Como no post da semana passada: Reflexões sobre a Implementação na Prática da ISO 9001 e 14001:2015 parte 1, neste post continuo a apresentar alguns pontos e discussões para quem está fazendo a atualização ou implementação de Sistemas de Gestão na versão 2015 das normas ISO 9001 e ISO 14001, já lastreada no novo modelo de normas de Sistemas de Gestão – SG da ISO (HLS), e outros SGs (p.ex. saúde ocupacional e segurança- ISO 45001, energia – ISO 50001, compliance – ISO 19600, antissuborno – ISO 37001, etc.)
Riscos e Oportunidades
A importância da gestão de riscos para as organizações vem crescendo nas últimas décadas, assim como os movimentos para a sua melhoria desde a década de 80/90 (gestão de riscos de crédito e financeiros), passando pela criação da Lei Sarbanes-Oxley em 2002, a criação do COSO II-ERM – Enterprise Risk Management em 2004 e a primeira versão em 2009 da Norma ISO 31000, atualizada em 2018 (gestão de riscos empresariais). Isto ocorreu por conta do aumento dos riscos e pela percepção da importância de sua prevenção e da definição de sistemas mais robustos de controles.
Com a nova estrutura definida pela ISO para as normas de SG, a determinação, avaliação e tratamento dos riscos e oportunidades passaram a ser incorporados no seu modelo para todos os temas (já fazia parte do universo da gestão de meio ambiente, saúde/segurança ocupacional, qualidade automotiva e outros temas, mas foi mais explicitada em outros temas). E o requisito consiste de um processo de gestão de riscos e oportunidades, contemplando as suas várias etapas/PDCA, passando pela sua identificação até o acompanhamento de seu tratamento e revisão do ciclo.
As normas de SG não são prescritivas quanto à metodologia a ser empregada, que pode variar bastante (veja a Norma ISO 31010, que abrange 41 metodologias). Em muitas empresas já convivem metodologias distintas de avaliação de riscos para temas como:
Saúde ocupacional e segurança
Qualidade
Meio Ambiente
Compliance
Gestão de projetos
Finanças
Segurança Patrimonial
ERM/Controles Internos
Além disto, nas normas de SG estamos falando de identificar, análise, avaliar e tratar diferentes tipos de riscos, tais como os:
estratégicos, incluindo aqueles relacionados às partes interessadas e de reputação
de compliance e legais
financeiros
operacionais (dos processos operacionais), incluindo de projetos/transações/atividades específicos, incluindo pessoas e parceiros.
Vale comentar que neste universo da gestão de riscos, as oportunidades vêm ganhando mais atenção, nos vários temas, o que não é necessariamente direto e intrínseco: oportunidade não é o inverso do risco, e não necessariamente temos oportunidades associadas aos riscos. E a visão mais imediata se concentra mais nos riscos do que nas oportunidades. Como o nosso cérebro: a neurociência afirma que tememos mais perder algo do que ganhar algo.
Percebemos nos projetos de implementação/atualização dos SGs um certo entendimento do conceito de riscos, mas também uma certa mistura entre os tipos de riscos, inclusive com os riscos já levantados (p.ex. aqueles já avaliados nas famosas planilhas de aspectos e impactos ambientais), e uma certa dúvida sobre que caminho seguir para atender às normas.
Não se trata somente de fazer de novo ou complementar uma avaliação de aspectos e impactos, ou um FMEA de projeto, ou uma APR de saúde ocupacional e segurança. Temos de lembrar de um requisito fundamental das normas: de buscar a integração aos processos de negócios – temos de avaliar qual a metodologia empregada para cada tipo de risco/oportunidade a ser avaliado, até podendo ser empregada uma única, mas desde que seja a que agrega mais valor por ser a que otimiza o processo.
Para avaliar os riscos/oportunidades estratégicos, podemos até usar uma SWOT, se o próprio processo estratégico o utilizar. Para avaliar os riscos/oportunidades ligados às partes interessadas e legais, pode(m) ser empregada(s) outra(s) metodologia(s), até mesmo a mais simples “brainstorming”, dependendo da complexidade/tamanho e outros fatores do negócio/processo.
No caso dos riscos operacionais, já são empregadas metodologias como a FMEA, APR, avaliação de aspectos e impactos ambientais, etc. Não se trata de repetir os levantamentos, mas de “enxergar” riscos e oportunidades nestes processos e operações de uma maneira mais ampla…
Quanto mais este processo for integrado (e as metodologias forem as mesmas) para a gestão empresarial e seus vários temas, melhor para a organização…
Outra questão que merece atenção é o planejamento para abordar os riscos e oportunidades, que já existia nas normas que falavam de avaliar riscos (como a ISO 14001, a OHSAS 18001 – agora ISO 45001), mas não estava tão explícito. O que demanda um processo de gestão destes riscos e oportunidades.
No próximo post continuo com a discussão sobre a adaptação ao novo modelo de SG.
Michel Epelbaum – Diretor da Ellux Consultoria
Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão, inclusive nas Normas ISO 9001, ISO 14001, ISO 45001 e OHSAS 18001, ISO 50001, ISO 19600 e ISO 37001, ISO 26000.
Saiba mais sobre este assunto em nossos posts relacionados:
Reflexões sobre a Implementação na Prática da ISO 9001 e 14001:2015 parte 1
Pingback: Dia Mundial da Qualidade 2018