Todas as empresas, por mais organizadas e bem planejadas que estejam, estão sujeitas à influência de acontecimentos imprevistos que geram incerteza sobre seus objetivos. Essa é a definição de riscos. E quando se trata de gerenciá-los, temos a ISO 31000, referência normativa em gestão de riscos.
A ISO 31000 descreve os princípios, estrutura e o processo da gestão de riscos, para auxiliar as empresas a fazê-la de maneira eficaz, eficiente e coerente.
A norma tem uma abordagem genérica. Com isso, garante a abrangência necessária para ser aplicada por potencialmente qualquer organização, independentemente de porte ou de setor, e para qualquer tipo de risco.
Ela é útil inclusive para quem já tem um processo formal de gestão de riscos. Com o estudo da norma, as organizações podem analisar criticamente e avaliá-lo, determinando sua completude e eficácia.
No entanto, a ISO 31000 não é destinada à certificação. Ela é uma norma de apoio para facilitar a harmonização da gestão de riscos às normas atuais que tratam de riscos, como a ISO 9001.
Neste artigo, você encontra um resumo da ISO 31000 do texto completo da norma. Você verá uma síntese das três grandes seções, para lembrar sempre.
Princípios da gestão de risco: seção 4 da ISO 31000:2018
O conteúdo propriamente dito da ISO 31000 começa na seção 4, que trata dos 8 princípios da gestão de riscos. São eles que norteiam a estruturação e, depois, o processo de gestão de riscos propriamente dito.
Eles tornam a gestão de riscos coerente e pertinente dentro da organização. Daí a importância de compreendê-los e praticá-los.
Vamos com mais detalhes cada um deles. A gestão de riscos deve ser:
- Integrada: a gestão de riscos não se dá separada das atividades de uma empresa, mas sim integrada.
- Estruturada e abrangente: ela é feita de maneira sistemática, de acordo com a criticidade do objeto.
- Personalizada: leva em consideração as especificidades dos objetivos, processos e ferramentas da organização.
- Inclusiva: leva em consideração partes interessadas.
- Dinâmica: está atenta a mudanças de contexto, a fim de aprender e responder apropriada e oportunamente a elas.
- Bem informada: toma como entrada de seu processo informações históricas, atuais e futuras de maeira criteriosa e crítica.
- Atenta a fatores humanos e culturais: envolve colaboradores e se alinha à cultura da empresa.
- Voltada à melhoria contínua: o clico de gestão de riscos de retroalimenta com base em experiências e aprendizados a fim de melhorar.
Estrutura da gestão de riscos: a seção 5 da ISO 31000
A seção 5 da ISO 31000 define e descreve a estrutura da gestão de riscos em todos os detalhes.
As subseções seguem 5 etapas que lembram o ciclo PDCA. Você verá que há uma etapa de concepção, de implementação, de avaliação e de melhoria, com uma etapa adicional de integração.
Na base dessa estrutura cíclica está a administração (liderança e comprometimento), que assegura sua implementação e manutenção.
Essa estrutura é voltada à garantia da incorporação da gestão de riscos nas atividades significativas da organização.
Veja com mais detalhes cada um desses pontos:
Liderança e comprometimento: a base da estrutura da gestão de riscos
Uma gestão de riscos precisa perpassar objetivos, estratégias e cultura da empresa, assim como as atividades em todos os níveis organizacionais. E quem assegura isso é a Alta Direção.
Mais que isso: a alta direção lidera a concepção e implantação da gestão de riscos, para que disponha de recursos e do monitoramento apropriados.
A ISO 31000 recomenda que parta da alta direção o desenho de uma política e de objetivos da gestão de riscos adequados à cultura e aos objetivos da empresa, bem como às regulações vigentes.
Cabe também à administração definir as responsabilidades, assegurar os recursos para as ações e para o aprimoramento delas, bem como a comunicação dessa gestão a stakeholders.
Integração
A ISO 31000:2018 destaca esta etapa de integração para enfatizar a necessidade da integração adequada da gestão de riscos na estrutura organizacional, incluindo suas estratégias, operações, projeto, programa e cultura.
A norma frisa que essa é uma ação iterativa, que se dá com diferentes enfoques de acordo com o contexto e complexidade da organização, mas também sua orientação.
Concepção
Essa é uma das etapas mais trabalhosas da gestão de riscos, como se vê pelo próprio extensão do texto da ISO 31000. Há muito trabalho para ser feito antes de fazer o gerenciamento de riscos.
Por que essa etapa importa? Com ela, a organização compreende o seu próprio momento em termos de gestão de riscos, assim como o que é possível e pertinente em um contexto macro. Isso facilita o desenho de seu processo de gestão de riscos.
Ao estruturar uma gestão de riscos, a empresa precisa:
- Entender seu contexto interno e externo
Internamente, a organização vai olhar para como sua estrutura de governança e organizacional, seus objetivos estratégicos, fluxos e processos influenciam a gestão de riscos.
Externamente, deve compreender qual o ambiente social, político, legal, econômico, natural e competitivo em que se insere, assim como as tendências proeminentes neles, e como elas impactam em sua gestão de riscos.
- Articular o comprometimento com a gestão de riscos
A organização precisa entender o propósito para gerenciar riscos e por quê isso impacta a organização, para elaborar seu comprometimento com a iniciativa. O resultado desse trabalho ser formulado pela Alta Direção em termos de uma política ou declaração.
- Atribuir papéis organizacionais, autoridades, responsabilidades e responsabilizações
Cabe à Alta Direção estabelecer as pessoas que estão relacionadas à gestão de risco, de acordo com o estratato que ele se dará.
- Alocar recursos
Como serão disponibilizados os recursos humanos e físicos para executar e manter a gestão de riscos, e com que finalidades?
Processos e procedimentos documentados, assim como sistemas e treinamentos são definições que entram aqui também.
- Mecanismos de comunicação
Como será comunicada e reportada interna e externamente a gestão de riscos?
Implementação
Esta é a etapa de execução. A organização precisa definir de que maneira e quando vai fazer a implementação da estrutura e processo de gestão de riscos. Adotar um plano, com etapas, responsáveis, prazos e recursos necessários será fundamental para gerenciar esta etapa.
Não subestime a necessidade de engajar e comprometer as equipes envolvidas.
Avaliação
Uma vez implementada a gestão de riscos e em funcionamento, a organização precisa monitorar a estrutura que desenhou e implantou.
O contexto, a política, os objetivos, os responsáveis, os recursos, os meios de comunicação e os processos são condizentes e traduzem o seu momento? Eles foram delimitados de modo a respeitar os princípios da gestão de riscos?
Melhoria
Uma vez verificados os indicadores de desempenho da estrutura da gestão de riscos, você tem condições de adaptá-la para abordar mudanças e/ou melhorá-la para garantir a suficiência de seu modelo de gestão.
Processo de gestão de riscos: seção 6
A seção 6 da ISO 31000 é dedicada à demonstração de uma estrutura estandardizada para o fluxo de gestão de riscos, que deve ser personalizada aos objetivos e contexto organizacionais.
Vejamos ponto a ponto:
Escopo, contexto e critérios
1. Definindo o escopo
Sobre o que será feita a gestão de riscos? Um objetivo estratégico, um projeto, um processo, um procedimento? Gestão de riscos pode se dar em diferentes níveis, portanto você precisa determinar quais são eles.
Elenque os objetivos almejados, resultados esperados, período, ferramentas e recursos, conexão com outros projetos…
2. Definindo o contexto externo e interno
Com mais detalhes do que na etapa de concepção da estrutura do gerenciamento de riscos, a organização vai olhar para o ambiente externo e interno, a fim de determinar o ambiente.
3. Definindo critérios de risco
Estabelecimento de critérios de tomada de decisão sobre o risco que reflita seu apetite a risco, de acordo com seus valores, cultura, estratégias e obrigações legais da organização, mas também natureza dos riscos, consequências e capacidade de absorção.
A ISO 31000 prevê certa dinamicidade nesses critérios, dada a variação de seus determinantes, o que leva à necessidade de análise frequente dos critérios elencados.
Processo de avaliação de riscos
O processo de avaliação de riscos se divide em três subetapas:
1) Identificação do risco
Listar todos os riscos (com fontes sob seu controle ou não) que afetam a consecução dos objetivos da empresa de maneira mais abrangente possível. A ISO 31000 não sugere técnicas de identificação, apenas fatores, como tangibilidade, natureza, consequências, crenças etc.
2) Análise do risco
Compreender, com maior nível de detalhes qualitativos e quantitativos, os riscos listados. Levantar as causas, consequências, controles existentes e probabilidade de ocorrerem, assim como identificar interdependências, é fundamental nesse ponto para determinar a natureza e o nível de risco.
Como a análise de risco pode ser influenciada por vieses, busque tanta informação quanto possível para embasá-la.
3) Avaliação do risco
Comparar o nível dos riscos encontrados na etapa anterior com os critérios de risco estabelecidos pela empresa, a fim de avaliar quais precisam de tratamento e em que prioridade. Isso pode ser reter, mitigar ou eliminar o risco.
Tratamento de riscos
Envolve toda ação que visa modificar o nível de risco – seja compartilhando ou diminuindo sua probabilidade ou impacto – ou eliminá-lo.
Para isso, nesta etapa, você vai:
- Selcionar opções de tratamento
- Planejar e implementar
- Avaliar a eficácia
- Reavaliar o risco remanscente e, se necessário
- Realizar novo tratamento.
Comunicação e consulta
Comunicação trata do fluxo da informações com as partes interessadas internas e externas.
Para comunicar com eficiência, a empresa precisa determinar o que, como, quando e para quem deve prover informação sobre os riscos, suas causas e consequências, bem como sobre a avaliação, planos de tratamento de riscos e análise da eficácia.
Consulta trata da acessibilidade a essa informação para a tomada de decisão.
Monitoramento e análise crítica
Verificações no processo de gestão de riscos, em todos os seus estágios, a fim de garantir sua eficácia e eficiência, obter informações adicionais, analisar mudanças ou tendências e identificar riscos emergentes.
Registro e relato
A ISO 31000 recomenda a documentação das atividades de gestão de riscos, por meio de registros de evidências. Além de provas, elas servem para comparativos e compliance., informação para tomada de decisão e conhecimento organizacional.
ISO 31000: norteie sua gestão de risco pela referência normativa
A ISO 31000 sintetiza bem e de maneira simples os princípios, a estrutura e o processo de uma gestão de riscos eficaz e eficiente.
Com isso, ela é um direcionamento tanto para empresas que estão implementando a gestão de riscos quanto para as que já fazem com outros frameworks e desejam fazer uma análise crítica.