A ISO (International Organization for Standardization) define risco como o efeito da incerteza nos objetivos, podendo ser positivo, negativo ou ambos resultando em oportunidades ou ameaças (ABNT, 2018). A SRA (Society for Risk Analysis), também relaciona o risco com incertezas de eventos e suas consequências (SRA, 2018). No contexto do ambiente corporativo, essas incertezas levam a diversos tipos de riscos, como, riscos de mercado, risco competitivo, risco da cadeia de suprimentos, risco político, risco cambial, etc. (BROMILEY et al., 2015). Assim, estudos voltados ao entendimento do risco (sua tipologia, métricas de avaliação e técnicas de controle) são essências para o sucesso de uma empresa. Segundo Wolke (2017), esse controle pode ser realizado através de técnicas de gerenciamento de riscos.
A NBR ISO 31000:2018 define o gerenciamento de risco como: “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”. Segundo Dionne (2013), o gerenciamento de risco deve ir além do que simplesmente minimizar a exposição de uma empresa a riscos, deve também estar ligado a maximização do valor da empresa através da redução de custos devido aos diferentes tipos de riscos.
Uma fundamentação genérica para a área de conhecimento voltada ao estudo de risco é uma tarefa difícil, pois trata-se de um conhecimento multidisciplinar. Isto proporciona uma ampla quantidade de pontos de vista sobre o assunto (AVEN, ZIO, 2014).
No entanto, a norma NBR ISO 31000:2018 propõe diretrizes para realização de gestão risco de forma generalizada, podendo ser aplicada a organizações de qualquer tipo e tamanho (ABNT, 2018). De acordo com essa norma,
o processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos (ABNT, 2018, p.9).
A Figura 4 ilustra como o processo de gestão de risco é definido segundo a norma NBR ISO 31000:2018.
Figura 4 - Processo de Gestão de Risco
Fonte: Adaptado de ABNT. NBR ISO 31000:2018 (2018).
A seguir, outras duas formas de abordagem de gerenciamento de riscos são apresentadas dependendo do contexto ao qual irá ser aplicado. Isso tem como objetivo demonstrar que o gerenciamento de riscos pode tomar diferentes formas, mas, independentemente disso, sua estrutura se mante semelhante.
2.3.1 Gerenciamento de Riscos em Projetos
Na área de projetos, segundo Cagliano, Grimaldi e Rafele (2014), o gerenciamento de risco pode ser resumido em três macro fases: Fase inicial, Fases intermediárias e Fase Final.
A primeira macro área é relacionada à atividades referentes a compreender as características e os objetivos do projeto em questão, definindo seu escopo e propósito. As etapas intermediárias possuem o objetivo de identificar os riscos juntamente com suas causas, efeitos e como se relacionam entre si, além de avaliar suas probabilidades de ocorrência e impacto para elaborar estratégias de resposta a esses riscos e também planos de contingência. A fase final forma atividades como, realizar as respostas da etapa anterior monitorando-as e refinando-as, além de
identificar, avaliar e tratar novos riscos, bem como registrar os conhecimentos, experiências e lições aprendidas na implementação da gestão de risco.
As macro-fases de Cagliano, Gimaldi e Rafele (2014) descritas acima, podem ser detalhadas de acordo com o processo de gerenciamento de riscos de projetos segundo o PMI (Project Management Institute) que sugere as seguintes etapas: planejamento, identificação, análise, planejamento de respostas e, finalmente, monitoramento e controle (PMI, 2013). Estas etapas são definidas como:
(1) planejamento, fase onde os objetivos, a forma de abordagem e os recursos são levantados;
(2) identificação, a qual trata-se da identificação dos riscos juntamente com suas causas;
(3) análise, estudo das probabilidades de ocorrência e os impactos relacionados ao risco, bem como suas influências nos resultados do projeto em termos de custo, cronograma, escopo e variação da qualidade;
(4) planejamento de respostas, são desenvolvidas ações para aumentar as oportunidades e diminuir as ameaças;
(5) monitoramento e controle, trata-se do controle e monitoramento dos riscos identificados, monitoramento de riscos residuais, identificação de novos riscos, além de avaliar a eficácia do processo de gerenciamento de riscos bem como a formalização de lições aprendidas.
As macro-fases descritas por Cagliano, Gimaldi e Rafele (2014), juntamente com o processo de gerenciamento de riscos de projetos segundo o PMI (2013) podem ser relacionados segundo a Figura 5.
Figura 5 – Processo de Gestão de Risco de Projetos
Fonte: Autor (2019)
2.3.2 Gerenciamento de Riscos na Cadeia de Suprimentos
Segundo HO et al. (2015), ainda não há uma definição unificada do risco e da gestão de risco na cadeia de suprimentos, no entanto, os autores propõem em seu
trabalho de revisão uma definição como sendo “um esforço colaborativo interorganizacional que utiliza metodologias quantitativas e qualitativas de gerenciamento de riscos para identificar, avaliar, mitigar e monitorar eventos ou condições inesperadas em nível macro e micro, o que pode afetar negativamente qualquer parte de uma cadeia de suprimentos” (Ho et al., 2015).
Ainda no trabalho de HO et al. (2015), é possível classificar os tipos de riscos na cadeia de suprimentos de forma holística em duas categorias: Macro-riscos e micro-riscos. Os macro-riscos estão relacionados a eventos externos raros que podem causar impactos negativos nas empresas, como os riscos naturais (e.g. terremotos e desastres naturais) e os man-made risks (e.g. terrorismo, instabilidade política e guerras). Os micro-riscos são relacionados a eventos mais corriqueiros e operacionais originados internamente nas empresas e em sua cadeia de suprimentos. Além disso, os micro-riscos podem ser divididos em quatro categorias: riscos de demanda, riscos de manufatura, riscos relativos à cadeia de suprimentos e riscos de infraestrutura.
Dessa forma, em seu framework conceitual, ilustrado na Figura 6, HO et al. (2015) unem a definição de gestão de risco na cadeia de suprimentos e a classificação dos riscos (macro e micro riscos).
Figura 6 - Framework conceitual para riscos na cadeia de suprimentos
Além disso, segundo sua revisão, os autores incluem em seu framework a tecnologia da informação, transporte e sistemas financeiros devido a serem pontos críticos para assegurar o funcionamento saudável da cadeia de suprimentos.
Comumente, segundo Heckmann, Comes e Nickel (2015), os riscos da cadeia de suprimentos são associados a um conceito puramente orientado a eventos. Num contexto de gerenciamento de riscos, os eventos são caracterizados pela sua probabilidade de ocorrência e suas consequências na CS. No entanto, Dunke et al. (2018) consideram que uma análise de “evento por evento” levando a uma determinação das consequências de forma exclusiva em cada caso não é completa. Para os autores, o fator tempo também deve ser considerado como um ponto importante quando se trata de estudar os riscos na cadeia de suprimentos. Assim, um risco não depende apenas de sua severidade e da probabilidade de ocorrência, mas também do tempo, pois possui influência no grau de incerteza sobre o risco.
2.3.3 Identificação e classificação de riscos
Independentemente da abordagem da gestão de riscos (a forma generalista da ISO, a perspectiva de gestão de projetos ou a abordagem relativa à cadeia de suprimentos), a etapa de classificação e identificação dos riscos é uma atividade importante que deve ser realizada.
Segundo Tchankova (2002), a identificação de riscos é um estágio básico que dá suporte para as próximas etapas do gerenciamento de risco que revela e determina os possíveis riscos enfrentados pelos recursos da organização. Uma correta identificação pode assegurar a efetividade do gerenciamento de riscos. Esta etapa, de acordo com Wu, Blackhurst e Chidambaram (2006), envolve a enumeração de fatores de risco e é utilizada para posterior caracterização em ramos apropriado no sistema de classificação.
Segundo o PMI (2013) e num contexto de gestão de projetos, os riscos podem ser classificados por fontes de risco, por área afetada ou por categorias úteis para determinar as áreas de um projeto que são mais expostas aos efeitos da incerteza.
Esta identificação dos riscos é a etapa mais importante para esta pesquisa, devido ao fato de que para realizar um estudo dos riscos da Indústria 4.0, primeiramente será necessário mapeá-los.