Autor: Dr. Nino Meireles
Doctor en Ciências de la Seguridad (Espanha). Coordenador do Curso MBA
em Gestão Estratégica da Segurança Corporativa da Faculdade FACEI
Einstein. Docente e Diretor Acadêmico da CEAS-BRASIL.
Os desafios empresariais estão cada vez maiores, pois as exigências do mercado e o desempenho dos concorrentes estão crescendo rapidamente.
Para fazer frente a esta realidade as empresas necessitam superar continuamente os seus patamares de atuação e tornar os seus processos cada vez mais eficientes e eficazes. A análise dos ambientes interno e externo,buscando identificar pontos fortes, pontos fracos, oportunidades e ameaças; é cada vez mais importante para a estruturação do planejamento estratégico.
As organizações norteiam sua caminhada por metas. Inicialmente as metas estratégicas, que serão desdobradas em metas táticas e estas em metas operacionais. Todos os subsistemas da empresa (departamentos) sejam ligados a atividade fim, sejam ligados à atividade meio, terão suas metas alinhadas às metas estratégicas. As atividades meio têm que potencializar a atividade fim. Sob este prisma, percebe-se que o sistema de segurança é uma atividade meio que tem que potencializar a atividade fim, para tal tem que adotar um conjunto sistemático de processos a fim de criar valor por meio do alinhamento.
É necessário alinhar as estratégias do sistema de segurança com as estratégias das unidades de negócio e da corporação. O sistema de segurança precisa alinhar seus processos, de maneira que sejam capazes de executar a estratégia. Para isso, é necessário desenvolver um plano estratégico que descreva como adquirir, desenvolver e prestar serviço estratégico às unidades operacionais. Finalmente, o sistema de segurança deve fechar o ciclo,avaliando o desempenho de sua iniciativa, mediante técnicas como acordo de nível de serviço (SLA), feedback dos clientes internos, avaliações pelos clientes e auditorias internas.
Dois grandes problemas surgem na prestação do serviço de segurança:falta de foco e falta de metodologia de construção. O primeiro problema surge pela falta de um objetivo claro que norteie o sistema de segurança. Não se pode esquecer que qualquer sistema surge a partir de um objetivo bem definido e no caso do sistema de segurança é GERENCIAR RISCOS, seja minimizando a probabilidade de ocorrência, seja minimizando o impacto gerado pela concretização. Para se chegar a este objetivo geral é necessário alcançar alguns objetivos específicos: dissuadir, detectar, reconhecer e reagir.
Para que esses objetivos sejam alcançados o sistema de segurança tem que ser composto de quatro macro subsistemas, cada um com um foco principal:
- Meios técnicos ativos – Gerar informação.
- Meios técnicos passivos – Retardar a agressão.
- Meios organizacionais (normas, procedimentos, planos, políticas) – Coordenar os meios.
- Meios humanos – Assegurar reação.
O segundo problema é a falta de método, ou seja, não existe um processo estruturado para a construção da solução de segurança.
É possível afirmar que método é a sequencia de ações necessárias para se atingir certo resultado desejado. Esta sequencia é a base de construção, base essa que é composta da resposta a três perguntas e do processo da gestão de riscos estabelecido na ISO 31000.
As três perguntas são: qual ativo ou quais ativos a empresa quer proteger (pessoas, bens, informações, imagem); qual evento ou quais eventos podem interferir na integridade dos ativos a serem protegidos; qual o nível de proteção que se quer dar aos ativos.
Uma vez levantados os eventos, é necessário (mediante alguma metodologia) a quantificação deles, ou seja, determinar a probabilidade de ocorrência e o impacto gerado pela concretização. Estes dados devem ser cruzados (matricialmente) para ser possível definir a forma como cada evento será tratado. Preventivamente buscando minimizar a probabilidade (sistema preventivo de segurança) e ou contingencialmente (sistema contingencial de segurança) buscando minimizar o impacto.
O exposto deixa claro que tanto as organizações quando os seus subsistemas precisam tem objetivos bem definidos. Para a partir deles, ser construído a estratégia, ou seja, o caminho a ser seguido para alcançá-los.
Nesta caminha surgem os riscos. A ISO 31000 deixa claro que risco é o efeito da incerteza em relação ao alcance dos objetivos empresariais.
A ISO 31000 apresenta interface com outras ISOs como a ISO 9001 (2015) e a ISO 14001 (2015). A ISO 9001 (2015) levanta dois aspectos em relação a risco: mentalidade de risco e pensamento baseado em risco.
Implantar uma mentalidade de risco esta ligado a estabelecer uma cultura de prevenção. Já pensar baseado no risco é garantir que todos os riscos sejam identificados, considerados e controlados ao longo dos sistemas de qualidade e meio ambiente. É reconhecer que riscos existem em todos os sistemas,processos e funções e que devem ser considerados de forma integral.
As ISO 9001 (2015) e 14001 (2015) ressaltam a importância de abandonar uma posição reativa e adotar uma atitude proativa na prevenção e redução de conseqüências indesejáveis. A abordagem de riscos deve ser considerada desde o principio e ao longo de todos os sistemas. Isso torna as ações preventivas inerentes às atividades de planejar, operar, analisar e avaliar.
As ISO 9001 (2015) e 14001 (2015) também trazem uma quebra de paradigma, que é deixar de pensar no risco apenas como algo com conseqüência negativa. Normalmente o risco é visto pelas empresas como uma ameaça e não como uma oportunidade. Agora os efeitos do risco são considerados tanto pelo lado negativo como pelo positivo.
O objetivo é definir, gerenciar e monitorar de maneira eficaz os ambientes de negócio interno e externo para garantir a proteção e o crescimento do valor agregado, dentro do risco tolerável e dos limites legais.
Isso implica em evoluir na direção de um ambiente organizacional unificado,onde as funções de gestão de riscos e conformidade estão alinhadas ao planejamento estratégico e controladas de maneira centralizada, mas a responsabilidade é distribuída através das estruturas dos negócios.
É importante ressaltar que todos os certificados ISO 9001 (2008) emitidos após a publicação da norma revisada terão a data de validade de setembro de 2018. Empresas certificadas de acordo com a ISO 9001 (2008) que não evoluírem para a versão 2015 até a data estipulada, perderão a certificação.
Todo este cenário demonstra a importância da gestão de riscos em qualquer empresa. Além disso, a única maneira do sistema de segurança estar ligado ao negócio é mediante o gerenciamento de riscos. Todas as pessoas precisam entender de riscos e para os gestores de segurança este conhecimento é essencial.
Na busca deste conhecimento uma alternativa interessante é a Certificação Internacional em Gestão de Riscos (CIGR) da CEAS-INTERNACIONAL.