Escrito por Hussein Elkersh, MSC, PMP, CIA, EM 29 DE MARÇO DE 2023

Compreender os conceitos de gerenciamento de riscos, como risco residual e secundário, pode ser útil em qualquer indústria, especialmente para atividades de gestão de projetos.

Ter uma avaliação de riscos adequada é uma das chaves de ouro para uma função de auditoria interna bem-sucedida. Uma sólida avaliação de riscos pode ser vista como a espinha dorsal do programa de auditoria, levando a auditorias eficazes (que atingem os objetivos do escopo da auditoria) e eficientes (que utilizam os recursos de auditoria com base na criticidade das auditorias).

Normalmente, as atividades no universo de auditoria que são mais arriscadas têm prioridade no plano de auditoria – e podem precisar ser auditadas com mais frequência. Esses fatores podem esclarecer por que é obrigatória, de acordo com as Normas Internacionais para a Prática Profissional da Auditoria Interna, a elaboração de um plano de auditoria baseado em riscos. De acordo com a Norma 2010.A1 do IIA, “O plano dos trabalhos da atividade de auditoria interna deve ser baseado em uma avaliação de riscos documentada, realizada pelo menos anualmente”.

Considerações Importantes sobre o Gerenciamento de Riscos

Ao conduzir o exercício de avaliação de riscos, uma compreensão profunda dos riscos residuais e secundários, bem como das estratégias de risco comuns, pode ser muito útil. As quatro estratégias de risco comuns (mitigação de risco, aceitação, prevenção e compartilhamento/transferência) são desenvolvidas e aplicadas pela gestão, enquanto o papel da auditoria interna é avaliar a eficácia de tais estratégias para lidar com os riscos.

As seguintes considerações de gerenciamento de riscos podem ser úteis em qualquer indústria, especialmente quando estiverem incluídas atividades de gestão de projetos. Uma ênfase foi colocada na indústria da construção, dando exemplos práticos e ilustrativos. O gerenciamento de riscos adequado pode ser uma das principais ferramentas que garantem o sucesso de um projeto. Com o enorme aumento no número de projetos de construção no mundo todo, torna-se imperativo entender completamente esses conceitos.

Riscos Residuais e Secundários

Riscos Residuais. As avaliações de riscos preocupam-se com os riscos residuais após considerar os controles já existentes. O risco residual é definido pelo Project Management Institute como “o risco que permanece após a implantação das respostas aos riscos”. Às vezes, os próprios controles podem ser avaliados comparando a diferença entre o risco inerente avaliado e o risco residual resultante após a aplicação dos controles, o que pode mostrar a criticidade e a importância de tais controles.

Exemplo: Atrasos no projeto são um risco inerente à indústria da construção. Um dos controles para isso é o monitoramento regular, por meio de atualizações de progresso semanais ou mensais. Outro controle é ter um plano de recuperação que envolva a aceleração, tornando as atividades simultâneas ou o que é conhecido como “crashing” – aumentando os recursos de construção. Ao avaliar o risco residual de atraso do projeto, a eficácia desses controles precisa ser considerada.

Riscos Secundários. Esse tipo de risco geralmente é ignorado durante a avaliação de riscos, para evitar complicações no exercício. No entanto, isso pode levar a resultados adversos. Os riscos secundários são definidos pelo Project Management Institute como “riscos que surgem como resultado direto da implantação de uma resposta ao risco”.

Exemplo: Como resultado de um atraso no projeto, o controle de crashing do projeto explicado anteriormente pode ser implantado, aumentando os recursos de construção. Isso pode ser feito realizando múltiplos turnos, adicionando mais trabalhadores ao projeto ou aumentando a quantidade de equipamentos, o que pode levar a um risco residual aceitável. No entanto, o risco secundário de estourar o orçamento surgirá como resultado do uso dessa resposta ao risco para controlar o risco. Assim, tais riscos secundários precisam ser devidamente considerados durante a realização de uma avaliação de riscos.

Estratégias de Riscos
Mitigação de Riscos. Esse tipo de estratégia pode funcionar tanto na probabilidade quanto no impacto. Por exemplo, ter uma inspeção eficaz da loja do fornecedor, para testemunhar os testes de aceitação da fábrica antes de enviar o equipamento para os canteiros de obras, reduz a probabilidade de entregar equipamentos com defeito. Por outro lado, ter equipamentos de backup (como geradores elétricos) no local do projeto reduz o impacto de um mau funcionamento repentino do equipamento. Ambos os exemplos são estratégias de mitigação de risco que podem ser aplicadas na indústria da construção.

Aceitação do Risco. Conhecer o apetite/limiar de risco é essencial para poder implantar devidamente essa estratégia. Por exemplo, um orçamento de projeto que inclua uma reserva de contingência para riscos conhecidos e uma reserva de gestão para riscos desconhecidos é extremamente útil, para poder decidir se aceita certos riscos e aplica essa estratégia de risco.

Evitação de Riscos. Decidir assumir um escopo mais restrito em um projeto de construção, em vez de trabalhar nele do início ao fim (por meio de engenharia, aquisição e construção), pode resultar na prevenção dos riscos associados ao escopo completo. Além disso, evitar certos escopos que possam representar um risco especial (como mecânico, elétrico e de bombeamento na construção) e decidir ter apenas um escopo específico é considerado como uma estratégia de prevenção de riscos. Outro bom exemplo de evitação de riscos é evitar certos riscos com base no tipo de contrato. Por exemplo, um contrato de preço fechado é mais arriscado para o empreiteiro e menos arriscado para o proprietário do que um contrato de custo mais margem.

Compartilhamento/Transferência de Riscos. Envolver-se em uma joint venture com outra organização em um projeto de construção é um exemplo claro de aplicação da estratégia de compartilhamento de riscos. Cada parceiro da joint venture pode ter uma participação igual — ou diferentes porcentagens podem ser acordadas com base nas capacidades. Por outro lado, ter acordos de subcontratação representa um exemplo óbvio da estratégia de transferência de risco. Neste exemplo, o empreiteiro principal transfere os riscos associados a um determinado escopo para um subempreiteiro, com condições back-to-back entre o contrato principal do projeto e o subcontrato. Deve-se notar, no entanto, que tal transferência de risco não significa que o contratante principal não seja mais totalmente responsável por este escopo. Assim, due diligence precisa ser aplicada ao processo de seleção de um subcontratado, e um processo de monitoramento eficaz precisa estar em vigor durante a execução.

Vale ressaltar que essas estratégias e conceitos podem ser aplicados em qualquer projeto, e não necessariamente apenas na construção. Os projetos de TI, por exemplo, usam as mesmas estratégias de riscos para lidar com os riscos do projeto. Essas técnicas acabarão por levar à maximização de oportunidades e minimização de ameaças.

Copyright © 2023 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 27 DE MAIO DE 2023.