Como gerenciar Mapas de Risco: Criminal, Ético e Empresarial

Atualmente, as empresas são obrigadas a gerenciar uma ampla variedade de regulamentações, por exemplo, aquelas que envolvem o cumprimento de alguma regulamentação legal, outras específicas do setor financeiro, regulamentações tecnológicas, etc. As regras que se aplicam a cada empresa dependem de vários fatores, como o setor a que pertencem, o número de colaboradores, o volume de negócios, entre outros.

Para cumprir esses regulamentos, é comum que diferentes tipos de riscos sejam gerenciados. O resultado final que qualquer regulamentação busca é ter um Mapa de Riscos que permita uma visualização rápida do número de riscos na organização e sua criticidade, para os quais geralmente são considerados os fatores de probabilidade de ocorrência e o impacto que causam para a organização.

Nos últimos anos, as organizações têm procurado cada vez mais integrar os diferentes tipos de riscos em um único mapa de riscos, pois há muitos benefícios, como evitar a duplicação de informações ou obter relatórios de riscos consolidados. No entanto, essa integração nem sempre é fácil por vários motivos.

A partir daqui pretendemos citar alguns pontos importantes a ter em conta, e desta forma conseguir uma elevada percentagem de integração entre os diferentes tipos de risco.

Os riscos criminais geralmente correspondem à prática de crimes que os trabalhadores de uma organização podem realizar no exercício de suas funções, que geralmente correspondem aos crimes tipificados no Código Penal de cada país. Nem todos os crimes são aplicáveis a uma organização, mas variam de acordo com as atividades e serviços que realizam.

Os riscos éticos das empresas podem ser classificados como aqueles riscos em que os colaboradores, devido à sua posição hierárquica na empresa e ao fácil acesso à informação, se sentem tentados e mudam seus princípios e comportamentos éticos em um determinado momento, para outros, adotando comportamentos impróprios, reprováveis ou contrários à Lei. Nesses riscos, o benefício próprio geralmente prevalece, independentemente do desastre que possa ser gerado ao seu redor.

No nível da empresa, alguns riscos éticos podem ser identificados, como os descritos abaixo:

• Conflitos verbais e tratamento desrespeitoso entre os grupos.
• Abuso de autoridade.
• Subornos.
• Baixo desempenho por falta de comprometimento.
• Fatores derivados do conhecimento da informação.

Os riscos de negócios correspondem àqueles que toda atividade de negócios implica. O número de riscos pode variar de uma organização para outra, mas nenhuma empresa está isenta de ter riscos de negócio, pois eles estão diretamente relacionados às áreas de negócios e serviços prestados.

Os requisitos para um mapa de risco integrado são os mesmos em todas as organizações. Dependendo do tipo de organização (tamanho, setor, regulamentação aplicável, etc.), haverá algumas mais complexas do que outras para alcançar, ou mesmo algumas já serão resolvidas desde o início.

1. Níveis de probabilidade e impacto.
   O aspecto mais básico e, ao mesmo tempo, mais importante para alcançar um mapa de risco integrado é que os níveis usados para a avaliação de probabilidade e impacto são os mesmos. O risco é comumente representado por ambos os parâmetros, portanto, se quisermos enquadrar riscos de diferentes tipos no mesmo mapa, as opções possíveis para sua avaliação devem coincidir. Se não for homogeneizado, os resultados dos riscos não são comparáveis.
2. Cálculo de risco.
   Outro aspecto importante está relacionado à fórmula de cálculo do risco. Parece óbvio pensar que, para integrar riscos de diferentes tipos, eles devem ser obtidos da mesma maneira. No entanto, este ponto tem nuances. Uma metodologia de cálculo de risco pode ser trabalhada com “vários caminhos” usando diferentes parâmetros (por exemplo: mais de um tipo de impacto para a avaliação do risco do negócio; consideração da frequência de uma atividade e da probabilidade histórica do risco), mas o importante é que o cálculo do risco seja sempre baseado em um valor final de probabilidade e impacto. Alguns exemplos do acima:
   • O impacto de um risco de negócio é calculado com base na avaliação de vários tipos de impacto (económico, reputacional, etc.), mas obtém-se sempre um valor de impacto final, que será tido em conta para o cálculo do risco.
   • O impacto de um risco penal é suficiente com uma única avaliação, que é a considerada para o cálculo do risco.
3. Elementos analisados.
   Todo risco deve estar associado a algum elemento. Pode ser uma área, um processo ou a própria organização. Para alcançar um mapa de risco integrado, é essencial que os elementos que são objeto de análise existam e façam parte do escopo da análise de risco.
4. Catálogos de riscos tipificados.
   Este aspecto, embora não seja obrigatório, é altamente recomendável considerar. Para facilitar a identificação e gestão de riscos de diferentes tipos na mesma análise de risco, é necessário criar catálogos de riscos por tipo. Este fato permite a definição homogênea dos riscos que serão considerados no mapa, podendo estabelecer algum mecanismo de codificação que permita classificá-los rapidamente à primeira vista.

Da nossa empresa, ajudamos você na implementação do seu sistema integrado de gerenciamento de riscos através do software GlobalSuite® Risk Management, com o qual você obterá:

• Definição mais fácil dos riscos que sua organização enfrenta.
• Um relatório pré-estabelecido e personalizável que favorece a tomada de decisões e onde você pode ver como usar seus recursos na gestão de riscos de maneira otimizada.
• Graças ao mapa de calor oferecido pelo software, você economiza tempo e tem a possibilidade de filtrar facilmente por tipo de risco.
• Maior controle da sua organização ao ter todos os riscos identificados em uma única plataforma
• Garantia de estar sempre atualizado com catálogos de riscos das principais regulamentações internacionais e locais.
• Capacidade de integração com outros softwares da sua empresa para tirar partido da gestão de outras áreas, por exemplo, colaboradores, processos, incidentes, etc.