DARYUS 
Administrar uma empresa sem ter um processo formal de gestão de riscos, pode ser a diferença entre vencer, perder ou até mesmo quebrar. Afinal, um negócio sempre tem riscos e eles precisam ser entendidos e gerenciados além do sentimento (feeling) dos donos ou diretores. Experiência e sorte ajudam, mas uma boa gestão de riscos técnica e processual pode colocar a empresa em vantagem e ainda adicionar um bom valor a ela.
Risco é o efeito da incerteza nos objetivos, segundo a norma internacional ISO 31000:2009. Uma incerteza é a condição ou natureza do que é incerto; qualidade daquilo que incita dúvida(s); indecisão ou ainda hesitação, indecisão, dúvida, imprecisão. Ou seja, algo que temos medo, receio e é difícil de prever.
Esse sentimento e falta de previsibilidade para um empresário ou para gestores é o que mais temem. Gestores gostam de medir e prever para poder antecipar ou evitar situações que possam prejudicar os negócios.
Risco nada mais é que uma equação, onde considerando a probabilidade de algo acontecer versus a vulnerabilidade e os possíveis impactos apresentam um resultado para classificação, medição e monitoramento, ou seja risco = probabilidade de acontecer x vulnerabilidade X impactos.
Por isso, ao longo desse texto, vamos apresentar 10 dicas para que você melhorar a gestão de riscos na sua empresa. Mas antes, vamos entender alguns tipos de riscos que são comumente encontrados:
- Riscos de continuidade de negócios: riscos compostos por ameaças relacionadas a probabilidade de interrupção das atividades gerando impactos financeiros, de imagem, legais ou operacionais, ocasionando a incapacidade de realização, operação ou prestação de serviços, ex.: parada de processamento, interrupção de links, impossibilidade de operar, sistemas fora do ar por um período longo, perda total da capacidade de gerenciar, interrupção total do prédio sede, etc. (ref. ISO 22301);
- Riscos de segurança empresarial: riscos compostos por ameaças relacionadas a segurança física e ambiental, ex.: Invasão causando perdas, sabotagem, destruição de instalações, roubo, furto, danos intencionais, roubo de carga, acessos indevidos causando perdas, etc. (ref. OHSAS 18001 e ASIS);
- Riscos de Saúde e meio ambiente: riscos compostos por ameaças relacionadas a saúde laboral e meio ambiente, riscos que possam afetar sua integridade, e seu bem-estar físico ou psíquico. Como, por exemplo: máquinas e equipamentos sem proteção, probabilidade de incêndio e explosão, arranjo físico inadequado, armazenamento inadequado, excesso de trabalho e pressão por home office, instalações inadequadas, riscos de segurança empresarial, falta de CIPA ou ambiente inadequado para a prática dessa organização, (ref. ISO 14001 e OHSAS 18001);
- Riscos tecnológicos ou de segurança da informação: riscos compostos por ameaças relacionadas a perda de dados e informações, acessos indevidos lógicos, ataque hacker causando perdas, vírus de computador provocando interrupções, falhas de tecnologias, perda de links, etc. (ref. ISO 27001, ISO 27701 e ISO 20000);
- Riscos de governança: riscos compostos por ameaças relacionadas a mentiras, corrupção, lavagem de dinheiro, perda de executivos líderes, falhas ou falta de gestão, espionagem, falta de conformidade legal e regulamentar etc. (ref. IBGC, ISO 38500);
- Riscos de responsabilidade social corporativa: riscos compostos por ameaças relacionadas a falhas ou falta de gestão de fornecedores para evitar trabalho escravo, trabalho infantil, aquisição de subsídios ou produtos que violem leis e regulamentos sociais, etc. (ref. ISO 26001);
- Riscos de conformidade: riscos compostos por ameaças relacionadas a violação de leis trabalhistas, tributários ou contratuais, processos judiciais a uma empresa são um grande risco aos negócios, podendo impactar negativamente nas operações e resultados, etc. (ref. Leis e regulamentos, PLD, ESG)
Teste seu valor e conhecimento como profissional sobre Gestão de Riscos e Continuidade de Negócios com esse Quiz preparado pela Daryus
Confira as 10 dicas de como melhorar a gestão de riscos na empresa:
- Crie um Comitê de Riscos multidisciplinar incluindo: Liderança, RH, Jurídico (mesmo que terceirizado), TI, Finanças, Vendas, Logística e/ou operações. De 10 a 12 pessoas está satisfatório, pode incluir consultores ou até mesmo parceiros estratégicos;
- Crie uma planilha com todos os riscos que preocupam e/ou já são sabidos pelos líderes, cada um no seu tema. Comece pelos estratégicos de negócio;
- Defina papéis e responsabilidades. Uma política de gestão de riscos é aconselhável, onde será definido o Apetite de Riscos corporativo (o quanto a empresa vai aceitar/correr riscos);
- Defina uma periodicidade para reuniões e discussões sobre o tema, ou até mesmo use estes encontros para aprender (compre cursos, palestras e assistam filmes sobre), recomendado a cada 3 meses, mínimo de 2 vezes por ano;
- Escolha uma metodologia para a Análise, Avaliação e Tratamento dos riscos;
- Identifique e classifique os riscos estratégicos para o negócio, ex.: a) Quebra de um fornecedor chave, b) Variação cambial abrupta (ex.: dólar US$), c) vazamento e/ou perda de dados e informações de clientes (LGPD), d) Interrupção total das tecnologias e website de vendas por mais de 8 horas sem previsão de retorno.
- Classifique qual a probabilidade, vulnerabilidade e impactos, frente a cada um dos riscos identificados em caso de acontecerem (materialização);
- Defina quem será o responsável pelos riscos, ex.: Risco financeiro ficará com a Diretoria de Finanças ela deverá acompanhar, monitorar e prestar contas ao comitê;
- Crie um plano de ação para monitorar e medir estes riscos;
- Defina um indicador chave de riscos (KRI) para que possa acionar um plano de ação para gerenciar o risco ou enfrentar uma situação em que ele se materializou, ex. Dólar subiu e chegou a R$ 5,00, isto pode ser o gatilho para o acionamento de um plano de resposta, gerenciamento de risco ou de crise.
Essas são 10 dicas iniciais e estratégicas para qualquer tipo de negócio. Como podemos ver, a implantação de um bom gerenciamento de riscos pode garantir a continuidade da sua empresa, maximizando as oportunidades e competitividade.
Pensando nisso que o Instituto Daryus de Ensino Superior Paulista (IDESP) está lançando a pós-graduação em Gestão de Riscos e Compliance, que tem como objetivo proporcionar aos participantes o entendimento Estratégico, Tático e Operacional da Gestão de Riscos e Compliance, de acordo com as normas, melhores práticas e técnicas internacionais, permitindo o desenvolvimento e aprimoramento de habilidades relacionadas à Gestão, Negociação e Visão Estratégica.
Nele você vai aprender:
- Introdução à Gestão de Riscos e Compliance;
- Governança e Cultura em GRC (COSO ERM);
- Política e Processos de Gestão de Riscos;
- Riscos Estratégicos e Riscos Operacionais;
- Classificação, Análise, Avaliação e Matriz de Riscos;
- Finanças e Riscos Financeiros;
- Segurança da Informação e Riscos Cibernéticos;
- Plano de Tratamento de Riscos e Monitoramento;
- Controles Internos;
- Compliance Officer;
- Auditoria baseada em Riscos;
- Oficina Integradora: Estudo de caso em GRC.
O curso é para os profissionais de Gestão de Riscos, Continuidade de Negócios, Gestão Empresarial, Segurança da Informação, Negócios, Finanças, Segurança Empresarial, Consultores, Planejadores Estratégicos de Investimento, Diretores de TI, CIO’s e Diretores de Tecnologia. E também, os graduados e profissionais da área em busca de reciclagem de conhecimentos. Ou àqueles não graduados especificamente da área, mas que buscam novas competências profissionais.
