Por Filipe de Morais 

Crédito: http://pixabay.com

Falar em gerenciar riscos nas organizações – sejam elas vinculadas ao Poder Público ou Setor Privado – pode parecer excessivamente vago e genérico, afinal todas as atividades humanas são passíveis de risco, da mais singela até a mais complexa.

Essa conclusão apressada pode criar no imaginário dos gestores, a equivocada conclusão que o gerenciamento de riscos compreende a implementação empírica de práticas pontuais, a nível operacional, com o fim administrar riscos inerentes ao negócio desenvolvido pela organização.

A norma ISO/IEC 31000:2018 dispõe sobre as diretrizes gerais para a implementação sistemática da disciplina da Gestão de Riscos nas organizações de qualquer natureza.

Evidentemente, não se trata de norma de cumprimento obrigatório, porém, como a própria norma ISO/IEC 31000:2018 menciona, a finalidade da Gestão de Riscos é proporcionar proteção e valor.

Isso significa que a implementação da Gestão de Riscos importa em vantagem competitiva, sobretudo a nível estratégico. Portanto, pode-se afirmar que a Gestão de Riscos relaciona-se intrinsecamente com a Governança Corporativa e o Compliance, sobretudo no que se refere ao aspecto autorregulatório.

A norma ISO/IEC 31000:2018 define risco enquanto um “efeito da incerteza nos objetivos”.

Trata-se de conceito mais abrangente daquele mencionado na ISO/IEC 27000:2013 que relaciona risco enquanto a possibilidade da ocorrência de um dano.

O instituto do risco na norma ISO/IEC 31000:2018, portanto, é mais abrangente, na medida em que pode tratar-se de evitar uma ameaça, mas também buscar uma oportunidade.

Nesse sentido, a Gestão de Riscos é apoiada em três institutos fundamentais: (i) os princípios, a estrutura e o processo de gestão de riscos. A junção desses três institutos não se dá de forma sequencial, mas sim, iterativa.

Isso porque os processos executados pelas organizações são dinâmicos e se alteram de acordo com os objetivos daquelas.

Conquanto os processos sejam dinâmicos, os riscos também são dinâmicos. Portanto, devem permanecer sob monitoramento e análise crítica constante.

Daí a conclusão: A Gestão de Riscos e o Business Process Management são disciplinas indissociáveis.

O BPM trata-se de uma abordagem administrativa com ênfase no trabalho em equipe e no cliente final. Em outros termos, o BPM, assim como a Gestão de Riscos, entrega valor e vantagem competitiva para as organizações.

Para compreender o BPM imprescindível iniciar-se pela noção de evento de negócio.

Um evento de negócio é um fato que dá início a um conjunto de atividades concatenadas cujo fim é entregar um produto para o seu destinatário. A esse conjunto de atividades dá-se o nome de processo de negócio.

Em uma empresa de mobilidade, um evento de negócio é o chamado de um passageiro. Esse fato desencadeia diversas atividades que resultam no transporte do passageiro até o local desejado.

Em um distrito policial, a ocorrência de um crime é um evento de negócio, o qual resultará na instauração de um processo de negócio, denominado inquérito policial, com o fim de esclarecer materialidade e autoria, cujo destinatário é o Poder Judiciário.

O BPM, portanto, aborda as organizações a partir dos processos de negócio que aquelas executam.

Desta forma, a organização providenciará o mapeamento dos seus processos, tal como são – as is – e identificará os defeitos de cada uma das etapas daqueles. Uma vez identificados os gaps, os processos serão reformulados – to be.

Cada etapa importa em uma atividade e cada atividade constitui o elemento mínimo para inserir o processo de negócio no processo de gestão de riscos.

Após a implementação da estrutura de gestão de riscos, cujo produto final é o documento intitulado política de gestão de riscos, a organização criará o seu processo de gestão de riscos, definido pela ISO/IEC 31000:2018 enquanto o “processo global de identificação de riscos, análise de riscos e avaliação de riscos.”.

A partir da concepção do BPM, a Gestão de Riscos torna-se mais clara e objetiva, na medida em que o gestor compreende que para cada processo executado na organização há um processo de gerenciamento de riscos equivalente.

Isso se torna mais claro quando compreendermos que, conquanto a gestão de riscos seja integrada e o risco seja responsabilidade de todos, as figuras do dono do processo e do dono do risco se confundem.

Por Filipe de Morais
Delegado de Polícia Civil

DELEGADOS.com.br
Portal Nacional dos Delegados & Revista da Defesa Social