Gestão de Riscos - Prática definição de apetite, limite e tolerância ao risco

Olá pessoal,

Estou coordenando o Núcleo de Governança, Riscos e Controles do DNOCS e estou em fase de conclusão da metodologia da Gestão de Riscos que será trabalhada na autarquia.

Vi algumas dúvidas aqui sobre definição de apetite, limite e tolerância ao risco. Tendo em vista que ministro treinamento nessa área, a veia de educador me impulsionou a trazer um provocação prática para contribuir com o processo de aprendizagem de vocês.

Na matriz de probabilidade e impacto, aquela que tradicionalmente é verdinha, amarela e vermelho, gente, essas cores sinalizam o nível de alerta em que os riscos que estão nesses sobreamentos correspondem, por exemplo, os riscos que estão contidos na área verde estão sugeridos como riscos que possuem uma severidade baixa, na área amarela severidade moderada e na área vermelha, severidade alta.

Aqueles que possuem a severidade baixa, ou seja, estão na área esverdeada, no caso de a instituição não possuir recursos o suficiente para tratá-los, são forte candidatos a serem aceitos, passiva, ou ativamente.

Antes de explicar na prática como definir o limite do risco, pergunto. Para riscos relacionados à integridade, essa matriz de probabilidade e impacto deveria ter a cor esverdeada suprimida e toda ela ficar amarela e vermelho?

@FranklinBrasil @Thiago @jb_moura @ementario

Marcelo, entendo que depende dos controles propostos, para avaliar a questão custo x benefício.

É difícil a instituição falar que “aceita” correr um risco à Integridade (ou qq risco, de forma geral).

A leitura possível pode ser que dados os elementos que tem ciência, o risco X apresenta severidade “sob controle”, não necessitando de controles ou respostas adicionais às existentes.

At,

Thiago M. R.

@Marcelo_Thiers,

  Tudo bem? Respondendo seus questionamentos com base na minha experiência:

  "(...) Olá pessoal,

Estou coordenando o Núcleo de Governança, Riscos e Controles do DNOCS e estou em fase de conclusão da metodologia da Gestão de Riscos que será trabalhada na autarquia.

Vi algumas dúvidas aqui sobre definição de apetite, limite e tolerância ao risco. Tendo em vista que ministro treinamento nessa área, a veia de educador me impulsionou a trazer um provocação prática para contribuir com o processo de aprendizagem de vocês.

Na matriz de probabilidade e impacto, aquela que tradicionalmente é verdinha, amarela e vermelho, gente, essas cores sinalizam o nível de alerta em que os riscos que estão nesses sobreamentos correspondem, por exemplo, os riscos que estão contidos na área verde estão sugeridos como riscos que possuem uma severidade baixa, na área amarela severidade moderada e na área vermelha, severidade alta.

Aqueles que possuem a severidade baixa, ou seja, estão na área esverdeada, no caso de a instituição não possuir recursos o suficiente para tratá-los, são forte candidatos a serem aceitos, passiva, ou ativamente.

        **Marcelo, aqui estou sentindo falta, no seu relato, do que diz sua Política de Gestão de Riscos. Saindo um pouco do mundo teórico, na prática você não deveira dar liberdade para o Gestor escolher o que fazer frente à severidade do risco que você está descrevendo como verde/amarelo/vermelho.
           A serveridade baixa não possui relação com a existência de recursos. Na verdade, esse posicionamento é destrutivo à Gestão de Riscos. Explico melhor:

           -> Se você relacionar o que vai fazer para tratar o risco "verde" - ou de qualquer outra severidade -  com a capacidade de tratamento então estará invertendo a missão da Gestão de Riscos. Explico melhor:

           --> A serveridade do risco (probabilidade X impacto) deve ser calculada sem a interferência do JULGAMENTO DO GESTOR. Se o gestor tiver a possibilidade de interferir nesse cálculo ele poderá subverter/comprometer a finalidade de existência da Gestão de Riscos. Imagine, por exemplo, que foi (1) Identificado o Risco de Desabamento de um viaduto; (2) Se o Prefeito não tem recursos para o conserto e não quer que o problema apareça no seu relatório de riscos (que será conhecido pelos órgãos de controle em algum momento, então se tiver chance ele certamente colocará criticidade como baixa para não ter que fazer o tratamento com certa urgência. Esse é um caso típico de SABOTAGEM no Processo de Gestão de Riscos que, dependendo da forma como a Gestão de Riscos (GR) foi implementada, certamente contribuirá como esse tipo de situação;

             ---> O cálculo da severidade deve ser calculado por equipes (preferencialmente) longe do olhar da autoridade máxima.  O cálculo da severidade de ser calculado preferencialmente pelas equipes e não pelos chefes das unidades (alguns sistemas computacionais de GR colocam o Chefe da Unidade/Setor como responsável por esse cálculo e, afirmo, isso seria muito ruim para a qualidade da GR)., Tópico para outra discussão.

            Voltando ao seu exemplo. Se o risco "verde" seria forte candidato a ser aceito? Depende do que diz sua Política de Gestão de Riscos. Talvez essa Política não diga nada e isso seria ruim (mas também muito comum nas organizações porque todos estão aprendendo e alguns estão ensinando errado). A Política deve ser o norteador dessa decisões. Deveria existir um capítulo que desse essa orientação relacionada à natura da organização e, dessa forma, refletiria automaticamente o APETITE a risco. Exemplo prático:

            Organização: Aeroporto 
            Severidade "Verde/Baixa" -> não precisa tratar, ou só acompanhar
            Severidade "Amarela" -> tratar em 24 horas
            Severidade "Vermelha" -> tratar em 30 minutos

             Organização: Conselho de Justiça
             Verde -> acompanhar
              Amarelo -> tratar em até 03 anos
             Vermelho -> tratar em até 01 anos

      Observe que dependendo da natureza de cada organização, você terá uma política de gestão de riscos direcionando os esforços para o tratamento com maior ou menor urgência (isso é o APETITE na prática, certo? Porque querer determinar apetite de risco previamente é algo possível só no mundo teórico. Ou, ainda, com a coisa pública, ninguém escreveria que possui apetite de riscos diferente de baixo. Alguém se atreveria a dizer que tem grande apetite de risco com a coisa pública? Ter apetite para arriscar o desabamento de um viaduto porque o gestor classificou o órgão como de apetite grande ao risco? Sem sentido, concorda!?

        Então, não sei se respondi. Esse "verde" determinará o que deve ser feito dependendo do que está na sua Política (estou falando de tempo máximo para tratamento). O que fazer virá de um Plano de Tratamento de Riscos para cada risco elencado. Nesse Plano você dirá QUEM será o responsável pelo acompanhamento do tratamento, QUANTO tempo para tratar, os CONTROLES para acompanhar a evolução do tratamento e futuro monitoramento, OS THERSHOLDS do controles implementados, isto é, limites inferior e superior para gerarem alertas ao gestor de risco. **

Antes de explicar na prática como definir o limite do risco, pergunto. Para riscos relacionados à integridade, essa matriz de probabilidade e impacto deveria ter a cor esverdeada suprimida e toda ela ficar amarela e vermelho?

     ** Acho que você poderia deixar a planilha do mesmo jeito e com todas as cores. Ao se deparar com um risco de integridade de probabilidade (alta/media/baixa) versus impacto (alto/medio/baixo) o resultado cairá em algum cor que determinará a urgência do tratamento. Qual o "feeling" das equipes em relação ao risco de integridade. O quanto ele é crítico para a organização? Que ações devem ser tomadas e com que urgência? Que prejuízos seriam decorrentes no caso de materialização do risco? Por isso tudo, eu deixaria a matriz do mesmo jeito aplicando a técnica para o cálculo da criticidade/severidade do mesmo jeito que você aplica para outros riscos**

      Bem, é isso. Espero ter ajudado.

      Forte Abraço,

      JB
      http://www.jbrm.eti.br (meu currículo caso queiram me contratar - risos)

Olá xará,

Olha só as cores na matriz de risco existem apenas com cunho “pedagógico” de ajudar visualmente. Pra quem tem alguma deficiência (daltônico, por exemplo), a matriz poderia nem ter cores, apenas números. O que se pretende com a matriz é calcular o risco a fim de reduzir a incerteza no seu gerenciamento.

Olá Pessoal,

Bacana a provocação ter gerado tantos comentários, mas vamos por partes.

Conforme escrevi:

1. Trouxe um exemplo de cunho didático para ajudar àqueles que possuem dúvidas sobre como definir os limites e apetite ao risco dos projetos
2. Comentei que é uma provocação para continuarmos o próximo passo e a ideia seria passo a passo ajudar a esclarecer o assunto, por isso alguém tenha sentido falta de mais informação, talvez por eu não ter sido claro, pensaram que eu estava tratando de uma parte maior da política de gestão de riscos, mas conforme falei, tratei apenas de uma parte da metodologia para como a política será tratada.
   Ou seja, a postagem não é uma dúvida e sim uma proposta para ajudar didaticamente, por isso a ideia do passo a passo.

Conforme eu NÃO escrevi:

1. Não falei que quem definiria essas variáveis seria o gestor, ou qualquer que seja, nem entrei nesse mérito, trouxe para nós conversarmos sobre o assunto e ler as opiniões, ou seja, seria definido aqui nesse ensaio.
2. Não tratei de riscos operacionais, como foi dado o exemplo do aeroporto, se não a provocação nem teria muito sentido.

Já as cores, Marcelão Santarém, meu xará, a reflexão foi voltada para a mensagem que cada cor passa, pode ser cor, número, percentual, hachurado, ou o que for melhor para os daltônicos se sentirem acolhidos, fique a vontade para escolher a representação, pois a cor nada mais é do que uma representação de uma mensagem.

A primeira ideia também não seria sair do mundo teórico não, pois conforme falei o objetivo é didático mesmo.

Quando citei a aceitação do risco, se verificar O Guia Project Management Body of Knowledge - PMBOK, edição 5, Capítulo que trata do Gerenciamento do Risco do Projeto, traz o que se segue:

“Limite de riscos, que se refere às medidas ao longo do nível de incerteza ou nível de impacto no qual uma parte interessada pode ter um interesse específico. A organização aceitará o risco abaixo daquele limite. A organização não tolerará o risco acima daquele limite.”
(da Aceitação dos riscos) “Essa estratégia pode ser passiva ou ativa. A aceitação passiva não requer qualquer ação exceto documentar a estratégia, deixando que a equipe do projeto trate dos riscos quando eles ocorrerem, e revisar periodicamente a ameaça para assegurar que ela não mude de forma significativa. A estratégia de aceitação ativa mais comum é estabelecer uma reserva para contingências, incluindo tempo, dinheiro ou recursos para lidar com os riscos.” (grifei e inseri os parênteses)

Isso mesmo, muuuito bacana! Thiago, eu também entendo exatamente isso, “depende dos controles propostos para avaliar a questão custo x benefício” Falou pouquíssimo e foi direto no ponto.
"É difícil a instituição falar que “aceita” correr um risco à integridade"Por isso minha provocação. A relação custo x benefício para riscos de integridade, para mim é uma encruzilhada, a vontade sempre será de tratá-los, independente do custo, mas isso é mais psicológico, temos que analisar essa relação sim, e verificar questões como p.e. a criticidade que o João batista colocou muito bem.

Mas quando falamos para qualquer risco, infelizmente, infelizmente mesmo não é questão de uma organização não deveria dizer se aceita, ou não. Antes de vir para o DNOCS, eu trabalhei nas execuções de alguns desses planos, na própria CGU e em outros órgãos, não só no Ceará, mas em Brasília também, e desde o planejamento até a execução o fato na realidade, é que é pura priorização e nessa caminhada alguns riscos simplesmente terão que ser abarcados pela estratégica citada.

João Batista, realmente a severidade baixa não tem nada a ver com a disponibilidade de recursos, nem escrevi isso, mas a definição da estratégica de aceitar ou não um risco, dentre diversos fatores, um deles sem dúvida está a disponibilidade de recursos, se desconsiderar isso, talvez algumas estratégias ficarão só no papel. Em projetos, recursos, podem ser recursos humanos, financeiros, de infraestrutura, etc. Por isso a relação custo x benefício que o Thiago acertadamente falou.

Já li e tive que trabalhar com muitos planos de gestão de riscos que eram descolados da realidade da capacidade de resposta aos riscos, porque os próprios técnicos, não são os gestores, mas os técnicos, têm dificuldades de avaliar esses recursos para definirem as melhores estratégias, caem na armadilha do que deveria ser e não o que é possível fazer, e confundem também os conceitos do que é importante e do que é urgente, que você mencionou.

Só reiterando, João Batista, a provocação que eu fiz nem serve tanto, ou nada, para os riscos que você exemplificou, porque quando falamos somente dos riscos à integridade, ao meu ver, a diferença de cada organização já reduz e parece se nivelar.
Mas no final de um grande discurso esclarecedor, mas que não abordou a questão colocada, lá no último parágrafo você conseguiu tratar do assunto proposto, legal!

Indo para o caso prático, confesso que vou tratar os limites, tolerâncias e apetites ao risco que tratam a integridade apartado dos demais.

Pessoal, relevem eu ter soltado uma provocação de uma questão que trata apenas de um ponto da metodologia do plano, vejam que o Thiago abordou um ponto que poderíamos explorar um pouco e depois avançar. Conforme falei a ideia era irmos avançando aos poucos, fazendo alguns questionamentos importantes, pois já percebi aqui que existem alguns participantes que poderiam colaborar com o passo a passo e outros muitos que poderiam solicitar esclarecimentos de dúvidas e irem aprendendo um pouco mais…

Grande abraço!

Prezado Marcelo Thier
Utilize a ISO31000 ( versao 2008 e 2018) irá ajudar em muito e a ISO22301 ( gestao de riscos e continuidade de operações) e a ISO31010 - terminologia e definições.
sao 3 normas que definem os limites , e tambem apetitie ao risco.
O COSO tambem emitiu publicacao a respeito mas que segue a ISO(padrão internacional)
a disposicao geraldo.falcao@fgv.br
abraços

Obrigado pela atenção, Geraldo Falcão, pedido licença para trocar algumas ideias com você posteriormente.

Trago trecho da ISO 31010.

Sobre o assunto.

“Uma matriz de probabilidade/consequência é UTILIZADA PARA CLASSIFICAR os riscos, fontes de riscos ou tratamento de risco, com base no nível do risco. É comumente utilizada como uma FERRAMENTA DE SELEÇÃO quando muitos riscos foram identificados, por exemplo, para definir quais riscos precisam de análise adicional, ou mais detalhada, quais riscos necessitam primeiro de tratamento, ou quais riscos necessitam ser referidos a um nível mais alto de gestão. Também pode ser UTILIZADA PARA SELECIONAR QUAIS RISCOS NÃO precisam DE MAIOR CONSIDERAÇÃO NESTE MOMENTO. Este tipo de matriz de risco é também AMPLAMENTE UTILIZADA PARA DETERMINAR SE UM DADO RISCO É DE CERTA FORMA ACEITÁVEL OU NÃO aceitável, dDE ACORDO COM SUA LOCALIZAÇÃO NA MATRIZ.”

Igualmente como é tratado no PMBOK, falar de matriz de probabilidade e impacto a partir da ISO, é falar de posicionar os riscos achados, com severidade já calculada, ela não se presta a calcular o risco, e depois de posicionados os riscos, trabalhar a priorização, conforme os limites estabelecidos.

A pergunta foi simples, quando tratarmos de riscos relacionados a integridade, vale a pena colocarmos limites e tolerância e apetite diferentes? Pode ser que sim, pode ser que não. Mesmo que não valha a pena essa diferenciação, acredito que vale a pena a discussão, afinal, acredito que ficar só esperando seguindo sem ter um pensamento crítico não é tão interessante.

Sim gente, coloquei alguns trechos em caixa alta.

Grande abraço!

Caro Amigo Marcelo,
Não. Sobre o Risco de Integridade não é possível colocar limites, tolerância ao risco.
Nos cursos, sempre coloco o seguinte: os limites de tolerância em alguma área de conhecimento são são possíveis, se ainda existirem possibilidades de aceitação LEGAL, para o tema.
Ou seja, o Risco Legal, quem define é a legislação aplicável dos países.
Exemplo: o que estamos vivendo atualmente: compras emergenciais para essa fase do COVID.
Flexibilizaram, ou determinaram aceitação de variação dos preços nas compras emergenciais, e veja o que está acontecendo no Brasil.
link: https://www.linkedin.com/posts/geraldofalcao_l13979-activity-6679361517005127680--W9-

A unica exceção é regiões do mundo onde a legislação não é específica para um determinado tema ( exemplo: china, etc) .
Nesses casos, o apetite ao risco, e tolerância aos riscos, somente são aceitos, se medidas de controles demonstrarem(atraves de testes, etc) de que o Risco será controlado, caso seja materializado.

Essa é uma exigência da ISO 22301 e ISO 31000.
Dou aulas em Gestão de Projetos, Riscos, anti suborno, compliance/integridade, GEstão de continuidade de negócios.
estou a inteira disposição
abraços
Geraldo Falcão

Gostei do detalhamento xará. Muito interessante as provocações.
Esse assunto seria uma ótima pauta para uma bate papo virtual. O que acha?

Prezado Geraldo Falcão,

Que fala de ouro.!!!

Eu vinha pensando em propor limites, tolerâncias e apetites diferenciados, de forma que ficassem mais rígidos, excluindo a possibilidade de aceitação, pensando eu que uma vez que fossem excluídos da linha de impacto, as opções baixo e muito baixo.

Mas você tratou de uma forma tão objetiva e simples.

Riscos relacionados a integridade são riscos legais, por isso, não é possível tratar de limites, tolerâncias, apetites, mesmo que mais rígidos. Essas definições não existem para esse caso, da forma que são tratadas para os demais riscos, era esse o ponto que eu estava provocando.

Fiquei bem mais confortável com essa sua explanação, pois conforme escrevi anteriormente, o componente psicológico acaba influenciando messa questão técnica.

Espero que outros aproveitem dessa conclusões.

Grande abraço e obrigado.

Marcelo Santarém,

Você está lendo a minha mente, mesmo a distância.
Isso não pode.
Acho uma ideia super bacana!
Sou muito fã desse grupo e acredito muito na capacidade de gerar conhecimento nesse ambiente, por conta da capacidade que vejo em todos vocês e minha, pelo menos em certa medida.
Já estão até colocando o currículo em fala anterior dessa postagem, para se candidatarem, kkkkk

Estou a disposição, abraço!

amigo MArcelo
Um ponto importante:

• as normas ISO não podem se sobrepor nunca a legislações locais.
• Os riscos em uso de matrizes são qualitativos, e portanto, fica a critério de quem está criando, sua flexibilização.
• Ai onde mora o problema.
• Mas a ISO não aceita flexibilização em torno de riscos legais, salvo se autorizado por órgãos legais
  quando quiserem marcamos uma LIVE o que acha?
  a disposicao
  abraços
  Prof Geraldo Falcão
  (11) 99291 1010

Bom dia a todos,

Participo do Núcleo de Gestão de Riscos e Controles da Sudeco e estamos iniciando nosso Projeto Piloto. Estamos estudando para trabalhar o Macroprocesso: Implementação do Planejamento Estratégico; Processo: Monitoramento dos Indicadores do Planejamento Estratégico e o Risco: Descontinuidade do Planejamento Estratégico (ainda em avaliação).
Pensamos neste Macroprocesso/Processo tendo em vista que o Planejamento Estratégico existe na Autarquia, tem indicadores sendo avaliados, no entanto não é internalizado no Órgão como um todo. Pensamos que trabalhar o Planejamento como Projeto Piloto poderia ser uma oportunidade para que o Núcleo composto por servidores de todas as Diretorias gerissem os riscos inerentes ao Planejamento e também possibilitar um conhecimento e preocupação global com o Planejamento.
Gostaria de uma opinião mais experiente se estamos no caminho certo, se é possível trabalhar este processo ou deveríamos trabalhar um processo já implementado totalmente e conhecido por toda Autarquia. Desde já agradeço a atenção de todos.

Oi, @Amalia, seguem alguns pontos de reflexão:
a. normalmente a primeira interação é a pior, então é melhor avaliar se é prudente aplicá-la em um processo tão importante e de interesse direto da alta administração; e
b. várias entidade já separaram a metodologia de riscos estratégicos da metodologia aplicada ao riscos táticos e operacionais, ou seja, não sei se isso pode ter impacto na sua condução.

Resumindo, eu escolheria um mais tranquilo.

#tmj!

WC

Muito obrigada pela observação @walterluis. No decorrer das discussões, verificamos com a alta administração e em alguns documentos como por exemplo o Referencial Básico de Gestão de Riscos - TCU e neste cita na pag. 23 que o Planejamento poderia ser um processo a ser trabalhado. Acredito que a necessidade da Autarquia em trabalhar já o Planejamento Estratégico é devido a urgência do órgão em relação ao assunto. Com certeza irei levar sua observação para discussão do Núcleo.