ISO 31000 73 

A ISO 31000:2009 é uma norma geral de Gestão de Riscos, que independe da área ou segmento de atuação. Fornece diretrizes e princípios para a implementação eficaz da Gestão de Riscos (DE CICCO, 2009).

No Brasil, foi lançada em 30 de novembro de 2009, pela Associação Brasileira de Normas Técnicas (ABNT), intitulada NBR ISO 31000 - Gestão de Riscos, Princípios e Diretrizes. Especialistas da área a tem considerado uma boa referência para quem quer começar a implantar um processo de Gestão de Riscos. Não tem finalidade de certificação, porém é uma ferramenta que pode trazer maiores

Act Plan

Do Check

diferenciais competitivos para as empresas que utilizarem os seus conceitos (TOTAL QUALIDADE, 2010).

O processo de gestão de riscos pode ser aplicado a decisões em todas as organizações, em todos os níveis, bem como a uma atividade ou função específica. Deve ser aplicado durante a etapa de planejamento e a tomada de decisões sobre importantes questões, como: mudanças de política, introdução de novas estratégias ou procedimentos, gerenciamento de projetos, entre outros (DE CICCO, 2009).

O processo de gestão de riscos encontra-se representado na Figura 06, que ilustra todas as etapas inerentes ao mesmo. Destaca-se a parte em azul que aborda a avaliação de riscos propriamente dita.

Figura 06 – Processo de gestão de riscos.

A gestão de riscos pode ser aplicada sob uma variedade de ações, tais como: planejamento estratégico, operacional e de negócios; gestão de ativos e planejamento de recursos; interrupção e continuidade de negócios; mudança organizacional, tecnológica ou política; projeto e responsabilidade pelo produto; responsabilidade civil de diretores e gerentes; desenvolvimento de políticas públicas; questões ambientais; questões relativas à ética, fraude, segurança patrimonial e probidade; alocação de recursos; risco público e responsabilidade civil geral; estudos de viabilidade; conformidade; saúde e segurança; operações e sistemas de manutenção; gestão de projetos; e, gestão de compras e contratos (DE CICCO, 2009).

A gestão de riscos não é somente uma tarefa técnica, mas também um conjunto de ações e decisões que acontecem em um contexto social. A comunicação e a consulta são partes integrantes do processo de gestão de riscos e devem sempre ser consideradas de maneira explícita. A gestão de riscos será aprimorada através do entendimento das perspectivas de cada uma das partes interessadas e, quando possível, através de sua participação ativa na tomada de decisões (DE CICCO, 2009).

”Genericamente o processo estruturado sugerido possui sete fases claramente identificadas, sendo um processo retroalimentativo. Ou seja, segue os princípios do ciclo da qualidade, PDCA - Plan – Do – Check – Action.” (BRASILIANO, 2009, p. 9.)

A etapa de comunicação engloba um processo interativo de troca de informações e opiniões, a partir de múltiplas mensagens sobre a natureza dos riscos e a gestão dos mesmos. Já a consulta consiste em um processo de comunicação informativa entre a organização (responsável pelo processo) e as partes interessadas, seja para ser definido um posicionamento em relação a uma questão específica, seja para uma tomada de decisão. Esta etapa pode trazer alguns benefícios, como (DE CICCO, 2009):

 Garantir uma gestão de riscos explícita e pertinente;  Obter valor agregado à organização;

 Gerar confiança;

 Melhorar o processo de avaliação de riscos; e,  Tratar os riscos com maior eficácia.

O estabelecimento do contexto engloba o entendimento histórico da organização ou do processo e de seus riscos, a partir da definição do escopo das atividades de gestão de riscos que estão sendo realizadas e do desenvolvimento de uma estrutura para as tarefas de gestão de riscos subsequentes. Visa dar uma visão abrangente de todos os fatores que podem influenciar a capacidade da organização ou do processo de atingir seus resultados esperados. O resultado esperado desta etapa é a relação dos objetivos e critérios necessários para o alcance do êxito, os objetivos e o escopo da gestão de riscos, bem como, os elementos-chave componentes da atividade (DE CICCO, 2009).

Segundo De Cicco (2009), o processo de avaliação de riscos envolve três etapas:

 Identificação de riscos: desenvolvimento de uma lista abrangente de fontes de riscos e eventos que podem ter um impacto na consecução de cada objetivo (ou elemento-chave) identificado no contexto;

 Análise de riscos: entendimento do nível de risco e de sua natureza, através da combinação das consequências e da probabilidade;

 Avaliação dos riscos: engloba a compreensão dos riscos, e até mesmo reavaliação dos critérios definidos anteriormente, para a tomada de decisões sobre as futuras ações (ex.: se um risco necessita de tratamento; se uma atividade deve ser realizada; e, as prioridades do tratamento).

A fase de Tratamento de Riscos envolve um processo cíclico composto por (BRASILIANO, 2009):

 Avaliação do tratamento já realizado;

 Decisão se os níveis de risco residual são toleráveis;

 Definição e implementação de um novo tratamento, caso não sejam toleráveis;

 Avaliação e eficácia do tratamento.

E, com relação às opções de tratamento, Brasiliano (2009) afirma que são universais, tais como:

 Ação de evitar o risco;

 Tomada ou aumento do risco (caso o risco seja positivo);  Remoção da fonte de riscos;

 Alteração da probabilidade;  Alteração das consequências;  Compartilhamento do risco; e,

 Retenção do risco por uma decisão consistente e bem embasada.

A última etapa, monitoramento e análise crítica, é parte integrante e essencial da gestão dos riscos, podendo ser considerada uma das mais importantes. Pois, o monitoramento proporciona o acompanhamento de rotina do desempenho real, para comparar com o esperado ou requerido. E, a análise crítica corresponde à investigação periódica da situação atual, geralmente, com um enfoque específico (DE CICCO, 2009).

Além das etapas, fazem-se necessários os registros do processo de gestão de riscos de forma adequada. Apesar de auditorias independentes poderem solicitar padrões específicos de documentação, de uma maneira geral a documentação pode contemplar: declaração de conformidade e diligência; cadastro de riscos; plano de ação e programação do tratamento de riscos; documentos de monitoramento e auditoria; base de dados de incidentes e acidentes; e, plano de gestão de riscos (DE CICCO, 2009).

Ressalta-se que as etapas pertinentes à avaliação de riscos são semelhantes às utilizadas em implantação de Sistema de Gestão Ambiental (SGA). Logo, os conceitos abordados são os mesmos, mas o foco principal torna-se o risco e os eventos perigosos e, a partir destes, são estabelecidas as demais premissas de gestão.