Quando falamos em gestão de riscos, é essencial lembrar que ela não é apenas um mecanismo de controle ou uma exigência regulatória. Muito além disso, trata-se de uma ferramenta estratégica que, quando bem compreendida e aplicada, torna-se parte da inteligência organizacional. E, nesse processo, a identificação de riscos é, sem dúvida, o alicerce de tudo.
Costumo dizer que todo bom processo de gestão de riscos começa com uma pergunta simples, mas poderosa: “Quais são os objetivos que queremos alcançar?” Isso porque risco, em essência, é qualquer evento que possa comprometer o alcance de um objetivo. Sem objetivo, não há risco. E essa é uma lógica que não pode ser ignorada.
Sempre que iniciamos um processo de avaliação de riscos, o primeiro passo deve ser entender claramente os objetivos daquela organização, área ou processo. E aqui está um ponto crucial que muitas vezes é negligenciado: a clareza na formulação dos objetivos. Quando os objetivos são vagos, genéricos ou mal definidos, o risco torna-se um conceito abstrato e, consequentemente, difícil de gerenciar.
Os principais frameworks reforçam essa abordagem. O COSO ERM, por exemplo, no Princípio 10, afirma claramente que a organização deve identificar riscos que impactem o alcance de seus objetivos estratégicos e de negócios. O COSO de Controles Internos, no Princípio 6, orienta que os objetivos devem ser claramente definidos para permitir a identificação e avaliação de riscos. Já a ISO 31000 segue o mesmo caminho ao definir risco como o efeito da incerteza sobre os objetivos. Portanto, não há dúvida: os objetivos devem ser o ponto de partida.
Ao aplicar essa lógica na análise de um processo operacional, costumo recomendar a avaliação dos objetivos sob quatro perspectivas:
-
Objetivo Inerente
É o objetivo específico do próprio processo. Por exemplo, no processo de folha de pagamento, um objetivo inerente seria garantir que os colaboradores sejam pagos de forma justa e conforme os termos acordados. Esse objetivo pertence unicamente a esse processo e não deve ser confundido com outros.
-
Objetivo de TI
Relaciona-se à qualidade dos dados e informações processadas — especialmente quanto à consistência, integridade, confidencialidade e disponibilidade. No exemplo da folha de pagamento, significa assegurar que os dados sejam corretos, estejam sempre disponíveis e sigam padrões de segurança da informação.
-
Objetivo de Integridade
Vincula o processo aos valores éticos e morais da organização, definidos pelo seu programa de integridade e código de conduta. O objetivo aqui é garantir que cada decisão e ação tomadas durante o processo estejam alinhadas a esses valores.
-
Objetivo de Conformidade Legal
Refere-se ao cumprimento das leis e regulamentos aplicáveis — sejam federais, estaduais, municipais ou setoriais. Vale destacar que esses três últimos objetivos (TI, integridade e conformidade) estão presentes em todo processo operacional, sem exceção.
Uma vez definidos esses objetivos, a identificação de riscos torna-se um exercício lógico. Um bom ponto de partida é inverter a lógica do objetivo. Se o objetivo é garantir remuneração justa, o risco é exatamente o oposto: pagamento injusto ou não conforme. A partir daí, uma pergunta fundamental ajuda a aprofundar o raciocínio: “O que poderia impedir o alcance deste objetivo?” Essa pergunta direciona a análise para os fatores que ameaçam o sucesso do processo, permitindo mapear os riscos de forma prática e objetiva.
E aqui entra uma pergunta ainda mais poderosa: “Quais são as causas que poderiam gerar ou disparar este risco?”
Identificar o risco é importante — mas entender suas causas é o que realmente possibilita um tratamento eficaz.
Um erro comum em programas de gestão de riscos é listar os riscos, criar uma bela matriz e, na hora de construir planos de ação, cair em generalizações que não atacam o problema real.
Por que isso acontece? Porque as causas não foram estudadas. E é nelas que residem as verdadeiras vulnerabilidades do processo. Os riscos são efeitos, mas são as causas que os tornam possíveis. Quando compreendemos bem essas causas — e isso só é possível por meio de uma análise estruturada e aprofundada — conseguimos propor ações de tratamento eficazes, proporcionais e alinhadas à realidade da organização.
Em resumo, o ponto de partida para uma boa identificação de riscos é a definição clara dos objetivos. E o ponto de partida para entender as causas — que costumo chamar de fatores de risco — é o próprio risco. Essa sequência lógica e estruturada garante que a gestão de riscos não seja apenas um exercício formal, mas sim uma verdadeira ferramenta de tomada de decisão e geração de valor.
Portanto, se quisermos uma gestão de riscos eficaz, precisamos começar com uma pergunta simples, mas transformadora: “Quais são os nossos objetivos?” Porque é a partir deles que tudo se constrói. E é por eles que se protege o que realmente importa dentro da organização.
Quando seguimos essa lógica — objetivo → risco → causa — transformamos a gestão de riscos em uma ferramenta estratégica. Ela deixa de ser burocracia e passa a ser inteligência de negócios.
E nunca se esqueça: Sem objetivo, não há risco. E sem causa, não há tratamento eficaz. É simples, é direto e é fundamental.
Seja feliz!
Traduzido do inglês pela Okai.