Gestão de riscos ABNT NBR ISO 31000
Gestão de riscos ABNT NBR ISO 31000
Gestão de riscos conforme a norma ABNT NBR ISO 31000, traz uma estrutura para o gerenciamento desses riscos por meio de um conjunto de medidas.
Isso fornece os fundamentos e os arranjos organizacionais para a concepção e implementação da norma. Também para monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.
São diretrizes genéricas, portanto não é uma receita única, se trata de uma diretriz para harmonizar os processos de gestão de riscos. Isso porque cada tipo de segmento deve levar em consideração as mais variadas necessidades intrínsecas ao seu negócio.
Gestão de riscos – fator de sucesso
Empresas de todos os segmentos e portes enfrentam continuamente influências e fatores internos e externos. Isso torna por muitas vezes uma incerteza se seus objetivos serão alcançados.
O efeito que essa incerteza tem sobre os objetivos da organização é o que chamamos de “risco”. Portanto gerenciar os riscos envolvidos em cada tipo de negócio, área de trabalho, é fator essencial para o sucesso.
Fazendo a correta gestão de riscos implementando e mantendo os conceitos da norma ISO 31000, tem seus benefícios, citadas na norma:
- Alta probabilidade de alcance dos objetivos;
- Aumento de uma gestão proativa;
- Cultura de avaliação contínua dos riscos;
- Identificação de oportunidade de melhorias;
- Atendimento a normas legais e regulatórias;
- Planejamento e tomada de decisão assertiva;
- Melhora a governança;
- Melhora a prevenção de perdas e gestão de incidentes;
- Aumento da eficácia e eficiência operacional, dentre outros benefícios.
Quais os riscos envolvidos?
Basicamente podemos dividir os fatores de riscos envolvidos em “internos e externos”, e para cada tipo de negócio. Isso porque além dos riscos comuns a todo tipo de segmento, tem os riscos envolvidos nas particularidades de cada tipo de atividade.
Podemos elencar que esses riscos envolvem várias áreas da empresa como: Compliance organizacional, Qualidade, Meio ambiente, Financeiro, Segurança e saúde, Segurança da informação, etc.
Perigo e risco são diferentes
Não é difícil nessa avaliação acontecer uma errônea interpretação do que é um “risco” e o que é um “perigo”. Quer entender bem essas diferenças e seus conceitos? Veja esse artigo no link:
https://www.manutencaoemfoco.com.br/perigo-e-risco-tem-significados-distintos/
Gestão de Riscos x continuidade do negócio
Ao implantar nas empresas as diretrizes de gerenciamento de riscos, tem muitas outras normas de gestão que se relacionam. Ou seja, é inevitável que no final das contas, será relacionado essa norma ISO 31000 com outras normas que tratem gestão de riscos.
Podemos citar por exemplo as normas ISO 9001, ISO 14001, ISO 45001 e a ISO 22301. Fica claro que todas as normas de gestão, não importando seu escopo, todas devem ser aplicadas sempre considerando a mentalidade de risco.
E no caso, quando falamos de continuidade do negócio, temos a ISO 22301 – (PCN) Plano de continuidade do negócio. E que também é muito comum se referir como Plano de contingência (PC).
No caso específico dessa norma, a continuidade de negócios é a capacidade que uma organização tem de continuar operando, mesmo que parcialmente.
Isso para garantir que haja a entrega de produtos ou serviços em níveis aceitáveis, após um acidente/incidente de interrupção. É a elaboração de um plano de contingência que possibilite a continuidade do negócio, mesmo que parcial.
É uma forma de uma organização estar preparada para lidar com situações de interrupção que poderiam impedi-la de atingir seus objetivos.
Responsabilidade e responsabilização segundo a norma
A norma ISO 31000 fala em responsabilidade e responsabilização, termos que diferem sutilmente entre um e outro. Em seu capítulo 5.2, parte das citações da norma se refere a esses termos da seguinte maneira:
5.2 Liderança e comprometimento
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento por:
– Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização;
A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são responsabilizados por supervisionar a gestão dos riscos.
Portanto quanto a “responsabilização”, nos remete à obrigação de membros de um órgão administrativo (alta direção) de prestar contas, se necessário, a instâncias ou órgãos controladores. E também no caso específico de gerenciamento de negócios, responsabilização é considerada um aspecto central da governança.
Já quanto a “responsabilidade”, como a norma descreve acima, é a obrigação dos gestores de nível abaixo da alta direção de supervisionar a gestão dos riscos. É fazer o acompanhamento de todas as atividades pertinentes à gestão dos riscos, de modo que sejam realizados e implantados conforme acordado.
Riscos – prejuízo ou benefício envolvido
Falar em riscos associados ao negócio normalmente pode “soar” como algo somente ruim não é mesmo? É tratar o risco identificado como potencial gerador de prejuízo para a empresa, e isso é real. Mas em alguns casos podemos ter uma outra visão sobre esse risco identificado.
Ao avaliarmos esse risco envolvido, seja em qualquer área da empresa ou segmento de negócio, podemos encontrar oportunidades. Pois é, identificando um risco potencial, independentemente do seu grau de severidade, podemos tratar isso como uma oportunidade de melhoria.
Melhoria em processos, produtos, serviços, que podem se tornar extremamente relevantes e benéficos para o negócio como um todo. Nem tudo é ruim, basta ter a visão sistêmica da situação, conhecer bem esse risco, seja ele interno ou externo.
Perfil do gestor de riscos
É importante a alta direção definir um gestor para a implementação dos conceitos da norma de gestão de riscos. O perfil desse gestor de riscos pode se relacionar com a experiência profissional na área de atuação e do risco a ser gerenciado.
Mas isso não é a regra, profissionais multidisciplinares são altamente utilizados atualmente pela visão mais ampla de várias áreas que se complementam. Independentemente de ser ou não especializado na área, é necessários habilidades intrínsecas de consultor/auditor para extrair as informações necessárias para a avalição dos riscos.
Conhecimento de técnicas específicas para o tratamento da gestão de riscos é algo essencial também (HAZOP, LOPA, FMEA).
Portanto, ser especializado numa área específica não é parte essencial no perfil do gestor de riscos. Tem outras competências e habilidades essencialmente importantes para o correto tratamento dos riscos envolvidos.
Isso sem falar na necessidade de uma formação/conhecimento na norma específica que trata a gestão de riscos, a ISO 31000.
Conclusão
Numa visão bem resumida sobre a importância dessa norma, podemos entender que uma implementação bem sucedida é essencial. E para isso é importante verificar/mitigar a relação entre os potenciais riscos e o impacto que eles podem ter nos objetivos estratégicos de uma organização.
Além do foco em ameaças internas e externas, o gerenciamento de riscos deve focar também nas possibilidades de melhorias, podemos chamar de riscos positivos.
São aquelas oportunidades que podem aumentar o valor agregado do negócio. Mas se não forem aproveitadas, pode significar prejuízos diante dos concorrentes.
De fato, o objetivo de qualquer programa de gerenciamento de risco não é eliminar todos os riscos, mas preservar e agregar valor à empresa, tomando decisões inteligentes sobre os riscos identificados.
Fonte:
https://searchcompliance.techtarget.com/
https://www.apostilasopcao.com.br/arquivos-opcao/erratas/10677/66973/abnt-nbr-iso-31000-2018.pdf