+55 11 95355-8000
PT | ES | EN Acessar

Blog

Categorias

Atualizações e novidades
Newsletter
Live streaming
Artigos

Publicações Recentes

Prevenção, continuidade e resiliência: entrevista de Tácito Leite para o International Security Journal

Apr/2024

Gestión de riesgos emergentes: la contribución de la ISO 31050 al sector de seguridad

Apr/2024

Compreendendo as matrizes de risco qualitativas e quantitativas: uma questão de estratégia e recursos disponíveis

Mar/2024

Como calcular a probabilidade de resultados na análise de risco?

Mar/2024

Desenvolvimento profissional: um guia para profissionais de gerenciamento de riscos

Mar/2024

Teoria e prática sobre Gestão de Riscos

Teoria e prática sobre Gestão de Riscos

A gestão de riscos é um elemento essencial para qualquer empresa. No entanto, nem todos os riscos são tratados da mesma maneira. Algumas medidas de controles visando mitigar ou compartilhar riscos são obrigatórias devido a requisitos legais, enquanto outras são implementadas com base nas necessidades individuais e circunstâncias específicas de cada organização.

Neste artigo, focaremos especificamente em exemplos de medidas de mitigação ou compartilhamento de risco que são obrigatórias por exigências legais. Desde seguros obrigatórios, normas de saúde e segurança no trabalho, até regulamentos de privacidade de dados e leis contra a lavagem de dinheiro.

Se você é um profissional de gestão de riscos, um empresário, ou simplesmente alguém interessado em entender melhor como as leis ajudam a moldar as práticas de gestão de riscos, este artigo irá lhe proporcionar uma visão clara e abrangente dessas questões complexas e cruciais.

As leis ajudam a moldar práticas de gestão de riscos

Como já é de conhecimento da maioria, uma vez analisados os riscos, obtendo o seu nível e comparando-o com os critérios de riscos estabelecidos na etapa de contextualização (ISO 31000), teremos um PARECER. Esse parecer nos oferece um primeiro nível de decisão. Um nível de decisão do tipo: Agir; Agir e observar; Apenas observar; e Ignorar. Nos casos em que seja decidido agir, um tratamento baseado em controles precisa de implementado. Nos casos em que seja indicado observar, será necessário definir estratégia de monitoramento e controle dos respectivos riscos.

Na ISO 31000:2018, em seu item 5.5.1 (Tratamento de risco > Generalidades), são consideradas as seguintes opções de tratamento de riscos abaixo. Ressaltando que essas opções NÃO são necessariamente opções excludentes.

a)    Evitar o risco decidindo não iniciar ou descontinuar a atividade que gera o risco;

b)   Tomar ou aumentar o risco em busca de uma oportunidade;

c)    Remoção das fontes de risco;

d)   Alteração da probabilidade;

e)   Alteração das consequências;

f)     Compartilhamento dos riscos (por exemplo: através de contratos ou compra de seguros);

g)    Retenção do risco com base em uma decisão informada.

Em geral, podemos determinar que essas sete opções de tratamento indicadas pela ISO 31000 podem ser incluídas em um dos três grupos a seguir: 1. Evitar; 2. Minimizar; 3. Aceitar, reter ou assumir mais risco.

Entre as opções visando evitar os riscos, a norma indica: a. Evitar o risco decidindo não iniciar ou continuar com a atividade que gera o risco; e c. Eliminar a fonte de risco.

Entre as opções visando minimizar os riscos são consideradas: d. Modificar a probabilidade; e. Modificar as consequências; e f. Compartilhar o risco.

 Entre as opções de aceitação e retenção estão: Aceitar ou aumentar o risco em busca de uma oportunidade e reter o risco com base em uma decisão informada.

Não foi fornecido texto alternativo para esta imagem

Opções: Evitar; Minimizar; ou Aceitar, reter e assumir mais risco.

Nas aulas e cursos que ministro é comum escutar a seguinte pergunta:

Professor, você pode dar alguns exemplos de controles, visando mitigar ou compartilhar riscos, que sejam obrigatórios devido a requisitos legais?

 

Bem, vamos lá, vamos aproximar teoria e prática!

O tratamento de riscos visa evitar que a incerteza afete nossos objetivos. Porém, reter o risco, ou seja, aceitar que vamos tentar atingir um objetivo assumindo a incerteza, também é uma opção.

Pensando nisso, nessa reflexão, vamos imaginar o seguinte cenário:

Vamos assumir uma situação fictícia na qual identificamos um evento que pode ocorrer na organização, no próximo ano, com probabilidade de 0,01 (ou seja, se pudéssemos repetir a operação da empresa cem anos seguidos, nas mesmas condições, seria de se esperar que, nesses cem anos, pelo menos uma vez esse evento ocorresse).

Caso esse evento se concretize, teríamos um desvio de 60% do nosso objetivo em relação às nossas expectativas.

 Com essa suposição, vamos refletir: O que pode determinar se decidimos tratar o risco por meio de compartilhamento (ex.: seguro) ou mitigação (ex.: diminuição de frequência ou impacto)?

A determinação de tratar o risco por meio de compartilhamento ou mitigação pode ser condicionada por diversos fatores. Aqui estão algumas opções que podem influenciar essa decisão:

  • Impacto nos objetivos: A magnitude do impacto do evento nos objetivos da organização é fundamental para avaliar a opção pelo compartilhamento ou mitigação do risco. Se o desvio da meta de 60% for considerado inaceitável ou puder ter sérias consequências para a empresa, a mitigação do risco pode ser considerada.
  • Custo do compartilhamento: O compartilhamento do risco implica a contratação de seguros ou outras formas de compartilhamento (transferência) de parte da responsabilidade para terceiros. Se o custo de transferir o risco por meio de prêmios de seguro ou outros mecanismos for razoável e justificável em comparação com o impacto potencial do evento, a transferência pode ser uma opção viável.
  • Capacidade de mitigação: A empresa deve avaliar sua capacidade de implementar medidas efetivas de mitigação e reduzir a probabilidade ou impacto do evento. Se houver estratégias ou ações concretas que possam ser implementadas para diminuir a probabilidade de ocorrência ou reduzir o impacto do evento, a mitigação pode ser uma opção preferível.
  • Apetite, tolerância e capacidade ao risco: O apetite, a tolerância e a capacidade ao risco da empresa e sua disposição em assumir certo nível de incerteza também influenciam na decisão. Se a empresa tiver maior apetite e tolerância ao risco e estiver disposta a aceitar o impacto potencial do evento (capacidade) sem mitigação significativa, ela pode optar por reter o risco em vez de transferi-lo ou mitigá-lo.
  • Avaliação da probabilidade: A avaliação precisa da probabilidade do evento é essencial para tomar uma decisão informada. Se a probabilidade de ocorrência for baixa, como 0,01, a transferência do risco pode não ser uma opção viável, pois pode ser difícil encontrar seguradoras dispostas a cobrir esses eventos improváveis.
  • Disponibilidade de recursos: A disponibilidade de recursos financeiros, tempo e humanos pode influenciar na decisão de como tratar o risco. Se você tiver os recursos necessários para implementar medidas de mitigação eficazes, pode ser preferível optar por esta opção em vez de transferência de risco.
  • Contexto e natureza do evento: A natureza e o contexto do próprio evento podem influenciar a escolha da abordagem de tratamento de risco. Alguns eventos podem ser mais adequados para mitigação, enquanto outros podem ser mais propícios ao compartilhamento. Por exemplo, se o evento for altamente improvável, mas tiver um impacto catastrófico, pode ser mais apropriado transferir o risco por meio de seguro ou instrumentos financeiros adequados.

    • Não foi fornecido texto alternativo para esta imagem

    Apetite, tolerância e capacidade ao risco

    Em última análise, a determinação de como tratar o risco dependerá de uma análise abrangente que leve em consideração esses e outros fatores, bem como a avaliação de alternativas e a consideração dos recursos e capacidades disponíveis para a empresa.

    É importante observar que a escolha entre compartilhamento (transferência) de risco e mitigação de risco não é necessariamente mutuamente excludente. Em alguns casos, pode ser apropriado usar uma combinação de ambas as estratégias, dependendo da natureza do risco e dos recursos e capacidades disponíveis.

    Outra pergunta comum que nos força a aterrissar a teoria na prática é a seguinte:

    Professor, é aceitável que a organização retenha o risco? Nesse caso, em que condições seria aceitável reter riscos?

     

    Vamos lá!! A decisão de reter o risco é uma opção válida em determinadas circunstâncias e depende do apetite, tolerância e capacidade ao risco da organização, bem como da capacidade de lidar com as possíveis consequências. Assumir o risco implica aceitar que os objetivos serão alcançados, apesar da incerteza e da possibilidade do evento indesejado ocorrer.

    A decisão de reter o risco é uma opção válida em determinadas circunstâncias e depende do apetite, tolerância e capacidade ao risco da organização.

    Porém, antes de optar por reter o risco, é necessário avaliar cuidadosamente as implicações, considerar alguns aspectos e condicionantes:

    • Impacto econômico: É importante avaliar se o desvio do objetivo devido ao evento adverso é financeiramente aceitável para a organização. Se o desvio de 60% nas expectativas puder ter consequências graves ou comprometer a viabilidade do negócio, talvez seja mais prudente considerar o tratamento do risco.
    • Capacidade de recuperação: É necessário avaliar a capacidade de recuperação e adaptação da organização caso ocorra o evento adverso. Se a organização tiver a capacidade de se adaptar e recuperar rapidamente suas operações, a retenção de riscos pode ser uma opção viável.
    • Planejamento de contingência: Reter o risco não significa ignorá-lo completamente. É importante desenvolver planos de contingência, continuidade do negócio e ter estratégias alternativas caso o evento adverso se concretize.
    • Análise contínua do risco: Reter o risco implica estar preparado para avaliar e acompanhar continuamente a evolução do risco. A organização deve estar disposta a ajustar suas estratégias e planos com base nas mudanças no ambiente e na evolução do risco.

    Não foi fornecido texto alternativo para esta imagem

    Planejamento de contingência

    Outra questão que nos exige aproximar teoria e prática é a seguinte:

    Professor, você pode nos dar exemplos de medidas de mitigação ou compartilhamento (transferência) de riscos que sejam obrigatórios devido a requisitos legais?

     

    Certas medidas de mitigação ou compartilhamento de risco podem ser exigidas por requisitos legais ou regulamentos específicos. A maioria desses exemplos abaixo estão presentes na vida cotidiana das pessoas comuns. Aqui estão alguns exemplos:

  • Seguro Obrigatório: Em muitos países, é obrigatório que os proprietários de veículos tenham um seguro de carro. Também pode ser necessário que os proprietários tenham um seguro contra incêndio ou inundação, ou que os empregadores tenham um seguro de acidentes de trabalho.
  • Conformidade com os regulamentos de segurança: As empresas devem seguir os regulamentos de saúde e segurança no local de trabalho, como fornecer equipamentos de proteção individual aos funcionários ou seguir os regulamentos de segurança contra incêndio.
  • Práticas de higiene na indústria de alimentos: As empresas de alimentos devem seguir os regulamentos de segurança alimentar para reduzir o risco de contaminação de alimentos e surtos de doenças transmitidas por alimentos.
  • Licenças e autorizações: Profissionais de determinadas indústrias devem ter licenças para operar, como médicos, advogados e eletricistas. Isso garante que eles sejam devidamente qualificados e treinados para reduzir o risco de erros ou negligência.
  • Conformidade com os regulamentos de privacidade de dados: As empresas que lidam com dados pessoais devem cumprir as leis de proteção de dados, como o GDPR na União Europeia ou LGPD no Brasil, para mitigar o risco de violação de dados pessoais e multas legais.
  • Avaliações de Impacto Ambiental: Antes de iniciar projetos de grande escala, as empresas podem ser obrigadas a realizar avaliações de impacto ambiental para mitigar riscos ao meio ambiente.
  • Conformidade com os regulamentos de combate à lavagem de dinheiro: As instituições financeiras devem cumprir regulamentos para prevenir a lavagem de dinheiro e o financiamento do terrorismo, que incluem a identificação do cliente e relatórios de transações suspeitas etc.
  • Plano de Emergência e Evacuação: Em muitos lugares, é exigido por lei que as empresas tenham um plano de emergência e evacuação em caso de incêndio, terremoto ou outras emergências.
  • Conformidade com os Padrões de Qualidade: Em certas indústrias, como farmacêutica ou alimentícia, os padrões de qualidade devem ser atendidos para garantir a segurança do produto.
  • Segurança cibernética: dependendo do país e da natureza do negócio, algumas empresas podem ser obrigadas a implementar medidas de segurança cibernética para proteger dados e informações digitais contra ameaças e ataques cibernéticos. Inclusive, seguro cyber.
  • Gestão de riscos financeiros: No âmbito financeiro, as instituições podem estar sujeitas a regulamentações que exijam a implementação de medidas de mitigação de riscos, como requisitos mínimos de capital, testes de estresse e políticas de gestão de riscos. Essas medidas visam proteger a estabilidade financeira e evitar riscos sistêmicos.

    • Não foi fornecido texto alternativo para esta imagem

    Plano de Emergência e Evacuação

    Mais um questionamento comum nas aulas:

    Professor, por que existem riscos sujeitos a essas obrigações de tratamento e outros riscos não?

     

    As obrigações legais para lidar com certos riscos geralmente surgem do desejo de proteger a saúde, a segurança, os direitos e o bem-estar das pessoas e do meio ambiente. Essas obrigações podem surgir de experiências passadas em que a ausência de tais obrigações levou a consequências prejudiciais, como acidentes de trabalho, contaminação ambiental, invasão de privacidade, problemas de saúde pública, etc. Aqui estão algumas razões possíveis:

  • Proteção de interesses públicos: Obrigações legais de tratamento de riscos são frequentemente estabelecidas para proteger interesses públicos, como saúde e segurança das pessoas, proteção ambiental ou estabilidade financeira. Os riscos com impacto significativo nestes interesses estão normalmente sujeitos a regulamentação específica para assegurar a sua mitigação.
  • Histórico de incidentes ou impactos anteriores: Em alguns casos, os riscos que resultaram em incidentes graves no passado ou que demonstraram ter um impacto significativo na sociedade podem levar à implementação de regulamentações obrigatórias. Estas normativas visam prevenir a repetição de incidentes e garantir uma gestão adequada dos riscos associados.
  • Assimetria de informação: Em determinadas situações, os riscos podem ser objeto de regulação quando houver assimetria de informação entre as partes envolvidas. Por exemplo, na proteção dos direitos do consumidor, os regulamentos podem impor obrigações de divulgação e transparência para garantir que os consumidores sejam informados sobre os riscos associados aos produtos ou serviços que compram.
  • Externalidades negativas: Alguns riscos podem gerar externalidades negativas, ou seja, impactos adversos que recaem sobre terceiros e não são levados em consideração por quem toma decisões relacionadas ao risco. Nesses casos, os regulamentos podem ser implementados para internalizar essas externalidades e responsabilizar as partes interessadas relevantes pelos riscos que elas geram.
  • Interesses comerciais e econômicos: Alguns riscos podem ser objeto de regulamentação devido a interesses comerciais e econômicos. Por exemplo, os regulamentos financeiros visam salvaguardar a estabilidade do sistema financeiro e proteger os consumidores, enquanto os regulamentos comerciais podem procurar assegurar a concorrência leal e prevenir práticas comerciais desleais.

    • Em conclusão, existem várias medidas de mitigação e compartilhamento de risco que são obrigatórias devido a requisitos legais. Isso inclui seguro obrigatório, conformidade com os regulamentos de segurança, práticas higiênicas na indústria de alimentos, obtenção de licenças e autorizações, conformidade com os regulamentos de privacidade de dados, realização de avaliações de impacto ambiental, conformidade com os regulamentos contra lavagem de dinheiro, implementação de planos de emergência e evacuação, conformidade com padrões de qualidade e a adoção de medidas de segurança cibernética.

    Essas obrigações legais são muitas vezes o resultado de uma tentativa de proteger a saúde, a segurança, os direitos e o bem-estar das pessoas e do meio ambiente. Muitos deles buscam proteger o público, prevenir danos, proteger os direitos individuais, promover a responsabilidade corporativa, a ética e prevenir atividades ilegais. Essas obrigações muitas vezes decorrem de lições aprendidas com incidentes anteriores em que a falta de regulamentação levou a resultados prejudiciais.

    Não foi fornecido texto alternativo para esta imagem

    Alguns riscos são considerados parte inerente de certas atividades

    Por outro lado, nem todos os riscos estão sujeitos a obrigações legais de tratamento. Isso pode ocorrer porque são difíceis de regulamentar, são considerados parte inerente de certas atividades ou porque as intervenções legais podem não ser o método mais eficaz de gerenciar esses riscos. Nesses casos, a gestão de riscos pode ser mais informal ou depender dos indivíduos ou organizações envolvidos.

    Em resumo, as medidas legais de mitigação e compartilhamento de riscos buscam fornecer uma estrutura de segurança e responsabilidade que proteja pessoas, organizações e o meio ambiente de possíveis danos, embora reconheça que nem todos os riscos podem ou devem ser gerenciados por meio de intervenção legal.