A importância e elaboração do Plano de Gestão de Riscos Corporativos
31/07/2015Quando se fala em segurança patrimonial, um Plano de Gestão de Riscos Corporativos (PGRC) é fundamental e traz resultados extremamente positivos para as empresas que veem a importância da segurança em todos os aspectos, integrada e preventiva, como um investimento. Num primeiro momento, um PGRC prevê a identificação dos riscos, suas origens, probabilidades e impactos; depois são previstas as ações para eliminar, minimizar, compartilhar ou aceitar os riscos.
A primeira etapa é o levantamento dos riscos. Nela surgem duas perguntas: O que pode acontecer a uma empresa? Como e por que pode acontecer? A resposta à primeira pergunta é uma lista de possibilidades de perigo. À segunda são as causas e cenários dos riscos. Após listar os perigos, cada empresa deve defini-los de maneira que contemple suas características,. Em geral, eles são classificados em Estratégicos, Financeiros, Operacionais e Legais.
Quanto maior o impacto de um risco e menor o tempo de tolerância, maior o nível de criticidade.
Feito isso, é preciso identificar os fatores facilitadores comuns a todos os riscos e os motrizes. Ao tratar os comuns, vários riscos são mitigados ao mesmo tempo. Ao tratar os motrizes, diminui-se a probabilidade de concretização do risco. Inicia-se, então, a fase de elaboração do plano de ação. É preciso avaliar a probabilidade de cada risco se materializar e o impacto que causará. O indicado é colocar os resultados em uma tabela, chamada Matriz de Riscos, que possui os eixos de probabilidades e impactos, com diferentes níveis de criticidade. Quanto maior o impacto de um risco e menor o tempo de tolerância, maior o nível de criticidade.
Quanto à escala, geralmente se classifica a probabilidade em baixa, média, alta, muito alta ou elevada; quanto ao impacto, as classificações são insignificante, leve, moderado, severo e catastrófico. Assim, a matriz mostrará os riscos classificados como toleráveis, moderados, substanciais ou intoleráveis. As empresas devem ficar atentas aos riscos de alta probabilidade e impacto máximo, que exigem estratégias de combate imediato. Já os de probabilidade alta e impacto baixo devem ser tratados rapidamente, mas com nível de urgência menor. Os riscos com baixa probabilidade e baixo impacto devem ser acompanhados e administrados.
Qualquer plano de tratamento de riscos inclui a detecção, inibição, impedimento, atraso e resposta aos mesmos.
Chega então a fase de tratamento dos riscos. É preciso considerar se eles devem ser rejeitados (quando o custo de controle é superior ao risco) ou aceitos. Nesse caso, os riscos podem ser assimilados, mitigados, compartilhados ou explorados. Qualquer plano de tratamento de riscos inclui a detecção, inibição, impedimento, atraso e resposta aos mesmos. Uma metodologia indicada consiste em sete perguntas, conhecidas como 5W2H: o que fazer (What), quem vai fazer (Who), quando será feito (When), onde será feito (Where), por que (Why), como (How) e quanto custará (How Much).
Para a gestão da planilha 5W2H, as empresas podem usar um esquema com três status (não realizado, realizado e em execução). Para priorizar as ações, podem ser usados dois critérios: esforço de implantação e benefício estimado. Ao se cruzar o esforço com o benefício será produzida uma matriz com as ações que devem ser priorizadas imediatamente, as que devem ser reavaliadas ou desenvolvidas a médio prazo e as que serão descartadas.
As últimas fases do PGRC são as de monitoramento e análise crítica. O monitoramento consiste em verificar se as ações previstas no plano foram executadas e os objetivos atingidos; a análise crítica consiste em identificar e propor correções em ações cujos objetivos não foram atingidos e, caso tenham sido atingidos, propor ações de melhoria. Esta etapa é importante para garantir a eficácia dos controles, que a avaliação dos riscos melhore constantemente e que mudanças internas e externas sejam identificadas o mais cedo possível, assim como os riscos emergentes.
O PGRC deve ser constantemente revisado para não gerar acomodação nas pessoas envolvidas e principalmente porque novos riscos vão surgindo, assim como se altera a relevância de outros.
É importante ressaltar que o PGRC deve ser constantemente revisado para não gerar acomodação nas pessoas envolvidas e principalmente porque novos riscos vão surgindo, assim como se altera a relevância de outros. Cada empresa precisa de uma solução específica. Vale lembrar que a segurança é composta pela integração entre os recursos humanos, tecnológicos e o fiel cumprimento das normas e procedimentos. Uma empresa bem administrada deve ter um bom PGRC, que seja interativo, tenha uma sequência lógica e possibilite uma melhor qualidade de tomada de decisão, contribuindo para o alcance dos objetivos estratégicos.
* Erasmo Prioste, graduado em engenharia civil, com MBA em Gestão de Riscos Corporativos e especialista em segurança de patrimônio, é diretor comercial da Security Vigilância Patrimonial.
Junte-se ao nosso grupo exclusivo WhatsApp e tenha acesso a artigos, notícias e dicas sobre o universo da segurança. ENTRAR NO GRUPO.