3. METODOLOGIA DE GERENCIAMENTO DE RISCO
3.3. ISO 31000
Dois mil e nove foi o ano da padronização na área da gestão de riscos, tanto no mundo como no Brasil. Uma empreitada que começou em 2005, em Tókio, no Japão, culminou em 2009 com o lançamento da ISO 31000. A primeira norma internacional da história sobre Gestão de Riscos ISO 31000:2009 - Risk management - principles and guidelines (Gestão de riscos - princípios e diretrizes), um documento de apenas 24 páginas, podendo ser adotado por organizações de todos os tipos e tamanhos, e de qualquer setor de atividade (indústrias, instituições financeiras, órgãos públicos, hospitais, etc).
O texto original da ISO 31000 foi baseado na norma AS/NZS 4360:2004. O desenvolvimento da norma internacional foi feito por um comitê especial composto por delegações de 35 países que se uniram para criar um grupo de trabalho único denominado ISO Technical Management
Board on Risk Management. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas)
criou a Comissão de Estudo Especial de Gestão de Riscos (CEE 63), com mais de 100 empresas e entidades de diferentes setores, com o intuito de discutir e definir a norma.
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks já publicados que estavam relacionados com a gestão de riscos. A origem da norma vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos, suas iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos. Por isso, a norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização, tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade.
A proposta de convergência está alinhada com a visão integrada de ERM – Enterprise Risk
Management. Portanto, por se tratar de uma norma de alto nível, não há concorrência com as
normas já existentes, pois a ISO 31000 fornece orientações e alinhamento com outras normas específicas.
A ISO 31000 surge também para integrar as diversas metodologias e terminologias, pois faltava um consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, fazendo com que vários gestores (saúde, meio ambiente, segurança de TI, jurídico, financeiro, seguros, entre outros) trabalhem em ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das
áreas da empresa. Ou seja, cada departamento não possui o denominado “impacto cruzado”, pois não enxerga o impacto do risco que está estudando em outras áreas ou processos. A ISO 31000 possui um processo consistente e uma estrutura abrangente para ajudar a assegurar um gerenciamento de risco de forma eficaz, eficiente e coerente. Por esta razão, a abordagem é genérica fornecendo os princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela organização.
Segundo estipula a própria ISO 31000, ela é destinada ao seguinte público alvo:
a) responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações;
b) responsáveis por assegurar que os riscos são eficazmente gerenciados em toda a organização ou em uma área, atividade ou projeto específico;
c) aqueles que precisam avaliar a eficácia de uma organização em gerenciar riscos;
d) desenvolvedores de normas, guias, procedimentos e códigos de práticas que, no todo ou em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico desses documentos.
A gestão de riscos já faz parte das práticas e processos de gestão de muitas organizações, embora não de maneira plena. Não é preciso que exista um centro de excelência corporativa em Gestão de Riscos na empresa, para que se faça uma análise crítica das práticas e processos existentes. Uma distinção interessante que a norma faz é entre os termos “gerência de riscos” e “gerenciamento de riscos”. A “gerência de riscos” trata da arquitetura (princípios,
framework e processos) para o gerenciamento dos riscos, enquanto que o “gerenciamento de
riscos” se refere à aplicação dessa arquitetura para tratar riscos particulares. A norma possui o seguinte índice de conteúdo (ISO 31000, 2009):
Introdução
1. Escopo
3. Princípios
4. Estrutura (Framework) 5. Processos
6. Anexos: Atributos da gestão de riscos avançada
3.3.1 Escopo
A ISO 31000 estabelece os princípios e orientações genéricas sobre a gestão de risco, podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo. Assim, esta norma não é específica para alguma indústria ou setor, podendo ser aplicada em toda a organização e em um vasto leque de necessidades, incluindo as estratégias e decisões de operações, processos, funções, projetos, produtos e serviços. A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou negativas. Ela foi criada com o objetivo de harmonizar os processos de gestão de risco nas normas existentes e futuras. A ideia é que a norma ofereça uma abordagem comum de apoio às normas existentes que tratam de riscos específicos para alguns setores, porém não para substituí-las, mas sim para suportá-las. Finalmente, também está definido no escopo que essa norma não se destina para fins de certificação.
3.3.2 Termos e definições
A norma ISO 31000 não tinha por objetivo padronizar as terminologias de gestão de riscos, pois já existia uma norma anterior, denominada ISO Guide 73, que criou uma linguagem comum, definindo vocabulário, terminologia e conceitos genéricos que se aplicam a todas as áreas e setores no gerenciamento de riscos. No Brasil, ambas as normas foram traduzidas e publicadas pela ABNT em 30 de novembro de 2009, como normas brasileiras: ABNT NBR ISO 31000 (contendo 24 páginas) e ABNT ISO Guia 73 (contendo 12 páginas).
Outra norma relacionada à ISO 31000 é a norma ISO/IEC 31010:2009 “Risk management –
Risk assessment techniques” ou, em português, Gestão de riscos – Técnicas de avaliação de
riscos, que entrou oficialmente em vigor no dia 1º de dezembro de 2009. Essa norma ISO 31010 não se destina nem à certificação nem a usos regulatórios ou contratuais, mas fornece orientação detalhada sobre a seleção e aplicação de técnicas sistemáticas qualitativas e quantitativas de avaliação de riscos.
3.3.3 Princípios
A ISO estabelece una lista de 11 princípios que devem ser compreendidos e difundidos por toda a organização, como forma de suportar um gerenciamento de risco eficaz na empresa. 1. A gestão de riscos cria e protege valor.
• A gestão de riscos contribui para a realização dos objetivos e melhoria do desempenho, por exemplo, saúde e segurança humana, segurança, conformidade legal e regulamentar, proteção ambiental, qualidade do produto, gerenciamento de projetos, eficiência nas operações, governança e reputação.
2. A gestão de riscos é parte integrante de todos os processos organizacionais.
• A gestão de riscos não é uma atividade autônoma, separada das principais atividades e processos da organização. A gestão de riscos é parte integrante de todos os processos organizacionais, incluindo planejamento estratégico e todos os processos de gestão da mudança.
3. A gestão de riscos é parte do processo decisório.
• A gestão de riscos ajuda no processo de tomada de decisões, uma vez que as decisões serão tomadas com base nas melhores informações disponíveis, tendo maior chance de sucesso ou fracasso na priorização das ações e alternativas. 4. A gestão dos riscos aborda explicitamente a incerteza.
• A gestão de riscos tem em conta explicitamente a incerteza e como ela pode ser abordada para minimizar prejuízos ou maximizar os lucros.
5. A gestão de riscos é sistemática, estruturada e oportuna.
• Uma abordagem sistemática, oportuna e estruturada de gestão de riscos contribui para a eficiência e resultados confiáveis.
6. A gestão de riscos é baseada na melhor informação disponível.
• As entradas para o processo de gerenciamento de risco são baseadas em fontes de informação, tais como dados históricos, experiências, observações dos envolvidos,
previsão e julgamento de especialistas. No entanto, os tomadores de decisão devem levar em consideração eventuais limitações dos dados ou da modelagem utilizada, uma vez que existe a possibilidade de divergência entre as informações previstas e o que irá realmente ocorrer.
7. A gestão de risco é alinhada com o perfil da empresa.
• A gestão de riscos está alinhada com o contexto externo e interno da organização, além do perfil de risco (moderado ou arriscado).
8. A gestão de riscos leva os fatores humanos e culturais em consideração.
• A gestão de riscos deve identificar capacidades, percepções e intenções das pessoas internas ou externas à organização que podem facilitar ou dificultar a realização dos objetivos planejados.
9. A gestão de riscos deve ser transparente e inclusiva.
• O adequado envolvimento e a participação dos responsáveis por tomarem decisões na organização garantem que a gestão de risco é pertinente e adequada. Responsáveis por processos críticos também devem ser envolvidos para que a sua opinião seja levada em consideração na identificação e tratamento dos riscos. 10. A gestão de riscos é dinâmica, interativa e receptiva às mudanças.
• Como eventos externos e internos podem ocorrer, ocasionando a mudança do contexto, deve haver uma revisão sistemática da gestão dos riscos para acompanhar e detectar essas mudanças.
11. A gestão de riscos facilita a melhoria contínua da organização.
• As organizações devem desenvolver estratégias para melhorar a sua maturidade em gerenciamento de riscos junto com todos os outros processos da organização.
3.3.4 Estrutura (framework)
O sucesso da gestão de riscos depende de como irão incorporá-la através de toda a organização, em todos os níveis. O framework descreve os componentes necessários para gerenciar riscos e as formas como eles se relacionam.
A figura a seguir ilustrar os componentes do framework de gestão de riscos a ser adotado pela organização:
• Mandato e comprometimento;
• Concepção da estrutura para gerenciar riscos;
• Implementação da gestão de riscos;
• Monitoramento e análise crítica;
• Melhoria contínua da estrutura.
Figura 4 Componentes do framework
De acordo com a ISO, o framework não se destina a especificar um sistema de gestão, mas sim a ajudar as organizações a integrar a gestão de risco em seu sistema de gestão global. Portanto, as organizações devem adaptar os componentes do framework às suas necessidades específicas para que as práticas de gestão da organização e os processos existentes incluam os componentes de gestão de risco para determinados riscos ou situações.
3.3.4.2 Mandato (pela diretoria) e comprometimento (pelos demais níveis)
A introdução da gestão de riscos na organização e o suporte à sua eficácia exigem forte comprometimento da alta administração, bem como o planejamento estratégico e rigoroso para atingir o empenho de todos os níveis organizacionais.
A administração deve:
• definir e aprovar a política de gestão de risco;
• garantir que a cultura da organização e a política de gestão de risco estejam de acordo;
• determinar indicadores de desempenho da gestão de riscos que se alinham com os indicadores de desempenho da organização;
• alinhar os objetivos de gestão de riscos com os objetivos e estratégias da organização;
• assegurar a conformidade legal;
• atribuir responsabilidades em níveis apropriados para os departamentos da organização;
• garantir que os recursos necessários estejam alocados à gestão de riscos;
• comunicar os benefícios da gestão de riscos a todos os interessados;
• garantir que a gestão de riscos continua a ser apropriada.
3.3.4.3 Concepção da estrutura para gerenciar riscos
3.3.4.3.1 Entendimento da organização e seu contexto
Antes de iniciar o projeto e implementação da estrutura de gestão do risco, é importante avaliar e compreender tanto o contexto externo como o contexto interno da organização. A avaliação do contexto externo da organização pode incluir:
• o ambiente social e cultural, jurídico, regulamentar, financeiro, tecnológico, económico, natural e competitivo, seja internacional, nacional, regional ou local;
• relacionamentos e percepções das partes interessadas externas.
Já a avaliação do contexto interno da organização pode incluir:
• governança, estrutura organizacional, papéis e responsabilidades na organização;
• políticas, objetivos e estratégias definidas para a organização;
• pontos fortes da organização, em termos da capacidade dos recursos e seus conhecimentos (por exemplo: capital para investir, tempo, pessoas, processos, sistemas e tecnologias);
• sistemas de informação, fluxos de informação e processos de decisão (formais e informais);
• relações entre os diversos envolvidos pela gestão de riscos e a cultura da organização;
• normas, diretrizes e modelos adotados pela organização;
• modelo utilizado para as relações contratuais.
3.3.4.3.2 Estabelecer uma política de gestão de risco
A organização deve ter uma política de gestão de riscos aprovada pela alta direção da corporação, caso essa ainda não exista. A política de gestão de risco deve indicar claramente os objetivos da organização e normalmente aborda os seguintes temas:
• justificativa da organização para o gerenciamento de risco;
• relacionamentos entre os objetivos da organização e as políticas de gestão de riscos;
• responsabilidades e competências para o gerenciamento de risco;
• processo que determina como os interesses conflitantes serão tratados;
• compromisso de tornar disponíveis os recursos necessários à gestão de risco;
• compromisso de rever e melhorar a política de gestão de riscos em resposta a um evento ocorrido.
A política de gestão de risco deve ser comunicada de forma apropriada.
3.3.4.3.3 Responsabilidade
A organização deve assegurar que haja responsabilidades, autoridades e competências adequadas para o gerenciamento de riscos, incluindo a implementação e manutenção do processo de gestão de riscos. Deve ser assegurada a adequação, a eficácia e a eficiência dos controles que medem o desempenho da gestão de riscos.
Isso pode ser facilitado pelas seguintes definições de responsabilidade:
• identificar os proprietários dos riscos, que terão a responsabilidade e a autoridade para gerenciá-los;
• identificar quem é responsável pelo desenvolvimento, implementação e manutenção do
framework de gestão de risco;
• identificar as responsabilidades das pessoas em todos os níveis da organização que estejam relacionadas aos projetos ou atividades do processo de gestão de riscos;
• responsáveis pela medição do desempenho e a emissão de relatórios.
3.3.4.3.4 Integração em processos organizacionais
A gestão de riscos deve ser incorporada em todas as práticas de organização e nos seus processos de forma eficiente. O gerenciamento de riscos deve fazer parte dos processos organizacionais, e não ser um processo separado dos demais.
Em particular, a gestão de riscos deve ser incorporada no planejamento estratégico e na política dos negócios, principalmente nos processos de mudanças.
Deve haver um plano de gestão de risco em toda a organização para assegurar que a política de gestão de riscos é implementada e que a gestão de riscos faz parte de todas as práticas organizacionais e seus processos. O plano de gerenciamento de risco pode ser integrados em outros planos organizacionais, tais como o planejamento estratégico.
3.3.4.3.5 Recursos
A organização deve alocar recursos adequados para a gestão de riscos, considerando os seguintes pontos:
• pessoas, habilidades, experiência e competência que são necessárias para a efetiva gestão de riscos;
• recursos necessários para cada etapa do processo de gestão de risco;
• processos, métodos e ferramentas a serem utilizadas para o gerenciamento de risco;
• processos e procedimentos organizacionais devem estar documentados;
• sistemas de informação e sistemas de gestão do conhecimento devem ser utilizados para suportar a gestão de riscos;
• programas de treinamentos devem estar previstos.
3.3.4.3.6 Estabelecer a comunicação interna e os mecanismos de comunicação
A organização deve estabelecer a comunicação interna e os mecanismos que serão utilizados para essa comunicação de forma a apoiar e incentivar o controle das responsabilidades e a propriedade dos riscos.
Esses mecanismos devem assegurar que:
• a estrutura de gerenciamento de risco deve ser comunicada de forma adequada;
• relatórios internos adequados sobre a eficácia dos processos e os resultados obtidos no gerenciamento dos riscos;
• informações relevantes derivadas da aplicação de gestão de riscos deve estar disponíveis aos interessados nos momentos certos e em níveis apropriados;
• deve existir um processo de consulta com as partes internas, incluindo formas de consolidar as informações sobre os riscos e sua sensibilidade.
3.3.4.3.7 Estabelecer a comunicação externa e os mecanismos de comunicação
A organização deve desenvolver e implementar um plano de como irá se comunicar com os agentes externos.
Isto deve envolver:
• envolver as partes interessadas externas adequadas para troca de informações;
• relatórios externos para cumprir com os requisitos legais, regulatórios e de governança;
• fornecer feedback e informação sobre comunicações e consultas;
• usar a comunicação para construir a confiança na organização;
• comunicar as partes interessadas no caso de crise ou de emergência.
Estes mecanismos devem incluir processos para consolidar as informações de riscos, tendo em conta a sua sensibilidade.
3.3.4.4 Implementar a gestão de riscos
3.3.4.4.1 Aplicação do framework para a gestão de risco
Ao aplicar o framework para o gerenciamento de riscos em uma organização, esta deve:
• definir o momento adequado e a estratégia de implementação do framework;
• aplicar a política de gestão de riscos nos processos organizacionais;
• cumprir os requisitos legais e regulamentares;
• garantir que a tomada de decisões pela alta administração esteja alinhada com os resultados dos processos de gestão de riscos;
• realizar sessões de formação e capacitação do quadro funcional;
• comunicar e consultar as partes interessadas para garantir que a gestão de risco continua a ser apropriada.
3.3.4.4.2 Aplicar o processo de gestão e riscos
A gestão de riscos deve ser feita de forma a assegurar que os processos sejam aplicados a todos os níveis e funções da organização de acordo com um plano de gestão de risco.
3.3.4.5 Monitoramento e análise crítica do framework
Para assegurar que a gestão dos riscos seja eficaz no apoio do desempenho organizacional, a organização deve:
• medir o desempenho da gestão de riscos em função dos indicadores definidos anteriormente, os quais devem ser revistos periodicamente para adequação;
• periodicamente medir a adoção do plano de gestão de riscos;
• periodicamente verificar se a política de gestão de riscos e o plano ainda são adequados, levando em consideração as mudanças no contexto externo ou interno da organização;
• relatórios sobre a adoção da política de gestão de riscos;
• avaliar a eficácia do framework de gerenciamento de riscos.
3.3.4.6 Melhoria contínua do framework
Com base nos resultados do acompanhamento e revisão do framework, os planos e as políticas definidos anteriormente podem ser avaliados. Estas decisões devem fornecer melhorias na gestão de riscos da organização e na sua cultura com relação ao processos de gerenciamento dos riscos.
3.3.5 Processos
3.3.5.1 Introdução
O processo de gerenciamento de riscos descrito pela norma ISO 31000 deve ser:
• parte integrante da gestão;
• incorporado na cultura e nas práticas da organização;
A figura a seguir ilustrar os processos que fazem parte do gerenciamento de riscos a serem adotados pela organização:
• processo de comunicação e consulta;
• processo estabelecimento do contexto;
• processo de avaliação dos riscos, que incorpora a identificação, a análise e a avaliação dos riscos;
• processo de tratamento dos riscos;
• processo de monitoramento e análise críticas dos riscos.
Figura 5 Processos de gestão de risco
Fonte: (ISO31000, 2009)
O processo possui sete fases claramente identificadas, sendo um processo retroalimentativo. Ou seja, segue os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Action.
A fase de comunicação e consulta abrange tanto a comunicação interna quanto a externa, assegurando que os responsáveis compreendam os fundamentos sobre os quais as decisões são tomadas e as respectivas razões. As partes interessadas devem ser identificadas e seus papéis e responsabilidades delimitados e documentados nesta fase. É importante desenvolver um plano de comunicação que permita a cada uma das partes conhecerem o andamento do processo e que eles forneçam subsídios para seu desenvolvimento.
A comunicação externa e interna deve assegurar que os responsáveis pela implementação do processo de gestão de riscos compreendão as bases sobre às quais as decisões são tomadas e as razões pelas quais algumas ações específicas são necessárias.
A abordagem da equipe deve ser:
• ajudar a estabelecer um contexto adequado;
• garantir que os interesses das partes serão compreendidos e considerados;
• assegurar que os riscos sejam devidamente identificados;
• trazer colaboradores de diferentes áreas de conhecimento para a análise de riscos em conjunto;
• garantir que os diferentes pontos de vista sejam devidamente considerados durante a definição dos critérios para a avaliação dos riscos;
• apoio e suporte para o plano de tratamento dos riscos;
• melhorar a gestão de mudanças;
• desenvolver uma comunicação adequada tanto para áreas externa, como áreas internas à organização.
A comunicação e a consulta com as diversas partes interessadas é importante para que eles façam seus considerações sobre os riscos com base em suas percepções e suas experiências.