Todas as empresas, por mais organizadas e bem planejadas que estejam, estão sujeitas à influência de acontecimentos imprevistos que geram incerteza sobre seus objetivos. Essa é a definição de riscos. E quando se trata de gerenciá-los, temos a ISO 31000, referência normativa em gestão de riscos.
A ISO 31000 descreve os princípios, estrutura e o processo da gestão de riscos, para auxiliar as empresas a fazê-la de maneira eficaz, eficiente e coerente.
A norma tem uma abordagem genérica. Com isso, garante a abrangência necessária para ser aplicada por potencialmente qualquer organização, independentemente de porte ou de setor, e para qualquer tipo de risco.
Ela é útil inclusive para quem já tem um processo formal de gestão de riscos. Com o estudo da norma, as organizações podem analisar criticamente e avaliá-lo, determinando sua completude e eficácia.
No entanto, a ISO 31000 não é destinada à certificação. Ela é uma norma de apoio para facilitar a harmonização da gestão de riscos às normas atuais que tratam de riscos, como a ISO 9001.
Neste artigo, você encontra um resumo da ISO 31000 do texto completo da norma. Você verá uma síntese das três grandes seções, para lembrar sempre.
Princípios da gestão de risco: seção 3 da ISO 31000
O conteúdo propriamente dito da ISO 31000 começa na seção 3, que trata dos 11 princípios da gestão de riscos. São eles que norteiam a estruturação e, depois, o processo de gestão de riscos propriamente dito.
Eles tornam a gestão de riscos coerente e pertinente dentro da organização. Daí a importância de compreendê-los e praticá-los.
Vamos com mais detalhes cada um deles:
- Criar valor: a gestão de riscos contribui para a realização de objetivos de uma empresa e para a geração de valor para stakeholders.
- Integrar todos os processos organizacionais: a gestão de riscos não se dá separada das atividades de uma empresa, mas sim integrada.
- Facilitar a tomada de decisão: à luz de uma gestão de riscos, as decisões são mais bem embasadas.
- Abordar a incerteza: a gestão de riscos considera o imprevisível de acordo com a sua natureza, dando tratamento a ele.
- Ser sistemática, estruturada e oportuna: ela é abrangente, definida e atuante.
- Ser bem informada: a gestão de riscos é baseada em dados coletados com stakeholders, de sistemas, por meio de experiências etc.
- Ser sob medida para a organização: por mais que siga a estrutura da ISO 31000, é adaptada ao contexto da organização.
- Considerar fatores humanos e culturais: envolve colaboradores e se alinha à cultura da empresa.
- Ser transparente e inclusiva: é comunicada em todos os níveis organizacionais.
- Ser dinâmica: ela melhora a si mesma baseada em mudanças de contexto e aprendizados.
- Facilitar a melhoria contínua: está no escopo de um sistema de gestão da qualidade.
Estrutura da gestão de riscos: a seção 4 da ISO 31000
A seção 4 da ISO 31000 define e descreve a estrutura da gestão de riscos em todos os detalhes.
As subseções seguem o ciclo PDCA. Você verá que há uma etapa de planejamento, uma de implementação, uma de verificação e outra de ação. Na base dessa estrutura cíclica está a administração (mandato e comprometimento), que assegura sua implementação e manutenção.
Veja com mais detalhes cada um desses pontos:
Mandato e comprometimento: a base da estrutura da gestão de riscos
Uma gestão de riscos precisa perpassar todos os níveis organizacionais. Mas é na administração que ela tem o amparo para ser concebida, executada e replicada. É este o assunto desta subseção.
A ISO 31000 recomenda que parta da administração o desenho de uma política e de objetivos da gestão de riscos adequados à cultura e aos objetivos da empresa, bem como às regulações vigentes.
Cabe também à administração definir as responsabilidades, assegurar os recursos para as ações e para o aprimoramento delas, bem como a comunicação dessa gestão a stakeholders.
A estrutura de mandato e comprometimento é a base de toda a estrutura da gestão de riscos.
Concepção da estrutura para gerenciar riscos: o planejamento
Essa é uma das etapas mais trabalhosas da gestão de riscos, como se vê pelo próprio extensão do texto da ISO 31000. Há muito trabalho para ser feito antes de fazer o gerenciamento de riscos.
Por que essa etapa importa? Com ela, a organização compreende o seu próprio momento em termos de gestão de riscos, assim como o que é possível e pertinente em um contexto macro. Isso facilita o desenho de seu próprio processo de gestão de riscos.
Ao estruturar uma gestão de riscos, a empresa precisa:
Compreender seu contexto interno e externo
Internamente, a organização vai olhar para como sua estrutura de governança e organizacional, seus objetivos estratégicos, fluxos e processos influenciam a gestão de riscos.
Externamente, compreende qual o ambiente social, político, legal, econômico, natural e competitivo em que se insere, assim como as tendências proeminentes neles, e como elas impactam em sua gestão de riscos.
Estabelecer a política de riscos
A organização precisa entender por que quer gerenciar riscos e qual a relação disso com os objetivos estratégicos e demais políticas que mantém, para determinar por que está comprometida com essa iniciativa.
Processo de gestão de riscos
A ISO 31000 vai detalhar suas recomendações sobre o processo de gestão de riscos na seção 5, sobre a qual falaremos mais adiante.
Responsabilização
A empresa precisa determinar quem serão os responsáveis por implementar, executar, manter, avaliar e melhorar o processo de gestão de riscos.
Integração com os processos organizacionais
Como a gestão de riscos se integra aos processos da empresa, garantindo que seja incorporada em toda a organização.
Recursos
Como serão disponibilizados os recursos humanos e físicos para executar e manter a gestão de riscos, e com que finalidades?
Mecanismos de comunicação
Como será comunicada e reportada interna e externamente a gestão de riscos?
Implementação da gestão de riscos: execução
Esta é a etapa de ação. A organização precisa definir de que maneira e quando vai fazer a implementação da estrutura e processo de gestão de riscos.
Monitoramento e análise crítica da estrutura: verificação
Uma vez implementada a gestão de riscos e em funcionamento, a organização precisa monitorar a estrutura que desenhou. O contexto, a política, os objetivos, os responsáveis, os recursos, os meios de comunicação e os processos são condizentes e traduzem o seu momento? Eles foram delimitados de modo a respeitar os princípios da gestão de riscos?
Melhoria contínua da estrutura: ação
Uma vez verificados os indicadores de desempenho da estrutura da gestão de riscos, você tem condições de analisá-la e melhorá-la.
Processo de gestão de riscos
A seção 5 da ISO 31000 é dedicada à demonstração de uma estrutura estandardizada para o fluxo de gestão de riscos.
É na etapa de concepção da estrutura de gerenciamento de riscos, ou seja, de planejamento, que a organização vai estabelecer adaptações desse processo à sua realidade.
Vejamos na figura abaixo o desenho do processo e depois cada um de seus pontos:
Fluxo de gerenciamento de riscos
1. Estabelecimento do contexto
Com mais detalhes do que na etapa de concepção da estrutura do gerenciamento de riscos, a organização vai olhar para o ambiente externo e interno, a fim de determinar o que vai levar em consideração em seu escopo.
Esse é um momento de refinamento em relação ao trabalho inicialmente realizado na concepção. Ele leva à definição dos critérios que a empresa vai usar para avaliar um risco, como probabilidade, natureza, consequências etc.
Atribuir os pesos aceitáveis em ferramentas como Matriz GUT (esta você baixa no banner abaixo) e Matriz de Riscos ajuda a operacionalizar essa etapa.
2. Processo de avaliação de riscos
O processo de avaliação de riscos se divide em três subetapas:
a) Identificação do risco
Listar todos os riscos que afetam a consecução dos objetivos da empresa de maneira mais abrangente possível.
b) Análise do risco
Compreender, com maior nível de detalhes qualitativos e quantitativos, os riscos listados. Levantar as causas, consequências, controles existentes e probabilidade de ocorrerem, assim como identificar interdependências, é fundamental nesse ponto para determinar o nível de risco.
c) Avaliação do risco
Comparar o nível dos riscos encontrados na etapa anterior a fim de avaliar quais precisam de tratamento e em que prioridade, de acordo com o apetite a riscos da empresa. Essa avaliação pode levar também a análises mais aprofundadas.
3. Tratamento de riscos
Toda ação que visa modificar o nível de risco – seja compartilhando ou diminuindo sua probabilidade ou impacto – ou eliminá-lo.
4. Monitoramento e análise crítica
Verificações nas ações de tratamento a fim de garantir sua eficácia e eficiência, obter informações adicionais, analisar mudanças ou tendências e identificar riscos emergentes.
5. Comunicação e consulta
Comunicação e consulta trata do relacionamento com as partes interessadas, que permeia todo o processo de gestão de riscos, como mostra a figura acima.
Para comunicar com eficiência, a empresa precisa ter planos de comunicação sobre os riscos, suas causas e consequências, bem como sobre a avaliação, planos de tratamento de riscos e análise da eficácia.
Com isso, a organização dá direito às partes interessadas de auxiliar no processo, avaliar e aprovar as decisões, assegurando que seus interesses estão sendo atendidos em um trabalho multidisciplinar.
Registros do processo de gestão de riscos
A ISO 31000 recomenda a rastreabilidade das atividades de gestão de riscos, por meio de registros de evidências. Além de provas, elas servem para comparativos e compliance.
ISO 31000: norteie sua gestão de risco pela referência normativa
A ISO 31000 sintetiza bem e de maneira simples os princípios, a estrutura e o processo de uma gestão de riscos eficaz e eficiente.
Com isso, ela é um direcionamento tanto para empresas que estão implementando a gestão de riscos quanto para as que já fazem com outros frameworks e desejam fazer uma análise crítica.
Se tiver dúvidas, mande para nós nos comentários!
Você precisa fazer o login para publicar um comentário.
