Handbook da ISO 31000 – Importante apoio para a sua implementação

Design by Freepik

Como já de conhecimento dos especialistas, a Norma ISO 31000:2018 – Gestão de riscos – Diretrizes – se transformou em uma das normas mais importantes da ISO. Ela se tornou fundamental para a gestão dos diversos assuntos importantes para as organizações. A abordagem e mentalidade de riscos passou a fazer parte das normas de sistemas de gestão da ISO, como a ISO 9001, a ISO 14001, ISO 45001, ISO 37001, ISO 27001, e várias outras. Em um mundo volátil, incerto, complexo e ambíguo, a adequada avaliação dos riscos se tornou fator crítico de sucesso. Virou uma linguagem universal que abrange desde a saúde pública (como bem o prova a pandemia da covid19), finanças, projetos, planejamento estratégico, gestão dos processos, até na determinação de pessoas introvertidas e extrovertidas (veja o livro Poder dos Quietos, de Susan Cain).

Todos os desdobramentos da ISO 31000 são importantes. Podemos citar aqui a fundamental norma IEC 31010:2019 – Gestão de riscos – técnicas de avaliação de riscos, que traz um raio X de 41 técnicas de identificação, análise e avaliação de riscos, aplicáveis (e oriundas) de diversos setores e tema. Também merece destaque a ISO Guia 73 – Gestão de riscosvocabulário, ora em revisão.

Está em elaboração pelo Comitê Técnico/TC 262 da ISO (responsável pela elaboração das normas de gestão de riscos e seus documentos normativos de apoio) um Manual de Diretrizes da ISO 31000 com expectativa de publicação no primeiro trimestre de 2021. Neste artigo, trago alguns dos pontos mais importantes deste documento.

QUAL O OBJETIVO DO MANUAL DE DIRETRIZES DA ISO 31000?

O manual foi elaborado para apoiar as organizações em como integrar a gestão de riscos em suas atividades. Para tanto, ele contém informações sobre os princípios, planejamento, processos, comunicação, monitoramento e análise crítica e melhoria contínua da gestão de riscos. Também explica como:

• usar os princípios de gestão eficaz e eficiente de risco na forma como ele é gerenciado;

• desenvolver um plano para integrar o risco nos arranjos existentes de uma organização;

• aprimorar a cultura organizacional com relação ao gerenciamento de riscos;

• aplicar o processo de gestão de risco para identificar, analisar, avaliar e, onde requerido, tratar o risco;

• comunicar e fazer consulta com as partes interessadas;

• monitorar e analisar criticamente o plano e processo de gestão de riscos; e

• melhorar continuamente com base no contexto e nas lições aprendidas.

Ele prove informações tanto para aqueles que estão começando a jornada da gestão de riscos, como para aqueles que demandam diretrizes adicionais para melhorar a sua gestão de riscos.

A QUEM SE APLICA O MANUAL DE DIRETRIZES DA ISO 31000?

Como a própria ISO 31000, este manual se aplica a todos os tipos e tamanhos de organizações, bem como a todos os tipos de riscos. Ele pode ser aplicado a uma organização como um todo, e às suas atividades.

QUAIS SÃO OS BENEFÍCIOS DA ISO 31000 SEGUNDO O MANUAL DE DIRETRIZES?

A implementação e melhoria da gestão de riscos apoia os objetivos da organização, e auxilia a proteger seu valor. Neste sentido, é fundamental entender “valor” para a organização, de modo que a gestão de riscos possa alcançar seu objetivo.

São referidos no Manual os seguintes benefícios da implementação e integração da gestão de riscos através da organização:

  • auxiliar a alcançar seus objetivos;
  • prover informações contínuas, consistentes e confiáveis às partes interessadas pertinentes;
  • uso mais eficiente de capital e recursos;
  • a capacidade de reconhecer e capturar oportunidades e ameaças rapidamente, e de responder adequadamente a elas;
  • uma redução na probabilidade e impacto das perdas;
  • decisões mais claras e mais bem informadas;
  • menores custos de conformidade/auditoria;
  • redução de custos com o uso de informações de risco para agilizar e melhorar os processos;
  • melhor gestão dos aspectos humanos e culturais que afetam o desempenho;
  • uma maior compreensão dos eventos potenciais e da capacidade de influenciar seus resultados.

QUEM SÃO OS ENVOLVIDOS NA GESTÃO DE RISCOS?

A ISO 31000 e o Manual de Diretrizes referido neste artigo tratam especificamente dos papéis e responsabilidades dos agentes envolvidos na gestão de riscos, particularmente do Conselho de Administração e órgãos de supervisão, alta direção, partes interessadas, donos dos riscos, e responsável pelo processo de gestão de riscos da organização.

QUAIS SÃO AS PRINCIPAIS ORIENTAÇÕES DO MANUAL DA ISO 31000 SOBRE O PROCESSO DE GESTÃO DE RISCOS?

  • Incorporar a gestão de riscos nos processos de tomada de decisões, contribuindo para que eles sejam informados, lógicos, estruturados e consistentes. Para tanto, é importante entender quem são os tomadores de decisão, quem são os responsáveis pela sua implementação, quais são as atitudes de tomada de riscos das pessoas envolvidas, as implicações das decisões para a organização, dentre outras informações;
  • Integrar a gestão de risco à estratégia e ao contexto organizacional, à elaboração, monitoramento e análise crítica dos objetivos e planos estratégicos;
  • Comprometimento da liderança com a gestão de riscos, sendo que o Manual lista algumas questões para demonstrá-lo, como se os riscos são discutidos em todos os níveis da organização, se recursos apropriados são previstos para esta gestão; se os donos do risco identificam e entendem seus respectivos riscos e como gerenciá-los; se os riscos pertinentes são escalados para a alta direção, se há uma função de gestão de riscos na organização
  • Realizar uma Gap Analysis das práticas existentes para a gestão de riscos, como base para entender a situação atual e definir um plano para alcançar a situação desejada.O Manual lista algumas perguntas úteis para realizar esta avaliação, sobre técnicas, cultura, estrutura, papéis e responsabilidades, políticas e procedimentos, dentre outras. O Anexo A do Manual traz um exemplo de Gap Analysis;
  • Definir o bussiness case, com as opções de abordagem, e aquela selecionada para a implementação da gestão de riscos. O Manual sugere o seu conteúdo;
  • Elaborar um plano de ação da gestão de riscos, sendo que o Manual lista detalhadamente o seu conteúdo sugerido, como objetivo, visão, escopo, elementos, dentre outros;
  • Desenhar uma estrutura de gestão de riscos adequada à organização, que inclui a determinação do contexto, as políticas, os recursos, o processo, a estrutura e as técnicas para possibilitar a implementação do gerenciamento de riscos em uma organização. O Manual provê exemplos de objetivos. Vale comentar que ele sugere ainda que pode ser uma estrutura, um sistema ou um programa de gestão de riscos (apesar de haver grandes diferenças conceituais e práticas entre estes);
  • O handbook auxilia na determinação dos papéis e responsabilidades dos conselhos de administração/boards, Alta direção, stakeholders internos, donos dos riscos, gestor de riscos da organização;
  • Garantir o treinamento e competências do pessoal envolvido com a gestão de riscos, e estabelecer supervisão das atividades. O Manual provê um exemplo sobre o assunto;
  • Considerar fatores críticos de sucesso, sendo que o Manual lista possíveis conteúdos, e dá um exemplo de aplicação;
  • Gerenciar a mudança organizacional representada pela gestão de riscos – o manual sugere pontos desta gestão, como a definição dos patrocinadores e apoiadores da gestão, barreiras a serem superadas, meios de reconhecimento, dentre outros;
  • Avaliar a eficácia da gestão de riscos – um dos pontos onde o Manual mais agrega à é o da avaliação da eficácia, uma vez que a ISO 31000 é bastante enxuta no que tange a esta etapa. O documento detalha melhor os métodos para avaliação da eficácia, tanto externos (p.ex. benchmarking, modelos de maturidade, publicações de órgãos diversos e redes de relacionamentos) como internos (p.ex. uso de mapas/ diagramas, pesquisas e entrevistas, auditoria, análise críticas periódicas). Além disto, auxilia nos tópicos a serem avaliados, trazendo inclusive algumas questões de apoio a esta etapa;
  • Buscar a melhoria contínua – este é outro item do guia que agrega valor à ISO 31000, listando questões para avaliar o alcance da melhoria contínua, e enfatizando que o uso de indicadores de desempenho pode ser eficaz. Para tanto, traz algumas questões de apoio, e exemplos de indicadores qualitativos. Além disto, contém um tópico sobre a importância de se trabalhar com lições aprendidas, listando algumas questões para esta análise.

QUAIS SÃO AS PRINCIPAIS DIRETRIZES DO MANUAL DA ISO 31000 SOBRE O PROCESSO DE AVALIAÇÃO DE RISCOS?

  • Realizar comunicação e consulta com as partes interessadas – o Manual dá orientações sobre a identificação, definição de estratégias de comunicação, e uma lista de questões para auxiliar na determinação de consulta efetiva com as partes interessadas pertinentes.
  • Definir o escopo e contexto da avaliação de riscos – o documento traz exemplos para auxiliar na determinação do contexto para este processo;
  • Definir o critério de risco – o manual sugere alguns pontos para apoiar o estabelecimento de um critério apropriado, tais como: quando o risco é inaceitável de forma que a atividade deva ser parada imediatamente, quando o benefício potencial é suficiente para marcar o risco como aceitável, como julgar a significância relativa dos riscos para subsidiar a alocação de recursos. Ela traz ainda exemplos de critérios de risco a erem adotados;
  • Identificar os riscos – o guia traz exemplos de meios para realizar esta identificação, incluindo orientações de apoio e o uso de técnicas contidas na norma IEC 31010 – Gestão de Riscos – Técnicas de avaliação de riscos;
  • Definir categorias de riscos – o manual sugere a categorização de riscos, a critério da organização, quando o número de riscos for grande e demandar esforços extras de gestão. Esta abordagem traz vantagens como análise e tratamento similar (ou em conjunto) para iguais riscos de processos distintos. O Anexo B traz exemplos de categorias de risco, expostas na tabela a seguir. Também traz exemplos de riscos identificados nas categorias sugeridas.
Categorias de riscos
  • Analisar os riscos – o documento enfatiza a importância de se conhecer os riscos, obtendo informações sobre as suas consequências, causas, probabilidades, controles existentes e sua eficácia, obtendo ao final um nível de risco. São ilustrados exemplos de checagens/testes a serem feitos para verificar a eficácia dos controles existentes, de modo a determinar ações adicionais de tratamento. São apresentadas também orientações para a seleção de critérios para a realização da análise
  • Avaliar os riscos – o manual orienta a comparação entre o nível de risco e o critério adotado para ele, de modo a avaliar a sua significância e apoiar a tomada de decisões quanto à necessidade de tratamento adicional e alocação de recursos. Também sinaliza para integrar no planejamento as oportunidades identificadas durante o processo;
  • Tratar os riscos – neste tópico, o documento explica melhor as opções de tratamento dos riscos (reter, evitar, compartilhar e modificar), adiciona orientações sobre a sua definição e planejamento, e traz um exemplo ilustrativo desta etapa;
  • Monitorar e analisar criticamente os riscos – o guia traz poucas orientações adicionais sobre esta fase;
  • Registrar e reportar – como na etapa anterior, o guia traz poucas orientações adicionais em relação à ISO 31000;

CONCLUSÃO

Considerando a importância da gestão de riscos em nossa vida e das organizações, quaisquer orientações para aumentar a eficácia deste processo é essencial.

Neste sentido, o Handbook da ISO 31000 cumpre o seu papel em adicionar diretrizes para entender e aplicar a norma de gestão de riscos, e integrar seus elementos na gestão empresarial.

Vamos aguardar a sua publicação e disponibilização!

Michel Epelbaum – Diretor da Ellux Consultoria

Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance. É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.

Consulte nossos serviços de ConsultoriaTreinamento e Auditoria em Sistemas de Gestão, inclusive nas Normas  ISO 31000, ISO 14001, ISO 9001, ISO 45001, OHSAS 18001, ISO 37001, ISO 19600, ISO 50001.

Saiba mais em nossos posts relacionados:

Riscos Globais 2019 – Fórum Econômico Mundial

Mudanças na ISO 31000 – Gestão de Riscos

Novidades nas Normas ISO de Gestão de Riscos!

Gostou? Compartilhe este post!

Leave Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ellux Consultoria - há 20 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 37001, ISO 37301, ISO 19600, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, DSC 10000 e outros modelos.