Coluna Risk Management

Francesco de Cicco, QSP

A Gestão de Riscos é uma disciplina em constante evolução. Várias tentativas têm

sido feitas para dar uma certa "padronização" ao tema, para que os stakeholders (ou
"partes envolvidas") e os diversos públicos e setores que adotam a GR possam ter um
entendimento comum e falar a mesma língua, quando se trata de administrar os
riscos empresariais (e eu acrescentaria - por que não, com as devidas adaptações - os
riscos pessoais e familiares!).

Começando pela norma australiana e neozelandesa AS/NZS 4360, publicada em 1995

e revisada em 1999 (veja o manual que o QSP está lançando em português sobre
esse padrão pioneiro), seguida por normas sobre Gestão de Riscos do Canadá (em
1997), da Grã-Bretanha (em 2000) e do Japão (em 2001), chega-se ao ISO/IEC
Guide 73, Risk Management - Vocabulary - Guidelines for use in standards, publicado
em 2002 pela International Organization for Standardization (ISO) e pela
International Electrotechnical Commission (IEC), ambas com sede em Genebra, na
Suiça.

O ISO Guide 73, como eu o chamarei nesta coluna para fins de simplificação, define
29 termos da Gestão de Riscos, os quais foram agrupados nas seguintes categorias:
a) Termos básicos; b) Termos relacionados a pessoas ou organizações afetadas por
riscos; c) Termos relacionados à avaliação de riscos; d) Termos relacionados ao
tratamento e controle de riscos.

As definições não foram elaboradas para cada área de aplicação da GR. Cada
definição procura ser genérica e a mais ampla possível. O conteúdo do guia é muito
mais que um simples "vocabulário", pois permite aos usuários terem uma boa idéia do
que é a Gestão de Riscos.

Os membros do grupo de trabalho que elaborou o ISO Guide 73 esperam que, com
esse guia, profissionais e especialistas das mais diversas áreas (finanças, segurança,
saúde, meio ambiente etc) consigam agora se entender e falar, finalmente, a mesma
linguagem...

Os primeiros termos que separei estão aí ao lado. Em cada edição da coluna,

pretendo apresentar 2 ou 3 deles.

O processo de Gestão de Riscos

A norma AS/NZS 4360, a primeira do mundo sobre Sistemas de Gestão de Riscos

Empresariais, propõe um processo estruturado para o gerenciamento dos mais
diversos tipos de riscos, entre os quais destaco: os relacionados à segurança, ao meio
ambiente e à qualidade de produtos e serviços; os riscos financeiros e os riscos
relacionados a seguros e a políticas públicas.

Dos riscos "negativos" aos riscos "positivos"

Embora o conceito de risco esteja ainda bastante associado a perigos e impactos
negativos, cresce rapidamente a sua utilização como "exposição a conseqüências da
incerteza", sendo cada vez mais aplicado tanto ao gerenciamento de perdas como ao
de ganhos potenciais.

Nestes últimos anos, a Gestão de Riscos, de maneira geral, tem buscado alcançar o
adequado balanceamento entre aproveitar as oportunidades de ganho e minimizar os
impactos adversos. A "nova" GR é parte integrante das boas práticas de gestão
empresarial e é um elemento essencial da chamada Governança Corporativa. É
desenvolvida como um processo iterativo, composto de etapas seqüenciais, de modo
a permitir a melhoria contínua da tomada de decisões e do desempenho da
organização.

Hoje, a Gestão de Riscos envolve o estabelecimento de uma cultura e infra-estrutura

adequadas, bem como a aplicação de uma metodologia lógica e sistemática para
administrar os riscos "negativos" (de perdas) e os riscos "positivos" (de ganhos),
associados a qualquer atividade, função ou processo.

Para ser eficaz, a GR deve estar "incrustada" na cultura da organização, nas suas
práticas e em seus processos de negócio. Não deve ser vista ou praticada como uma
atividade separada. Vários são os exemplos de métodos e técnicas, novos e
consagrados, que podem ser utilizados nesse contexto atual da Gestão de Riscos.
Para dar uma idéia a vocês, vou relacionar a seguir alguns deles, classificados de
acordo com o seu uso mais freqüente:

Técnicas e métodos de análise de

Técnicas de identificação de riscos
riscos

• Brainstorning
• Questionários
• Benchmarking
• Análise de cenários
• Reuniões de avaliação de riscos
• Investigação de incidentes
• Auditoria e inspeção
Riscos "positivos"
• Pesquisas de mercado
• Testes de marketing
• Pesquisa & Desenvolvimento
• Análise de impactos do negócio
Riscos "negativos"

• HAZOP • Análise de ameaças

• Análise de Árvores de Falhas
• FMEA

Ambos

• Análise de Árvores de Eventos

• Planejamento da continuidade do
negócio
• Inferências estatísticas

• Medidas de tendência central e

dispersão
 A análise de riscos segundo a norma AS/NZS 4360
Os objetivos da análise são separar os riscos aceitáveis menores dos riscos maiores e
fornecer dados para auxiliar na avaliação e no tratamento de riscos. A análise de riscos
envolve a consideração das fontes de risco, de suas conseqüências e da probabilidade
de tais conseqüências ocorrerem. Pode-se identificar os fatores que afetam as
conseqüências e a probabilidade. Um risco é analisado combinando-se as estimativas
das conseqüências e da probabilidade no contexto das medidas de controle existentes.

Pode-se realizar uma análise preliminar, a fim de que riscos semelhantes ou de baixo
impacto sejam excluídos de um estudo mais detalhado. Os riscos excluídos devem ser
listados, na medida do possível, a fim de demonstrar a totalidade da análise de riscos.

Determinação dos controles existentes

Identificar os sistemas de gestão, os sistemas técnicos e os procedimentos existentes

para o controle de riscos, e avaliar seus pontos fortes e fracos. Podem ser utilizadas as
ferramentas mencionadas em outra seção da norma e abordagens como inspeções e
técnicas de controle de auto-avaliação.

Conseqüências e probabilidades

A magnitude das conseqüências de um evento, caso este ocorra, e a probabilidade do

evento e as conseqüências a ele associadas são avaliadas no contexto dos controles
existentes. As conseqüências e a probabilidade são combinadas com o intuito de
produzir um nível de risco, podendo ser determinadas por meio de análises e cálculos
estatísticos. Caso não haja dados anteriores disponíveis, podem ser feitas estimativas
subjetivas que reflitam o grau de expectativa de um indivíduo ou grupo quanto à
ocorrência de um determinado evento ou resultado.

A fim de evitar o viés subjetivo, convém que as melhores fontes de informação e

técnicas disponíveis sejam utilizadas ao analisar conseqüências e probabilidades. As
fontes de informação podem incluir:

a) Registros anteriores;
b) Experiências pertinentes;
c) Prática e experiência do setor da indústria;
d) Publicações pertinentes;
e) Teste de marketing e pesquisa de mercado;
f) Experimentos e protótipos;
g) Modelos econômicos, modelos de engenharia e outros;
h) Opinião de especialistas e peritos.

As técnicas incluem:

i) entrevistas estruturadas com especialistas da área de interesse;

ii) uso de grupos multidisciplinares de especialistas;
iii) avaliações individuais utilizando-se questionários;
iv) utilização de softwares de modelagem e outros meios similares; e
v) uso de árvores de falhas e árvores de eventos.
Sempre que possível, deve-se incluir o grau de confiança das estimativas dos níveis de
risco.

Tipos de análise

A análise de riscos pode ser conduzida com vários graus de refinamento, dependendo
das informações e dados disponíveis. As análises podem ser: qualitativas, semi-
quantitativas, quantitativas ou uma combinação das mesmas, dependendo das
circunstâncias. Classificando-se as análises em ordem crescente de complexidade e
custos, tem-se: as qualitativas, as semi-quantitativas e as quantitativas. Na prática,
geralmente utiliza-se a análise qualitativa em primeiro lugar, a fim de se obter uma
indicação geral do nível de risco. Posteriormente, pode ser necessário realizar análises
quantitativas mais específicas. A seguir, são apresentados esses tipos de análise com
mais detalhes.

a) Análise qualitativa

A análise qualitativa utiliza palavras ou escalas explicativas para descrever a

magnitude das conseqüências potenciais e a probabilidade subjetiva dessas
conseqüências ocorrerem. Essas escalas podem ser adaptadas ou ajustadas de acordo
com as circunstâncias, podendo-se utilizar descrições diferentes para riscos diferentes.

A análise qualitativa é utilizada:

i) como uma atividade de prospecção inicial para a identificação dos riscos que
requerem uma análise mais detalhada;
ii) quando o nível de risco não justifica o tempo e os esforços necessários para uma
análise mais completa; ou
iii) quando os dados numéricos são insuficientes para uma análise quantitativa.

b) Análise semi-quantitativa

Em análises semi-quantitativas, atribui-se valores às escalas qualitativas tais como as

descritas acima. Não é necessário que o número atribuído a cada descrição
corresponda exatamente à magnitude real das conseqüências ou probabilidade. Os
números podem ser combinados de acordo com qualquer série de fórmulas, desde que
o sistema utilizado para a priorização se ajuste ao sistema escolhido para atribuir
números e combiná-los. O objetivo dessa análise é produzir uma priorização mais
detalhada do que aquela normalmente obtida em uma análise qualitativa, e não
sugerir valores absolutos como se pretende com a análise quantitativa.

Deve-se tomar cuidado com o uso desse tipo de análise, pois os números escolhidos
podem não refletir adequadamente os aspectos relativos, o que pode levar a
resultados inconsistentes. A análise semi-quantitativa pode ser insuficiente para
diferenciar os riscos apropriadamente, principalmente se a probabilidade e as
conseqüências forem extremas.

Em alguns casos, pode ser necessário considerar a probabilidade subjetiva como sendo
composta por dois elementos, geralmente chamados de freqüência de exposição e
probabilidade objetiva.
Freqüência de exposição é o grau até o qual existe uma fonte de risco e a
probabilidade objetiva é a chance de haver conseqüências, no caso de tal fonte de
risco existir.

Deve-se tomar cuidado nas situações em que a relação entre os dois elementos não é
totalmente independente, ou seja, quando houver uma forte relação entre a freqüência
de exposição e a probabilidade objetiva.

Essa abordagem pode ser aplicada tanto à análise semi-quantitativa quanto à análise
quantitativa.

c) Análise quantitativa

Na análise quantitativa, utilizam-se valores numéricos (em vez das escalas descritivas
utilizadas nas análises qualitativas e semi-quantitativas), tanto para as conseqüências
quanto para as probabilidades. A qualidade da análise depende da precisão e da
abrangência dos valores numéricos utilizados.

As conseqüências podem ser estimadas mediante a modelagem dos resultados de um

evento ou conjunto de eventos, ou pela extrapolação de estudos experimentais ou
dados anteriores. As conseqüências podem ser expressas em termos monetários,
técnicos, humanos ou qualquer um dos critérios referidos em outra seção da norma.
Em alguns casos, pode ser necessário mais de um valor numérico para especificar as
conseqüências para diferentes períodos, lugares, grupos ou situações.

A probabilidade é geralmente expressa pela probabilidade objetiva, pela freqüência ou

pela combinação da exposição e da probabilidade objetiva.

A maneira pela qual são expressas a probabilidade e as conseqüências, e os modos

como são combinadas para fornecer o nível de risco, irá variar de acordo com o tipo de
risco e com o contexto no qual é utilizado o nível de risco.

Os Sistemas da Qualidade e a Gestão de Riscos (1ª parte)

Texto adaptado por Francesco De Cicco, diretor-executivo do QSP,

de um artigo de Russell T. Westcott, professor e consultor norte-americano.

Após o estouro da bolha do mercado de ações das empresas ponto.com, os

acontecimentos de 11 de setembro, o colapso das empresas Enron e Arthur Andersen,
os casos corriqueiros de fraude e até mesmo a recente explosão da Base de Alcântara,
no Maranhão, duas coisas sobre risco devem ficar bem entendidas:

• Eventos negativos com impactos que vão desde um pequeno transtorno até
uma catástrofe podem afetar sua empresa onde quer que ela esteja localizada.
• Eventos negativos podem assumir diversas formas, sendo que cada evento
afetará uma organização de maneira diferente, causando um impacto que
 poderá significar um pequeno transtorno para uma e uma grande catástrofe
para outra.

Com isso em mente, é importante lembrar que um fator de risco que se transforme em
um evento negativo real tem a possibilidade de transtornar os processos de sua
organização, deixando-a incapaz de atender aos requisitos dos clientes. O ponto
principal de um Sistema de Gestão da Qualidade (SGQ) é buscar a satisfação dos
clientes sob quaisquer circunstâncias.

Infelizmente, a série ISO 9000:2000 não aborda diretamente a gestão dos riscos que
podem afetar as organizações e a qualidade do produto. Evidentemente, não
deveríamos esperar que a ISO 9001:2000, Sistemas de gestão da qualidade -
Requisitos, exigisse a avaliação de riscos; afinal, ela é uma norma genérica para SGQs,
enquanto que o risco não é nem genérico nem um elemento básico do SGQ. Já a ISO
9004:2000, Sistemas de gestão da qualidade - Diretrizes para melhorias de
desempenho, dá algumas "pistas" para o desenvolvimento do processo de
gerenciamento de riscos, especialmente nas seções 6.3 (Infra-estrutura) e 6.4
(Ambiente de trabalho).

Isso não significa necessariamente uma falha, pois os criadores da série ISO 9000,
edição 2000, diluíram de certa forma a Gestão de Riscos em várias seções das normas
que compõem a série. Trata-se de uma abordagem prática, pois um risco não assume
uma forma única nem afeta um único processo ou elemento do SGQ.

Como existe a possibilidade de que um risco afete a qualidade - e até mesmo a própria
existência da organização -, explorarei alguns riscos que podem causar impacto sobre
os processos da organização. Darei também algumas sugestões sobre maneiras de
como gerenciar os riscos no contexto do SGQ.

A Tabela 1 fornece uma lista de alguns riscos que podem afetar uma organização. Não
chega a ser uma lista completa; porém, mais assustador do que essa lista é a total
falta de atenção e preparo de muitas organizações quanto a perdas inesperadas. É
bem provável que você trabalhe numa empresa ou conheça uma organização com uma
mentalidade do tipo "não vai acontecer conosco", em relação a possíveis riscos que,
além de afetar a qualidade do produto caso ocorra uma perda, podem causar o
fechamento definitivo da empresa e deixar seus donos endividados para o resto da
vida.

Uma organização inteligente, qualquer que seja seu tamanho, faz avaliações dos
possíveis riscos aos quais está exposta e estabelece meios viáveis de gerenciar seus
riscos de perda.
Tabela 1. Possíveis Tipos e Formas de Risco que Podem Afetar uma Empresa
Não-conformidade com requisitos
Ação legal
regulamentares
Impactos ambientais (considerados
Erros do cliente
significativos)
Atraso de pagamento ou não-pagamento
Erros do fornecedor
por parte do cliente
Defeitos de matéria-prima Não-conformidades do prestador de serviço
Investimentos financeiros (rendimento
Erros e omissões
inesperado ou inaceitável)
Falhas de projeto ou retorno sobre Responsabilidade legal relacionada ao
investimento (ROI) indevido produto
Práticas incorretas de funcionários (não-
conformidade com regras de segurança e
outros tipos de regra, roubo, dano físico a
Sabotagem
colegas de trabalho, fornecimento de
respostas incorretas, falsificação de
registros etc)
Perda catastrófica (incêndio, furacão,
Acidentes tornado, enchente, terremoto, nevasca
etc)
Dano resultante de ação militar ou
Tumulto civil ou ataque terrorista
insurreição política
Vandalismo Obsolescência do produto
Controle indevido ou omisso (sobre
processos, finanças, funcionários, Desatenção a sinais de perigo
fornecedores, prestadores de serviço etc)
Comportamento ilegal ou anti-ético por Desqualificação para certificações, licenças,
parte da direção permissões
Morte, invalidez ou saída inesperada de
Aquisição indesejada da organização
pessoas-chave
Outros casos de interrupção dos negócios .

O Processo de Gestão de Riscos

O SGQ nada mais é do que uma série de processos de gestão inter-relacionados. O

objetivo é que, avaliando-se os processos para se obter eficácia e garantindo-se o uso
adequado e esperado deles, um processo se una ao outro formando processos
estáveis, eficazes e eficientes para a fabricação dos produtos da organização. Um bom
processo preventivo que se pode estabelecer para evitar que todos os outros processos
sejam interrompidos ou corrompidos é a Gestão de Riscos.

Para estabelecer um processo de Gestão de Riscos eficaz, deve-se tomar as seguintes

medidas:

1. Planejar. Significa que a organização deverá:

a. Identificar e definir possíveis exposições a perdas;

b. Quantificar os possíveis riscos financeiros e não-financeiros;
c. Examinar a viabilidade de técnicas alternativas de Gestão de Riscos;
d. Selecionar a(s) melhor(es) técnica(s) de Gestão de Riscos.
2. Fazer. Significa que a organização deverá testar a(s) técnica(s) de Gestão de Riscos
escolhida(s).

3. Checar. Consiste em aprovar cada técnica para sua implementação integral, fazer
ajustes na(s) técnica(s) escolhida(s) e determinar a necessidade de selecionar
alternativas.

4. Agir. Para isso, a organização deverá:

a. Realizar a implementação integral da(s) técnica(s) ensaiada(s);

b. Monitorar a(s) técnica(s) implementada(s) para adequar a proteção.

5. Melhorar a(s) técnica(s) implementada(s) (voltar ao item Planejar).

Essas medidas constituem o modelo PDCA, que é a base de um SGQ voltado para a
melhoria contínua. Na prática, uma organização que usa essa abordagem está
buscando a melhoria contínua e diminuindo sua exposição a perdas. Identificar
exposições a perdas é uma idéia "óbvia", porém é mais fácil dizer do que fazer.

Uma forma recomendada de se fazer isso é considerar as quatro perguntas a seguir:

1. O que está exposto a uma possível perda? Os itens que merecem ser considerados
são:

a. Propriedade (imóvel, instalações, equipamentos, produto, material, propriedade

intelectual);
b. Resultado financeiro (curto e longo prazo);
c. Responsabilidade legal (curto e longo prazo);
d. Pessoas (funcionários, clientes, fornecedores, membros da comunidade, investidores
e outros).

2. Que situação, evento ou perigo pode causar uma perda em cada exposição?

3. Quais são as conseqüências financeiras e outros tipos de conseqüência da perda?

4. Que ente tem o potencial de sofrer a perda?

A Tabela 2 fornece uma análise detalhada dos tipos de exposição em relação a esses
quatro fatores.

Embora seja fácil perceber o que poderia ter sido feito após ocorrer uma perda,
perceber o que poderia acontecer de ruim - e então tomar medidas para eliminar ou
minimizar as vulnerabilidades existentes - é mais difícil. Mesmo assim, existem
técnicas e ferramentas para identificar e analisar a exposição a perdas.

Tabela 2. Análise Detalhada de Possíveis Exposições a Perdas

Exposição a Perdas Causas Conseqüências Possível Ente a Sofrer
 Financeiras Perda
Propriedade Naturais • Custo de reposição • Interesses do
• Custo de reposição proprietário
• Tangível • Incêndio funcional • Credores segurados
Imóvel (terreno, • Vendaval • Valor de caixa real • Vendedores e
instalações, coisas compradores
cultiváveis) • Enchente
• • Interesses do
Produtos Materiais • Terremoto Valor econômico ou
locatário
valor de utilização
• Tempestade • Funcionários
• Intangível (chuva, granizo,
Licenças neve)
Interesses de • Comunidade
locação Humanas
Propriedade
intelectual (sigilo
comercial, • Roubo
processos do
• Vandalismo
proprietário)

• Mau uso
Resultado financeiro Redução das receitas • Redução dos lucros • A própria empresa
(Receitas, Despesas)
• Redução da • Acionistas
• Interrupção de participação no • Clientes
• Curto prazo negócios mercado
• Funcionários
• Perda de lucros • Redução do preço
antecipados das ações
• Longo prazo
•
• Redução da renda • Menos capital Interesses
de locação contratuais
• Redução de contas • Redução de
a receber melhorias
• Aumento das
despesas

• Aumento de
despesas
operacionais
Responsabilidade legal Classificação em relação • Custos legais, • A própria empresa
(resultante de um ente: ser ao ente a quem pertence incluindo:
processado por transgredir o dever - Julgamentos
• Acionistas
um dever legal ou contra o ente • Clientes
prejudicar outro ente; ser - Honorários
obrigado por contrato a • Criminal advocatícios • Funcionários
pagar por uma perda sofrida • Civil: - Danos punitivos
por outro ente) - Contrato
• Custo do tempo • Interesses
- Delito
envolvido contratuais
• Curto prazo
Classificação em relação à
fonte do dever legal • Perda de reputação
• Longo prazo

• Leis e Decretos

• Portarias e
Regulamentos
 Conseqüências Possível Ente a Sofrer
Exposição a Perdas Causas
Financeiras Perda
Perda de pessoal • Morte • Perdas temporárias • Acionistas
vs. perdas
• Invalidez
permanentes
• Clientes
• Pessoas-chave
• •
Aposentadoria • Perdas normais vs. Funcionários
• Funcionários
• Demissão perdas acima do
• Clientes normal
• Interesses
• Fornecedores
• Benefícios de
contratuais
funcionários: • Benefícios
-Responsabilidade adicionais
• Membros da
contratual
comunidade
-Responsabilidade
criminal ou civil

OS SISTEMAS DA QUALIDADE E A GESTÃO DE RISCOS

(2ª parte)

Texto adaptado por Francesco De Cicco, diretor-executivo do QSP,

de um artigo de Russell T. Westcott, professor e consultor norte-americano.

É cada vez maior o número de métodos e técnicas que são usados para identificar e
analisar exposições a perdas, já que a análise de uma possível exposição é tão difícil
de se fazer quanto a identificação da exposição em si. A lista a seguir relaciona
algumas forma eficazes para identificar e analisar tais exposições.

1. Analisar os incidentes relatados que envolvam perdas potenciais ou reais. O

primeiro lugar que se deve olhar é a própria organização. Analise os registros para
descobrir informações sobre:

• Indenização por perdas referentes aos últimos dois ou três anos, incluindo
multas e acordos extrajudiciais;
• Indicação e gravidade de dívidas incobráveis e pagamentos atrasados de
clientes;
• Indicação de perdas devido a ações fraudulentas de fornecedores ou
funcionários;
• Indicação de perdas devido ao cancelamento de licenças, certificações etc;
• Possíveis perdas caso expire um período de patente.

O segundo lugar que se deve "olhar" é para fora da empresa; ou seja, requisitar dados
de seguradoras referentes aos tipos e quantidades de indenizações feitas em nome da
organização (ex.: indenizações referentes à saúde e acidentes/invalidez,
responsabilidade civil).

Em seguida, analise os registros da comunidade dos últimos anos sobre acidentes

locais que tenham causado perdas. Esses acidentes podem não apenas se repetir na
sua empresa, mas também inspirar outros a acusar sua organização pela mesma
razão. Algumas fontes de registros da comunidade são:

• Registros da prefeitura e arquivos históricos;

• Arquivos de jornais locais;
• Fontes de bibliotecas locais;
• Arquivos da polícia e registros do corpo de bombeiros local.

2. Coletar dados de fontes internas. Conduzir sessões de brainstorming com os

funcionários de todos os níveis e funções da organização, bem como realizar enquetes
para coletar exemplos de pontos onde possam estar escondidos possíveis riscos.

3. Auditar declarações financeiras e documentos de suporte. Questões financeiras são

talvez a causa mais comum da exposição a riscos na maioria das organizações,
estando entre os mais lucrativos quando reparados ou evitados. Toda organização tem
de relatar suas informações financeiras para uma série de entidades, incluindo a
Receita Federal, ainda que muitas empresas contem com a ajuda de contadores
internos e externos para verificar essas informações. No entanto, se a direção se
acostumasse a examinar essas declarações, certificando-se de que elas batem com
suas próprias informações, poderia dar o sinal vermelho quando necessário e manter
os contadores em alerta.

4. Elaborar e analisar mapas de processo. Faça um mapa (fluxograma) dos processos

principais. Para tanto, será necessário convocar um grupo representativo de
funcionários que dê contribuições para o processo, realize o processo e receba os
resultados do processo. A partir do(s) mapa(s), discuta onde há possíveis "pontos de
risco" no processo. Representantes de fornecedores e clientes também podem ser
úteis nessa análise.

5. Conduzir inspeções e auditorias de processo periódicas. As inspeções de segurança

e saúde não apenas buscam não-conformidades com os regulamentos, mas também
oportunidades para reduzir riscos. Pode-se também incorporar perguntas para
identificar possíveis riscos nas auditorias internas do SGQ - Sistema de Gestão da
Qualidade, bem como nas auditorias de produtos. Pergunte-se sempre se, nas mãos
do usuário final, o produto poderá ser usado com segurança durante seu ciclo de vida,
incluindo o descarte.

6. Utilizar a FMEA (Análise de Modos de Falha e Efeitos). Essa é uma boa técnica para
determinar o que pode dar errado e que impacto esse erro terá nos processos e no
produto, tendo como objetivo evitar as falhas e seus efeitos. Veja a seguir uma
aplicação da FMEA.

7. Avaliar a eficácia dos sistemas de gestão. Essa avaliação não se trata das auditorias
internas realizadas para verificar a conformidade com uma ou mais normas e buscar a
melhoria contínua, embora também possa fazer parte desse tipo de auditoria. O ponto
principal aqui é a avaliação de riscos, a fim de verificar se existem "falhas" no(s)
sistema(s) de gestão que possam deixar ou estejam deixando a organização exposta a
perdas. Nunca é tarde demais para minimizar ou eliminar uma exposição; assim,
convém que cada avaliação realizada pela organização avalie a eficácia do sistema em
relação à prevenção de exposições e o que precisa ser melhorado ou corrigido para
reduzi-las. Além disso, será necessário avaliar um ou mais dos sistemas a seguir, para
determinar o nível de exposição e o que precisa ser feito para minimizá-lo:

• SGQs;
• Sistemas de gestão financeira, que incluem pagamentos de fornecedores,
receitas, folhas de pagamento, investimentos, gerenciamento de ativos e
reservas de contingência;
• Propriedade intelectual;
• Sistemas de segurança e garantia;
• Sistemas de gestão ambiental e outros sistemas.

8. Contratar serviços de inspeção. Tendo um organismo externo que examine as

operações da empresa, pode-se obter informações sobre segurança patrimonial e do
trabalho, conformidade com regulamentos e conformidade com requisitos não-
regulamentares (ex.: ISO 9001).

9. Consultar estatísticas sobre exposição. Seguradoras, associações profissionais e

agências reguladoras, todas podem fornecer à sua empresa dados estatísticos sobre
possíveis exposições que sejam comuns no setor de atividade da organização, e quais
os possíveis custos dessas exposições.

Reação às Exposições a Riscos

Identificar as exposições a riscos é uma medida crucial; porém, é necessário

determinar como a empresa irá reagir a essas exposições, não havendo qualquer
garantia de que conseguirá reagir a todas elas. Uma vez que a empresa tenha
identificado as exposições e determinado a probabilidade de perda humana, material
e/ou financeira, deverá tomar uma ou mais das seguintes ações:

1. Encontrar um meio de evitar a exposição;

2. Encontrar meios de reduzir a possível perda;
3. Encontrar meios de evitar que a perda ocorra;
4. Dividir os tipos de exposição para concentrar os esforços naquelas com mais
probabilidade de ocorrer e/ou causar grande perda (ex.: mínima, média, máxima);
5. Transferir o risco (ex.: seguro ou outro acordo contratual).

Além de contratar o seguro para cobrir todo um possível risco ou uma parte dele,
pode-se estabelecer vários tipos de planos de contingência, como as reservas para
perdas, que é uma forma de auto-seguro. Contudo, o método de prevenção mais
eficaz talvez seja treinar funcionários para reconhecerem perigos e possíveis áreas de
risco.

Por exemplo, uma empresa conhecida conduziu uma série de seminários para
funcionários sobre "possíveis perigos e riscos". Em uma das sessões, um funcionário
mencionou que seu falecido pai, que também fora funcionário daquela empresa por
muito tempo, havia lhe contado sobre os danos causados quando o rio próximo à
empresa subira cerca de 3 metros além do normal após uma incomum cheia. Os
membros da atual direção da empresa, que haviam entrado na companhia nos últimos
cinco anos, não tinham conhecimento desse potencial de risco. Tal informação foi
muito útil para a alta direção, pois a empresa havia construído recentemente unidades
- repletas de equipamentos novos e caros - à margem do rio.
Numa outra empresa, certa funcionária investigou as indenizações por falhas de
produtos após um programa semelhante de treinamento. Isolando as causas relatadas,
sugeriu que o pessoal da engenharia explorasse meios de criar produtos que evitassem
o seu uso incorreto por parte dos clientes - causa da maioria das ocorrências. Isso
resultou numa mudança do projeto de engenharia, reduzindo o número de ocorrências
e a média de indenizações pagas devido a reclamações por "uso incorreto". Como
resultado, o prêmio do seguro baixou.

Um outro método de prevenção eficaz consiste em avaliar os possíveis riscos de um

novo produto durante o estágio de projeto e desenvolvimento e tomar as medidas
necessárias. Uma das ferramentas fundamentais nessa atividade de avaliação é a
FMEA. O setor automotivo dos Estados Unidos, por exemplo, padronizou uma
abordagem específica para o setor, porém há muitas formas de se conduzir a FMEA.

Vejamos um exemplo de aplicação dessa técnica. Decidindo concorrer no mercado de

fabricação de equipamentos militares de alta tecnologia, uma empresa de grande porte
empregou a FMEA para identificar e avaliar os riscos de um tipo de produto inédito no
mercado. A técnica ajudou a avaliar as entradas do projeto, garantiu a identificação e
abordagem de possíveis modos de falha, proporcionou a identificação das causas-raiz
dos modos de falha, determinou as ações necessárias para eliminar ou reduzir as
possíveis falhas e acrescentou um alto grau de objetividade ao processo de análise
crítica do projeto. A análise também direcionou a atenção da empresa para os
elementos do projeto que precisavam de mais ensaio ou desenvolvimento,
documentou os esforços para redução de riscos, forneceu subsídios para ajudar em
futuras FMEAs e garantiu a realização do projeto com foco no cliente.

Em seu formato básico, a metodologia FMEA usada por essa empresa consistiu de 16
ações:
1. Definir as entradas do projeto;
2. Investigar possíveis projetos semelhantes;
3. Identificar o modo de falha (o que poderia dar errado);
4. Identificar os possíveis efeitos da falha (como o cliente interno ou externo tomaria
conhecimento do problema);
5. Classificar a gravidade dos efeitos (usando uma escala de 1 a 10, onde o "1"
significava "mínimo" e o "10" significava "máximo e sem aviso");
6. Estabelecer qual seria a(s) causa(s)-raiz;
7. Classificar a probabilidade de ocorrência da falha usando uma escala de 1 a 10;
8. Documentar os atuais controles de projeto;
9. Classificar a probabilidade de detecção da falha usando uma escala de 1 a 10;
10. Calcular o Número de Prioridade do Risco (NPR = gravidade X ocorrência X
detecção);
11. Recomendar ações preventivas e/ou corretivas (qual ação, quem iria executá-la,
quando) - note que a ação preventiva aparece primeiro, pois estavam lidando com o
estágio de projeto;
12. Voltar ao item de número 3, caso houvesse outras falhas possíveis;
13. Criar e ensaiar um protótipo;
14. Refazer a FMEA após obter os resultados do ensaio e fazer as alterações
necessárias ou desejadas;
15. Ensaiar novamente ou colocar em produção;
16. Documentar o processo, incluindo a FMEA, no banco de conhecimentos.
O envolvimento dos funcionários que participaram das atividades de projeto,
desenvolvimento, produção e atendimento ao cliente é fundamental, pois seu
conhecimento, suas idéias e suas perguntas sobre o projeto de um novo produto serão
baseadas em sua experiência nos diferentes estágios de realização do produto. Essa
contribuição, juntamente com a análise de projetos semelhantes (e os relatórios do
feedback de clientes e registros de FMEAs, não-conformidades de produtos e ações
corretivas), são normalmente as melhores fontes de análise.

Todas as despesas que consomem os ativos organizacionais incorrem em risco. Assim,

uma medida fundamental para a análise de riscos consiste em examinar quais são os
riscos financeiros relacionados com projetos e despesas de capital; afinal, se uma
catástrofe ou qualquer outro tipo de problema afetar a empresa, todo mundo avaliará
o impacto, considerando o seu efeito sobre o resultado financeiro.

Falência é normalmente o resultado da falta de análise dos riscos financeiros de

projetos e despesas de capital e da falta de precauções adequadas. Algumas das
formas para trazer à tona e examinar riscos associados com despesas de capital e
projetos são:

• Brainstorming;
• Obtenção de contribuições (input) das partes envolvidas;
• Análise crítica dos resultados de despesas anteriores;
• Realização da FMEA;
• Realização de comparações (benchmarking) com outras empresas;
• Coleta e análise de dados de:
. Associações de classe
. Publicações governamentais
. Reclamações de clientes
• Análise do possível retorno dos investimentos (custo-benefício, VPL, TIR, ROI,
ROA etc).

Cálculo de Possíveis Perdas e Definição de Ações

Mesmo sem se aprofundar em modelos e técnicas matemáticas, uso de tabelas

atuariais e similares, é possível produzir uma estimativa confiável do potencial de
perdas na empresa. Os passos a seguir o ajudarão nesse sentido:

• Após identificar os riscos e a prioridade do risco (veja acima a explanação sobre

FMEA), priorize todos os riscos identificados (usando o NPR) por meio de um
gráfico de Pareto. Identifique os oito riscos principais e agrupe os restantes
numa categoria denominada "todos os outros";
• Para cada risco principal, imagine o "pior cenário possível". Liste todas as
conseqüências possíveis (uma técnica seria o brainstorming);
• Classifique as conseqüências em grupos de acontecimentos semelhantes (uma
boa ferramenta seria o diagrama de afinidade);
• Faça estimativas de perdas financeiras para cada grupo. Alguns dos itens para
os quais você poderia definir um valor são:
. Custos com advogados, acordos por reclamações
. Acordos por reclamações devido a perda de vidas
. Perda temporária ou fechamento do negócio
. Custos de recolhimento do produto (recall)
. Desgaste da credibilidade da empresa e/ou dos produtos
 . Aumento dos prêmios de seguro
. Aumento dos custos de segurança
. Custos de reposição: pessoas, instalações, ferramentas etc
. Obsolescência de produtos
. Escassez de matéria-prima, fontes de energia, transporte, pessoal etc
• Determine o que seria necessário (custo de recursos adicionais) para reduzir ou
eliminar a possível perda financeira acumulada para cada grupo. Eis alguns
fatores que podem ser considerados:
. Seguro ou outros meios para diluir as possíveis perdas
. Melhoria da metodologia de previsões
. Melhoria dos procedimentos de preparação e reação (planos de contingência)
. Descentralização de funções e unidades associadas a riscos
. Mudança de unidades para áreas geográficas de menor risco
. Descontinuação da fabricação de produtos com alto potencial de risco
• Calcule o custo de recursos adicionais em relação ao valor total para cada
grupo;
• Determine quais ações são de maior interesse para todas as partes envolvidas
da empresa;
• Decida executar as ações que são de maior interesse para todas as partes
envolvidas da empresa;
• Periodicamente, reavalie as decisões tomadas e faça os ajustes necessários.

Resumo

O objetivo deste artigo foi apresentar alguns dos fatores que devem ser considerados
para se criar e manter uma empresa de qualidade focada no cliente, conscientizando o
leitor sobre a necessidade de se avaliar e controlar os riscos que possam causar
impactos à organização. Lembre-se de que nem todas as empresas que ganham
Prêmios da Qualidade sobrevivem. O que estamos falando tem pouco a ver com o
atendimento a Critérios de Excelência e mais a ver com a maneira como uma
organização administra seus negócios, a fim de eliminar os riscos identificados.

Algumas das grandes falhas de empresas que faliram tiveram pouco ou nada a ver
com problemas de qualidade de produtos e serviços, e tudo a ver com falhas na
identificação, avaliação e tratamento de possíveis riscos.

Definitivamente, não fará diferença nenhuma ter o melhor Sistema de Gestão da

Qualidade do mundo, se aquele barranco atrás de sua empresa deslizar e acabar com
tudo, simplesmente porque o risco não havia sido identificado e, portanto, não havia
um plano de contingência. O mesmo destino aguarda a empresa cujo executivo frauda
o fundo de pensão dos funcionários, ou cujo projeto de reposição de equipamentos não
produz o rendimento esperado, resultando na negligência do pagamento de
empréstimos.

Além disso, em nossa sociedade litigiosa, a organização deve analisar cuidadosamente

a possibilidade de ser processada por falhas em produtos, ações indevidas de
funcionários e violação ou descumprimento de requisitos de segurança e saúde no
trabalho. Tais ações legais costumam resultar em pesadas indenizações, caso a
empresa seja considerada "culpada" ou forçada a chegar a um vultuoso acordo
extrajudicial, qualquer que seja o motivo alegado.
Em suma: não ser capaz de manter uma empresa viável que atenda aos requisitos do
cliente e dê suporte à força de trabalho constitui uma falha da qualidade - isto é, uma
falha da qualidade da gestão.

Fontes Genéricas de Risco e suas Áreas de Impacto

A identificação de fontes de risco e áreas de impacto fornece uma estrutura para a

identificação e análise de riscos. Devido ao potencial grande número de fontes e
impactos, desenvolver uma lista genérica ajuda a focalizar as atividades de
identificação de riscos, além de contribuir para a gestão mais eficaz dos mesmos.

As fontes de risco genéricas e as áreas de impacto são selecionadas de acordo com a

sua relevância para a atividade que está sendo estudada. Os componentes de cada
categoria genérica podem servir de base para um estudo completo dos riscos.

Fontes de risco

Cada fonte genérica possui diversos componentes e cada um deles pode dar origem a
um risco. Alguns componentes ficarão sob o controle da organização que está
conduzindo o estudo, enquanto que outros não. Ambos os tipos precisam ser
considerados ao se identificar riscos. As fontes genéricas de risco incluem:

a) Relações comerciais e legais (entre a organização e outras organizações. Ex.:

fornecedores, subcontratados, locatários);
b) Circunstâncias econômicas (da organização, do país, do mundo, bem como fatores
que contribuam para tais circunstâncias. Ex.: taxas de câmbio);
c) Comportamento humano (tanto de pessoas envolvidas quanto de pessoas não-
envolvidas na organização);
d) Fenômenos da natureza;
e) Circunstâncias políticas (incluindo mudanças legislativas e fatores que possam
influenciar outras fontes de risco);
f) Tecnologia e questões técnicas (tanto internas quanto externas à organização);
g) Atividades e controles de gestão;
h) Atividades específicas.

Áreas de impacto

As análises de riscos podem se concentrar nos impactos causados em uma única área
ou em várias possíveis áreas de impacto.

As áreas de impacto incluem:

a) Base de ativos e de recursos (da organização, incluindo as pessoas);

b) Receitas e direitos;
c) Custos (com atividades, tanto diretas quanto indiretas);
d) Pessoas;
e) Comunidade;
f) Desempenho;
g) Programação de atividades;
h) Meio ambiente;
i) Ativos intangíveis (tais como reputação, imagem, qualidade de vida);
j) Comportamento organizacional.

Outras classificações de riscos

É comum diferentes disciplinas classificarem as fontes de risco de outras maneiras,

utilizando, por exemplo, termos como perigo ou exposição a riscos. Essas
classificações podem ser subconjuntos das fontes de risco listadas anteriormente. Eis
alguns exemplos:

a) Doenças (ex.: enfermidades de pessoas, animais e plantas);

b) Economia (ex.: flutuações cambiais, taxas de juros, mercado de ações);
c) Meio ambiente (ex.: ruído, contaminação, poluição);
d) Finanças (ex.: riscos de crédito, desvio de verbas, fraudes, multas);
e) Pessoas (ex.: motins, greves, sabotagem, erros);
f) Perigos da natureza (ex.: condições climáticas, terremotos, incêndios florestais,
pragas, vulcões);
g) Segurança e Saúde no Trabalho (ex.: medidas inadequadas de segurança, má
gestão da segurança e saúde);
h) Responsabilidade civil pelo fato do produto (ex.: erros de projeto, qualidade abaixo
de padrões, ensaios inadequados);
i) Responsabilidade profissional (ex.: aconselhamentos e diagnósticos errados,
negligência, erros de projeto);
j) Danos à propriedade (ex.: incêndio, inundação, terremoto, contaminação, erro
humano);
k) Responsabilidade com o público (ex.: acessos, saídas, segurança);
l) Segurança patrimonial (ex.: transporte de valores, vandalismo, roubo, apropriação
indébita de informações, invasão de propriedade);
m) Tecnologia (ex.: inovação, obsolescência, explosões e confiabilidade).

ETAPAS PARA O DESENVOLVIMENTO E A IMPLEMENTAÇÃO

DE UM PROGRAMA DE GESTÃO DE RISCOS
Suporte da alta direção

Desenvolver uma filosofia organizacional de gestão de riscos e conscientizar os níveis

da alta direção sobre 'riscos'. Isso poderia ser facilitado com educação, treinamento e
orientação da direção executiva.

• O executivo sênior da organização deve dar suporte ativo e contínuo.

• Um gerente executivo sênior ou um "champion" (ou equipe) deve patrocinar a
iniciativa.
• Todos os executivos sêniores devem dar total suporte.
Elaboração da política organizacional

Desenvolver e documentar uma política corporativa e uma estrutura para a gestão de

riscos, que deverão ser endossadas pelo principal executivo e implementadas em toda
a organização. A política pode incluir informações tais como:

• objetivos da política e fundamento lógico para a gestão de riscos;

• ligação entre a política e o plano estratégico/corporativo da organização;
• extensão ou série de questões às quais se aplica a política;
• diretrizes sobre o que deve ser considerado como risco aceitável;
• responsável pela gestão de riscos;
• suporte/equipe de especialistas disponível para auxiliar os responsáveis pela
gestão de riscos;
• nível da documentação necessária; e
• plano para análise crítica do desempenho organizacional em relação à política.

Comunicação da política

Desenvolver, estabelecer e implementar uma infra-estrutura ou providências para

assegurar que a gestão de riscos se torne parte integrante do planejamento, dos
processos de gestão e da cultura geral da organização.

Gestão de riscos no nível organizacional

Desenvolver e estabelecer um programa de gestão dos riscos no âmbito organizacional

mediante a aplicação do sistema de gestão de riscos aqui descrito. O processo para a
gestão de riscos deve ser integrado ao planejamento estratégico e aos processos de
gestão da organização.

Gestão de riscos no nível do programa, projeto e equipe

Desenvolver e estabelecer um programa para gerenciar os riscos para cada área da

organização, programa, projeto ou atividade de equipe, mediante a aplicação do
processo de gestão de riscos aqui descrito. O processo para gerenciar riscos deve ser
integrado a outras atividades de planejamento e gestão. O processo escolhido, as
decisões tomadas e as ações planejadas devem ser documentados.

Monitoramento e análise crítica

Desenvolver e aplicar mecanismos para assegurar a análise crítica contínua dos riscos.
Isso assegurará que a implementação e a política de gestão de riscos permaneçam
pertinentes, uma vez que as circunstâncias se modificam continuamente e a análise
crítica de decisões anteriores é vital. Os riscos não são estáticos. A eficácia do processo
de gestão de riscos também deve ser monitorada e analisada criticamente.