinheiro, perda de executivos líderes, falha ou falta de gestão, espionagem, falta de conformidade legal e regulamentar etc. (ref. IBGC, ISO 38500);
Riscos de responsabilidade social corporativa: riscos compostos por ameaças relacionadas a falhas ou falta de gestão de fornecedores para evitar trabalho escravo, trabalho infantil, aquisição de subsídios ou produtos que violem leis e regulamentos sociais, entre outros (ref. ISO 26001);
Riscos de conformidade: riscos compostos por ameaças relacionadas a violação de leis trabalhistas, tributários ou contratuais, processos judiciais a uma empresa são um grande risco aos negócios, podendo impactar negativamente nas operações e resultados da companhia etc. (ref. Leis e regulamentos, PLD, ESG).
Para evitar que a empresa seja afetada, listo algumas dicas iniciais e estratégicas para qualquer tipo de negócio. Porém, a implantação de um bom gerenciamento de riscos pode garantir a continuidade da companhia, maximizando as oportunidade e competitividade nos negócios.
- Crie um Comitê de Riscos multidisciplinar incluindo: Lideranças, RH, Jurídico (mesmo que terceirizado), TI, Finanças, Vendas, Logística e/oi operações. De 10 a 12 pessoas está satisfatório, pode incluir também consultores ou até mesmo parceiros estratégicos;
- Crie uma planilha com todos os riscos que preocupam e /ou já são sabidos pelos líderes, cada um no seu tema. Comece pelos estratégicos do negócio;
- Defina papéis e responsabilidades. Uma política de gestão de riscos é aconselhável, onde será definido o Apetite de Riscos corporativo (o quanto a empresa vai aceitar/correr riscos);
- Defina uma periodicidade para reuniões e discussões sobre o tema, ou até mesmo use estes encontros para aprender (compre cursos, palestras e assista filmes sobre o assunto), recomendado a cada três meses, mínimo de duas vezes por ano;
- Escolha uma metodologia para a Análise, Avaliação e Tratamento de riscos;
- Identifique e classifique os riscos estratégicos para o negócio. Exemplo: a) quebra de um fornecedor chave, b) variação cambial abrupta (ex.: dólar), c) vazamento e/ou perda de dados e informações de clientes (LGPD), d) interrupção total das tecnologias e website de vendas por mais de oito horas sem previsão de retorno;
- Classifique qual a probabilidade, vulnerabilidade e impactos, frente a cada um dos riscos identificados em caso de acontecerem (materialização);
- Defina quem será o responsável pelos riscos. Exemplo: risco financeiro ficará com a diretoria de Finanças, ela deverá acompanhar, monitorar e prestar contas ao comitê;
- Crie um plano de ação para monitorar e medir estes riscos;
- Defina um indicador chave e de riscos (KRI) para que possa acionar um plano de ação para gerenciar o risco ou enfrentar uma situação em que ele se materializou. Exemplo: dólar subiu e chegou a cinco reais, isto pode ser um gatilho para o acionamento de um plano de resposta, gerenciamento de risco ou de crise.
*Jeferson D’Addario é CEO do Grupo DARYUS e especialista em Continuidade de Negócios e Gestão de Riscos.
Sobre o Grupo DARYUS
Desde 2005 com o propósito de iluminar mentes, proteger pessoas e negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI). O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria - especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP - instituto DARYUS de Ensino Superior Paulista - que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança. Para saber mais visite: https://www.daryus.com.br/
CONHEÇA A FRANQUIA IDEAL PARA VOCÊ