12 de abril de 2021

Um Novo Método para Avaliar a Eficácia de Controles

Uma das etapas mais importantes do processo de gestão de riscos, particularmente durante o tratamento e monitoramento de riscos, é estabelecer a eficácia dos controles. 

Existem diversos métodos para identificar e analisar criticamente os controles atuais e potenciais, alguns dos quais examinam a eficácia individual de cada controle. Da mesma forma, algumas organizações preferem avaliar a eficácia de conjuntos de controles para prevenir a ocorrência de um evento de risco ou atenuar suas consequências. 

Atualmente, dois métodos para avaliar a eficácia dos controles têm sido bastante utilizados: a Análise BowTie (BTA), que aborda esse assunto em outro artigo deste blog, para identificar controles relacionados às potenciais causas e consequências de um evento de risco; e um método alternativo para discutir e estabelecer a eficácia dos controles. 

Em ambos, assume-se que um risco ou consequência inerentemente altos são toleráveis apenas se os controles relacionados aos mesmos forem adequadamente eficazes. 

Como então identificar se a organização possui os controles necessários e se estes são realmente eficazes? De que forma é possível avaliar seus controles críticos?

Um Novo Método em Quatro Etapas


Uma alternativa complementar à BTA para avaliar a eficácia dos controles consiste em um método de 4 etapas para selecionar e otimizar os controles críticos de uma organização.

Etapa 1 - Identificar o(s) evento(s) indesejado(s) pertinente(s)


Eventos indesejados são cenários que têm potenciais efeitos adversos em objetivos organizacionais importantes, como os relacionados a operações, segurança, saúde, meio ambiente, desempenho jurídico e financeiro. Podem decorrer de fatores externos, informações incompletas e variações no desempenho da área ou organização. Uma vez que os eventos indesejados são identificados, convém priorizá-los para uma análise posterior.

Etapa 2: Selecionar as melhores opções de tratamento de riscos para o evento indesejado


A maneira mais eficaz de gerenciar um evento indesejado é eliminar a fonte de risco que pode dar origem a ele. Se a eliminação não for uma opção, considere substituir a fonte de risco por algo que tenha menos risco e minimize as exposições. 

Se a eliminação, substituição e redução dos níveis de exposição não reduzirem os riscos a um nível aceitável, identifique os eventos indesejados que podem decorrer da fonte de risco e selecione e otimize controles que ajudem a garantir a proteção dos funcionários, ativos e meio ambiente. 

As opções de tratamento de riscos estão resumidas na figura abaixo:


Figura 1 - Opções de Tratamento de Riscos para Eventos Indesejados
(clique na imagem para ampliar) 
                                   


Etapa 3: Identificar controles ideais para atingir a redução de risco necessária utilizando a Análise BowTie (BTA)


A BTA deve apresentar, ao menos, as seguintes características:

Ser desenvolvida por uma equipe de pessoas, incluindo funcionários que tenham conhecimentos da metodologia BowTie, compreendam o evento indesejado e pelos responsáveis ​​por acionar, monitorar e manter os controles.

Basear-se em definições claras para descrever o evento indesejado e para determinar o que constitui uma causa, consequência e controle. 

Considerar 'modos de falha de controle' para controles importantes. Os modos de falha de controle devem incluir fatores que podem fazer com que o controle falhe ou prejudique sua eficácia, conhecidos como fatores de degradação. A consideração dos modos de falha também deve identificar os elementos necessários para proteger o controle contra falhas de desempenho. Esses elementos podem ser controles adicionais ou podem estar diretamente relacionados ao sistema de gestão.

Identificar os elementos do sistema de gestão necessários para monitorar, manter e melhorar os controles, para que estes funcionem conforme e quando necessário.

Apresentar as informações em um formato que ajude aqueles que implementam e gerenciam os controles a tomar decisões sobre a importância e a adequação dos controles.

Etapa 4: Selecionar métodos para medir a eficácia operacional dos controles


A gestão e a otimização dos controles devem se concentrar em maximizar a eficácia operacional do controle. Isso pode ser feito medindo a sua eficácia e utilizando os resultados para rastrear seu desempenho ao longo do tempo, de modo a identificar os controles que devem ser melhorados, complementados ou substituídos. 

Se a medição da eficácia do controle for bem feita, será possível usar seu desempenho como referência por toda a organização. Conforme a medição da eficácia do controle evolui dentro da empresa, ela pode ser usada para ajudar a avaliar a adequação do controle.

A eficácia do controle tem três componentes: 

- A disponibilidade e o uso do controle quando necessário;
 
- A capacidade do controle de funcionar conforme necessário; 

- A extensão na qual o controle elimina ou minimiza a exposição a uma causa ou atenua a severidade da consequência.

Os controles devem ser específicos, mensuráveis ​​e auditáveis, e medidas quantitativas de eficácia devem ser adotadas, especialmente para controles críticos. No entanto, quando não for possível adotar medidas quantitativas, uma variedade de métodos, de semiquantitativos a subjetivos, podem ser usados ​​para determinar a eficácia dos controles (resumidos na figura abaixo).

Note que a eficácia do controle pode ser medida de forma diferente, dependendo do controle utilizado, e que a Árvore de Decisões fornece um guia para sua medição.

Figura 2 - Árvore de Decisões para Analisar a Eficácia dos Controles
(clique na imagem para ampliar)


Gestão de Controles Críticos


O monitoramento do desempenho e os relatórios sobre controles-chave de uma organização garantem que tais controles permaneçam eficazes e que suas deficiências sejam prontamente identificadas. O monitoramento deve ser planejado, e a frequência da elaboração dos relatórios deve ser documentada. 

A execução eficaz dessas atividades geralmente requer a designação de um proprietário do controle, responsável por monitorar e relatar o seu desempenho. Também é importante haver medidas que garantam a eficácia do controle quando o desempenho medido cair abaixo do exigido.

Convém que as responsabilidades dos proprietários do controle sejam documentadas na descrição de suas posições ou no procedimento do qual o controle é derivado. Para controles críticos, o desempenho do controle pode ser incluído como um elemento da avaliação pessoal do proprietário do controle. 

A gestão de controles críticos envolve um maior alinhamento da gestão de riscos com as boas práticas de gestão. Atualmente, a gestão de riscos pode ser realizada com pouca relação com os processos de gestão de negócios, utilizando registros de riscos que incluem longas listas de eventos e controles potenciais, mas limitam o foco da gestão de riscos. 

Convém que a gestão de controles críticos faça parte da gestão de riscos em vários pontos de decisão, como em análises críticas de riscos de unidades e processos organizacionais; na evolução de diferentes fases do negócio; em mudanças significativas na operação ou negócio; e no desenvolvimento de práticas ou locais de trabalho seguros.

A figura abaixo descreve as nove etapas do processo de gestão de controles críticos, seis das quais são necessárias para planejar a gestão de controles críticos antes das três etapas finais de implementação.



Figura 3 - Processo de Gestão de Controles Críticos
(clique na imagem para ampliar)


Existem alguns loops iterativos na figura acima, nos quais uma etapa pode exigir revisitar a etapa anterior para obter a saída desejada. Por exemplo, o loop da etapa 7 à etapa 6 indica a necessidade de reavaliar as informações das etapas de planejamento, quando se define implementar os controles em cada unidade. Isso ocorre porque o desempenho de um controle em determinado local pode variar em relação às premissas adotadas nas etapas de planejamento. 

Este processo pode representar uma grande mudança na forma como os riscos são tratados, e as organizações devem tomar medidas para se preparar para a gestão de controles críticos antes de iniciar as etapas de planejamento e implementação. 

Uma vez compreendida a natureza do processo, incluindo o envolvimento essencial da alta direção, é recomendável que a empresa avalie se está pronta para iniciar a gestão de controles críticos.


Monitoramento e Análise Crítica dos Controles 


A garantia da eficácia dos controles é um elemento essencial da gestão de riscos. Garantia diz respeito ao exame explícito, sistemático e objetivo de evidências com o intuito de fornecer uma avaliação independente da eficácia dos processos e controles em relação aos critérios de desempenho estabelecidos. O escopo da garantia deve incluir o projeto e o desempenho dos processos e controles para minimizar o risco dos processos.

Os riscos devem ser monitorados para garantir que os controles sejam adequadamente projetados, implementados conforme planejado e estejam funcionando de maneira eficaz. Convém que as análises críticas para garantir a eficácia dos controles sejam conduzidas por um profissional sem responsabilidade direta pelo projeto ou pela execução dos controles, mas que incluam o proprietário do controle e outras partes interessadas pertinentes. 

Os relatórios de garantia para controles críticos devem ser analisados criticamente ​​e endossados ​​pela equipe de gestão de ativos. A responsabilidade pela conclusão dos planos de melhoria de controles acordados deve ser atribuída a um indivíduo, e a evolução do plano deve ser rastreada pelos gestores até a sua conclusão final.

Uma das formas de garantir e aprimorar a eficácia dos controles é avaliar o seu desempenho por meio da Auditoria Baseada em Riscos (ABR).

Para saber mais sobre a Metodologia BowTie e a Auditoria Baseada em Riscos:


Fonte: "Risk Management - Leading Practice Sustainable Development Program for the Mining Industry" - Australian Government.