Absolutamente todas as empresas têm seus riscos. Dependendo do nível e da gravidade, esses riscos podem gerar ameaças irreparáveis para as organizações, causando inúmeros tipos de prejuízos. Nesse sentido, torna-se indispensável um gerenciamento adequado e de qualidade dos riscos empresariais e, para isso, os gestores podem contar com a ISO 31000.
O que é ISO 31000?
A ISO 31000 é uma norma que determina práticas padrões para a gestão de riscos empresariais. Dessa forma, ela serve para que as empresas façam a aplicação dos controles de sistemas de gestão à análise de riscos e, assim, a norma auxilia no bom desempenho e na resiliência desse sistema de gestão, respondendo às mudanças de forma eficaz e protegendo a empresa conforme seu crescimento.
Nesse sentido, é possível dizer que a aplicação da ISO 31000 é um esforço organizacional que visa a atuação ativa em eficiência operacional e em governança. Assim, a norma constrói, especialmente, a confiança das partes interessadas (todos os stakeholders).
Quais empresas podem seguir a ISO 31000?
Os riscos não só estão presentes em todas as empresas, como também se infiltram nos processos e nos projetos. Dessa forma, as definições da ISO 31000 foram construídas com base em generalidade, isto é, são aplicáveis em qualquer negócio, independentemente do tamanho dessa empresa, do seu segmento, ou mesmo se ela é pública ou privada.
Entretanto, mesmo que essa norma auxilie qualquer empresa no alinhamento com as análises e avaliações de risco, é preciso alertar que um dos principais requisitos para a implementação da ISO 31000 é a adaptação ao contexto da empresa.
Justamento pelo fato desta norma poder ser usada em diferentes negócios, é preciso que suas etapas de implementação sejam avaliadas e ajustadas para que a ISO 31000 realmente evite prejuízos e aplique boas práticas nas operações diárias da organização.
Como obter certificado ISO 31000?
A ISO 31000 não é uma norma de certificação tradicional, mas sim de orientação sobre o funcionamento de um sistema de gestão de riscos. Nesse sentido, a norma serve como um norte para auditorias internas e externas referentes aos riscos organizacionais. Ainda assim, algumas empresas certificadoras realizam consultorias que emitem “certificados” da ISO 31000 como uma forma de mostrar que a organização está em conformidade com a norma.
Como implantar a ISO 31000?
O primeiro passo para implantar a ISO 31000 é entender, verdadeiramente, qual é o foco dessa norma. Nesse sentido, as primeiras páginas do documento se preocupam em fazer algumas definições importantes. As mais relevantes nesse momento são a de “riscos” e a de “gestão de riscos”.
Segundo a própria ISO 31000, risco é o “efeito da incerteza nos objetivos”. Ainda segundo o documento, gestão de riscos são “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”.
Dessa maneira, a norma define os princípios da gestão de riscos para que ela atenda às funções de criação e proteção de valor. A gestão de riscos deve ser: integrada, estruturada e abrangente, personalizada, inclusiva, dinâmica, ter a melhor informações disponível, contar com fatores humanos e culturais e considerar a melhoria contínua da empresa.
Com esses princípios em mente, a empresa deve elaborar seu sistema de gestão de riscos com:
Escopo, contexto e critérios:
A definição de escopo, contexto e critérios é a fase primordial no gerenciamento de riscos. Nesse sentido, as primeiras atividades da empresa devem ser fazer a adequação da norma para o contexto organizacional; definir um escopo com os objetivos, decisões e outras características do projeto e determinar os critérios de risco.
Processo de avaliação de riscos:
O processo de avaliação de riscos é a parte mais importante da ISO 31000. A norma define três etapas no framework: a identificação de riscos, a análise de riscos e a avaliação de riscos. Essas são as fases essenciais para que a organização conheça todas as características do risco e, assim, entender, qual é a melhor forma de lidar com ele – criando um sistema eficaz de gestão de riscos.
-
Identificação de riscos
A identificação de riscos é o primeiro passo na prática de um sistema de gestão. É nessa fase que os gestores irão encontrar, reconhecer e detalhar os riscos que podem interferir no alcance dos objetivos de uma empresa. Nesse sentido, é fundamental fazer a coleta de absolutamente todas as informações desse risco, cuidando para que os dados usados estejam atualizados.
A norma não estabelece uma técnica, metodologia ou ferramenta específica para identificar esses riscos, mas determina que alguns fatores sejam levados em consideração, como: fontes de risco, causa e efeito, ameaças e oportunidades, vulnerabilidade e capacidades, mudanças nos contextos internos e externos; indicadores de riscos e as consequências dos impactos dos objetivos.
-
Análise de riscos
Na fase de identificação, os dados referentes aos riscos foram reunidos e documentos. Dessa forma, todas essas informações serão tratadas e avaliadas durante a análise de riscos. Esse é o momento de compreender a natureza do risco e levantar todas as características sobre ele.
Com todas as características reunidas, será possível identificar as fontes de risco, mensurar suas consequências e probabilidades, construir eventos e cenários possíveis decorrentes desse risco, e até mesmo pensar em nos melhores planos de controle. Identificar as causas e consequências é uma atividade que pede o auxílio de certas ferramentas de gestão, como a Matriz GUT, não definidos pela norma.
Para fazer a análise de riscos, as técnicas usadas podem ser qualitativas, quantitativas ou mesmo uma união dos dois tipos. Além disso, a ISO 31000 determina que a análise leve em consideração alguns fatores como: probabilidade dos eventos e suas consequências, magnitude dessas consequências, complexidade dos riscos, volatilidade e a eficácia dos planos de ação já existentes.
A análise de riscos costuma conter um problema: ela é fortemente influenciada pelas diferentes percepções das pessoas que estão trabalhando em sua construção. Nesse sentido, a norma direciona que essas influências devem ser consideradas e repassadas aos tomadores de decisão.
Ademais, a ISO 31000 prevê a dificuldade de analisar (especialmente de quantificar) eventos causados por riscos incertos. A gravidade da situação acaba sendo apagada por certos nuances. Nesse caso, a norma afirma que o melhor caminho é usar uma combinação de técnicas de identificação de riscos para conseguir ter maior discernimento perante a situação.
Leia mais: Matrix GUT: O que é e como usar?
-
Avaliação de riscos
Com a empresa tendo todas as informações do risco analisadas, ela irá elaborar um plano de ação preventivo ou corretivo. Nesse sentido, a função da fase de avaliação de riscos é apoiar as decisões tomadas. Isso ocorre através da comparação entre os resultados da análise de riscos com os critérios de risco (que devem ser previamente estabelecidos).
Assim, será possível ter uma visão ampla dos processos que necessitam de uma maior atenção. A norma prevê que a fase de avaliação de riscos resulte em possíveis decisões. São elas: não fazer nada sobre o risco, considerar as opções de tratamento (planos de ação de correção e prevenção), realizar mais análises para conhecer o risco mais profundamente, manter os controles já existentes ou reconsiderar os objetivos.
Essas possíveis decisões devem levar em consideração o contexto da empresa e as consequências dos riscos. Nesse sentido, é importante que o resultado da avaliação de riscos seja complementamente documentado, com registros, comunicações e validação nos níveis apropriados da organização.
Comunicação e consulta:
Todos os envolvidos no sistema de gestão de riscos devem compreender o risco, entender a base das decisões e entender o funcionamento de todo o sistema. Nesse sentido, é preciso que a empresa invista em uma comunicação e consulta que promovam a conscientização do risco e possibilite uma troca de dados factuais, oportunos, pertinentes, precisos e compreensíveis.
Monitoramento e análise crítica:
Durante todo o processo, os gestores devem fazer o monitoramento completo, contínuo e periódico dos planos de ação concebidos e implementados. Além disso, é indispensável a realização de uma análise crítica de todas as fases, e essa análise precisa estar presente em nas atividades de gestão de desempenho, medição e relatos da organização.
Tratamento de riscos:
O tratamento de riscos determina a forma como a empresa irá lidar com o risco avaliado. Dessa forma, durante todo o processo de avaliação de risco é importante que a equipe já vá construindo opções de tratamento do risco, planejando e implementação esses planos de ação, avaliando a eficácia do tratamento, decidindo se os riscos remanescentes são aceitáveis e, em caso negativo, pensando em novos planos de ação adicionais.
Registro e relatos:
É interessante que o processo de gestão de riscos, assim como os resultados gerados, seja documentado. Essa documentação servirá como base na comunicação das atividades e resultados do gerenciamento de riscos. Assim como no fornecimento de informações para tomadas de decisões e na melhoria contínua das atividades envolvidas nesse processo.
Objetivos e vantagens da ISO 31000
Mitigar, gerenciar e eliminar riscos é uma atividade fundamental para as empresas se preparam para suas ameaças. Contar com uma padronização de qualidade reconhecida mundialmente é a forma mais inteligente de criar um sistema de gestão de riscos que seja preciso, eficiente e funcional. Nesse sentido, é possível afirmar que os principais objetivos da ISO 31000 são:
- Melhorar a eficiência operacional;
- Elevar a reputação e a proteção da empresa;
- Minimizar perdas, prejuízos e riscos;
- Melhorar o desempenho em saúde e segurança no trabalho.
Dessa forma, em caso de crise, a organização será capaz de aliviar boa parte dos danos graças à gestão de risco integrada, além de poder estar um passo à frente de outros tipos de riscos que podem atingir essa empresa. Ademais, a noção que a empresa passa a ter após a implementação da norma oferece respaldo para quando ela precisar decidir se vale a pena correr um risco ou aceitá-lo para ter novas oportunidades.