A ABNT NBR ISO 31000- Gestão de Risco, foi desenvolvida em resposta à demanda das organizações e as necessidades de se ter algo além das ações preventivas. Juntamente a versão 2015 da ISO 9001, as organizações estão adotando ações mais embasadas na probabilidade e ocorrência de eventos.
De um modo geral, as empresas sofrem todos os tipos e tamanhos de influências provenientes de fatores internos e externos, chamadas partes interessadas, que são todas aquelas “partes” que influenciam o negócio positiva ou negativamente. O efeito da incerteza sobre os objetivos das organizações é chamado de “RISCO”.
Pensando em qualquer organização, todas as atividades das mesmas, envolvem riscos. Estes podem ser englobandos em um só processo ou atividade ou em todo o negócio. Com base neste conceito é que as empresas precisam gerenciar riscos, identificando e analisando-os para que em seguida, possa avaliar se o risco deve ser modificado.
De alguma forma as organizações acabam gerenciando seus riscos em algum grau, mas, sem a necessária estruturação. A NBR ISO 31000:2018 estabelece um número de princípios que precisam ser atendidos para tornar a gestão de riscos mais eficaz e mais prática. Para tanto, a Norma recomenda que as organizações melhorem continuamente sua estrutura que tem como finalidade integrar o processo na Governança e Gestão Empresarial.
Gerenciando os Riscos da Organização
A gestão de riscos pode ser implementada visando um cliente, um processo, um projeto, uma atividade e em diversos níveis, funções e momentos. De modo genérico, a ISO 31000 traz uma abordagem e metodologia para gerir qualquer tipo de risco. No entanto, todos os setores devem saber seu papel nesta gestão, envolvendo toda a organização dentro de um contexto, como uma atividade no início do processo da gestão de riscos.
Com o intuito de especificar melhor cada termo utilizado em um processo de gestão de riscos, apresentamos abaixo as principais definições que podem nortear os estudos da norma conforme a ABNT.
Risco: efeito da incerteza nos objetivos;
Gestão de Riscos: atividades para dirigir e controlar uma organização no que se refere a riscos;
Estrutura da Gestão de Riscos: Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.
Propriedade do Risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;
Processo de gestão de risco: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.
Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos;
Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos;
Parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade;
Processo de Avaliação de Riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;
Identificação de Riscos: processo de busca, reconhecimento e descrição de riscos;
Fonte de Risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;
Consequência: resultado de um evento que afeta os objetivos;
Probabilidade: chance de algo acontecer;
Análise de Riscos: processo de compreender a natureza do risco e determinar o nível de risco;
Critérios de Risco: termos de referência contra os quais a significância de um risco é avaliada;
Nível de Risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências e de suas probabilidades;
Avaliação de Riscos: processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável;
Tratamento de Riscos: processo para modificar o risco.
Benefícios da Gestão de Riscos
A gestão de riscos descreve um processo genérico, sistemático e lógico para qualquer tipo de risco. Estabelece uma série de princípios básicos que precisam ser satisfeitos para fazer a gestão eficaz dos riscos. Recomenda-se que as organizações desenvolvam, implementem e melhorem, continuamente, sua estrutura cuja finalidade é integrar o processo de gestão do risco na Governança Corporativa da Organização.
Abaixo, alguns benefícios a serem alcançados através das práticas de gerenciamento de riscos:
Aumentar a probabilidade de atingir os objetivos;
Encorajar uma gestão proativa;
Estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;
Melhorar a identificação de oportunidades e ameaças;
Atender às normas internacionais e requisitos legais e regulatórios pertinentes;
Melhorar o reporte das informações financeiras;
Melhorar a governança;
Melhorar a confiança das partes interessadas;
Estabelecer uma base confiável para a tomada de decisão e o planejamento;
Melhorar os controles;
Alocar e utilizar eficazmente os recursos para o tratamento de riscos;
Melhorar a eficácia e a eficiência operacional;
Melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
Melhorar a prevenção de perdas e a gestão de incidentes;
Minimizar perdas;
Melhorar a aprendizagem organizacional;
Aumentar a resiliência da organização.
É importante ressaltar que a Liderança (governança corporativa) de uma organização é feita pela Alta Direção e pessoal de alto nível em diferentes departamentos. E para direcionar a gestão e os trabalhadores para objetivos comuns e comportamentos que visem por uma política da organização, faz-se necessário estabelecer, comunicar e implementar um sistema de gestão com diferentes ações de controle levando em conta os requisitos legais e regulamentares.
Importante ressaltar que esta norma não é destinada a certificação.