Após a aprovação pelos órgãos membros da ISO, o Grupo de Trabalho do Conselho de Gestão Técnica da ISO sobre gestão de riscos lançou a ISO 31000:2009, Gestão de Riscos – Princípios e Diretrizes, em novembro de 2009. Os autores conceberam a norma para ser aplicável a qualquer organização e a qualquer tipo de risco, mas, ao contrário das conhecidas normas de qualidade ISO, a ISO 31000 não é certificável. Este artigo discutirá a estrutura e os elementos-chave da ISO 31000 Risk Management.

Para quem está familiarizado com a norma AS/NZS 4360:2004 sobre gestão de riscos, esta norma ISO deve ser facilmente reconhecível. Se a tua organização adoptou a norma AS/NZS, a transição para a ISO 31000 deverá ser relativamente fácil. Além disso, o documento auxiliar, Risk Management Guidelines Companion to AS/NZS 4360:2004, fornece orientações sobre a conceção e implementação de técnicas de avaliação e gestão de riscos. Da mesma forma, a ISO/IEC 31010:2009 é o documento auxiliar que apoia a nova norma ISO 31000.

Para aqueles que não estão familiarizados com a norma AS/NZS, ou para aqueles que não estão familiarizados com um processo formal e estruturado de gestão do risco, o resto deste artigo irá discutir a estrutura e os elementos-chave da ISO 31000.

Os dois componentes principais do processo de gestão de riscos da ISO 31000 são:

  • O Quadro, que orienta a estrutura global e o funcionamento da gestão do risco em toda a organização; e

  • O Processo, que descreve o método efetivo de identificação, análise e tratamento dos riscos.

Estrutura A Estrutura da ISO 31000 reflecte o ciclo planear, fazer, verificar, agir (PDCA), que é comum a todas as concepções de sistemas de gestão. No entanto, a norma afirma que “esta estrutura não se destina a prescrever um sistema de gestão, mas sim a ajudar a organização a integrar a gestão do risco no seu sistema de gestão global”. Esta declaração deve encorajar as organizações a serem flexíveis na incorporação de elementos da estrutura, conforme necessário.

Os principais elementos do Quadro incluem:

  • Política e governação Fornece o mandato e demonstra o empenho da organização

  • Conceção do programa Conceção do quadro geral de gestão do risco numa base contínua

  • Implementação Implementar a estrutura e o programa de gestão do risco

  • Monitorização e revisão Supervisão da estrutura e do desempenho do sistema de gestão

  • Melhoria contínua Melhoria do desempenho do sistema de gestão global

 

 

As organizações, particularmente aquelas que não estão familiarizadas com os sistemas de gestão, devem preparar-se para despender um tempo considerável no estabelecimento de uma estrutura robusta e evitar o impulso de mergulhar diretamente no processo de avaliação de riscos. A conceção do processo é um passo importante porque a Estrutura fornece a estabilidade e a continuidade para ajudar a estabelecer um programa, em vez de apenas executar um projeto.

Os principais elementos que as organizações não devem ignorar incluem:

  • Estabelecer um compromisso de gestão, tanto durante a execução como a longo prazo, incluindo:

    • Desenvolvimento e aprovação de uma política formal

    • Identificação e atribuição dos recursos necessários, incluindo conhecimentos especializados e orçamento suficientes para sustentar o programa

    • Estabelecimento de um ciclo de revisão regular para manter a visibilidade do programa para a direção e motivar todos os participantes

  • Desenvolver um programa que funcione na organização, na sua cultura e no seu ambiente, incluindo:

    • Compreender as forças externas – tendências do sector, requisitos regulamentares e expectativas dos principais intervenientes externos

    • Compreender as forças internas – governação existente, estrutura organizacional, cultura e capacidades organizacionais

A medida em que uma organização considera e implementa qualquer um destes elementos depende do objetivo e das necessidades da organização. O objetivo é um programa visível e adequadamente equipado que seja compatível com a cultura e os objectivos da organização e sustentável a longo prazo.

 

Processo Depois de estabelecer a Estrutura de Gestão do Risco, a organização está pronta para desenvolver o Processo. O Processo, tal como definido pela ISO 31000, é “multi-passo e iterativo; concebido para identificar e analisar riscos no contexto organizacional”.

Os principais elementos do Processo, como se pode ver no diagrama abaixo, incluem:

  • Comunicação ativa

    • Comunicação e consulta com todas as partes interessadas

  • Execução do processo

    • Estabelecer o contexto

    • Identificação de riscos

    • Análise de risco

    • Avaliação dos riscos

    • Tratamento de risco

  • Supervisão

    • À semelhança do Quadro, é necessário um acompanhamento e uma revisão regulares

 

Tal como referido no diagrama acima, a primeira e a terceira actividades devem ocorrer regularmente durante o processo de avaliação do risco. No início do processo, a comunicação regular é fundamental para compreender os interesses e preocupações das partes interessadas, validando assim o foco do processo. Em fases posteriores, a comunicação regular ajuda a transmitir a lógica subjacente às decisões e a razão pela qual a organização necessita de determinados tratamentos de risco. Além disso, a supervisão regular assegura que a organização aborda as alterações no ambiente e nos processos de risco e que os controlos funcionam eficazmente. Em conjunto, estas actividades asseguram que todas as partes interessadas compreendem claramente as expectativas e que a organização aborda a mudança o mais rapidamente possível.

O processo efetivo de avaliação dos riscos requer, em primeiro lugar, a definição daquilo a que a ISO 31000 chama o “contexto”. O contexto é uma combinação dos ambientes externo e interno, ambos vistos em relação aos objectivos e estratégias organizacionais. O processo de definição do contexto começa durante a fase de enquadramento com a análise dos ambientes interno e externo da organização, mas a gestão deve continuar esta avaliação de forma mais pormenorizada e centrar-se no âmbito do processo específico de gestão do risco.

Os restantes passos da avaliação envolvem o desenvolvimento de técnicas para identificar, analisar e avaliar riscos específicos. Embora existam vários métodos e técnicas documentados, todos devem incluir os seguintes elementos-chave:

  • Identificação de riscos

    • Identificação das fontes de um determinado risco, áreas de impacto e eventos potenciais, incluindo as suas causas e consequências

    • Classificação da fonte como interna ou externa

  • Análise de risco

    • Identificação das potenciais consequências e dos factores que as afectam

    • Avaliação da probabilidade

    • Identificação e avaliação dos controlos atualmente em vigor

  • Avaliação de riscos

    • Comparação dos riscos identificados com os critérios Rick estabelecidos

    • Decisões tomadas para tratar ou aceitar riscos tendo em consideração os requisitos internos, legais, regulamentares e externos

Os interessados em cada uma das técnicas e métodos de avaliação de riscos devem consultar a norma ISO/IEC 31010, o documento auxiliar de apoio mencionado anteriormente. De notar que a complexidade dos métodos e a extensão da análise necessária dependem muito da natureza da organização e que a gestão deve consultar todas as partes interessadas ao desenvolver uma abordagem adequada.

Globalmente, a gestão deve desenvolver e aplicar tratamentos de risco para reduzir os riscos residuais para níveis aceitáveis para as principais partes interessadas e monitorizar/ajustar para garantir a eficiência e a eficácia.

Relação com o ASIS SPC.1-2009 e a Continuidade dos Negócios O lançamento da ISO 31000 e da norma ASIS SPC.1 de Risco Organizacional em datas tão próximas levantou várias questões. Uma vez que ambas são baseadas em sistemas de gestão, a indústria deve vê-las como equivalentes ou intercambiáveis? Como é que se relacionam com a continuidade do negócio? E qual delas, se alguma, é uma base sólida para a Gestão de Riscos Corporativos (ERM)?

Embora ambas as normas aproveitem os processos dos sistemas de gestão e descrevam uma estrutura de processos semelhante, o SPC.1 apresenta um âmbito um pouco mais limitado, definindo a Resiliência Organizacional em termos de segurança, preparação e continuidade, enquanto a ISO 31000 mantém um enfoque mais amplo – talvez mais estratégico.

Em relação à continuidade do negócio, ela é apenas um dos muitos tratamentos de risco que comporiam um programa de gestão de risco mais estratégico defendido pela ISO 31000. Como resultado, a continuidade do negócio deve ser vista como um subcomponente do programa de gestão de riscos descrito na ISO 31000, porque aborda um risco específico (disponibilidade de processos, recursos e tecnologia).

Conclusões Em geral, os princípios e processos de gestão do risco descritos na ISO 31000 e apoiados pela orientação da ISO/IEC 31010 fornecem um sistema robusto que permite a uma organização conceber e implementar um programa repetível, proactivo e estratégico. A conceção de elementos específicos do programa depende muito dos objectivos, recursos e circunstâncias de cada organização. Independentemente do nível de implementação, o envolvimento da gestão na definição da direção e na revisão regular dos resultados deve fazer parte de todos os programas, o que não só elevará a gestão do risco, como também assegurará um tratamento adequado do risco com base nos objectivos organizacionais e nas estratégias a longo prazo.