Norma ISO 31000:2009 e ISO 31004:2015

O padrão de gerenciamento de riscos ISO 31000 foi criado e introduzido com a promessa de aplicabilidade universal, incluindo onze princípios para gerenciamento efetivo de risco (OLECHOWSKI et al., 2016). A despeito de os padrões ISO na área de gerenciamento de risco tenham sido produzidos antes, este é o primeiro que afirma ser um padrão para gerenciar todos os riscos em todos os lugares (LEITCH, 2010), e como consequência, certas ideias sobre riscos e a gestão de riscos tenderem a ter um impulso de credibilidade e proeminência, influenciando os conceitos e o discurso utilizados nos meios empresariais e políticos (LEITCH, 2010), o autor, tece duras críticas à norma ISO 31000:2009, afirmando que seu texto tem significado abstrato e frustrantemente difícil de definir, com termos, frases e linguagem vagas, e que as definições fornecidas raramente ajudam.

Leitch (2010, p.892) reforça ainda seu parecer e o resume, afirmando que a ISO 31000:2009: (a) não é claro; (b) leva a decisões ilógicas se seguidas; (c) é inexequível; e (d) não tem base matemática, tendo pouco para dizer sobre probabilidade, dados e modelos. Preda (2013) afirma que a ISO 31000: 2009 não é uma resposta completa para lidar com o risco em organizações, mas é um grande passo à frente. Para tanto, desenvolveu-se a ISO 31004:2015, criada para ajudar a estabelecer ou alinhar um sistema para detectar, compreender e gerenciar os riscos com base na ISO 31000, e deve atender aos esses objetivos, fazendo-a funcionar de forma prática (PREDA, 2013).

Segundo ABNT (2015, p. vi), a ISO/TR 31004:2015 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/TR 31004:2013, elaborada pelo Technical Committee Risk management (ISO/TC 262), conforme ISO/IEC Guide 21-1:2005.

Desse modo, a ISO/TR 31004:2015 tem o objetivo de oferecer:

um tratamento concebido para que as organizações adequem seus mecanismos de gerenciamento de risco, tornando-se compatíveis com a norma ISO 31000, de acordo com as características da organização; a explicação dos conceitos da ABNT NBR ISO 31000; orientações sobre os aspectos dos princípios e estrutura de gerenciamento de risco que são descritos na ABNT NBR ISO 31000 (ABNT, 2015).

De acordo com a ISO 31000/2009, em ABNT (2009), para que a gestão de riscos seja eficaz, nos vários níveis da organização, todos os princípios considerados devem ser atendidos: integrar os processos organizacionais; abordar as incertezas de forma explícita; ser sistemática, estruturada e oportuna; basear-se nas melhores informações disponíveis; ser

planejada sob medida; considerar fatores humanos e culturais; ser transparente e inclusiva; ser dinâmica, interativa e capaz de reagir a mudanças e facilitar a melhoria contínua da organização, para criação de valor.

Essas premissas expõem o grau de dificuldade da consecução da plena eficácia da gestão de riscos, inferindo ainda que, por meio das habilidades de liderança, a alta administração deve ser capaz de criar um ambiente na organização onde as pessoas estejam totalmente envolvidas e onde o sistema de gestão de riscos possa operar efetivamente. Assim, a alta administração deve demonstrar seu compromisso e determinação para implementar um padrão de gerenciamento de risco [elaborado sob medida], por meio de treinamento e conscientização (PREDA, 2013).

A Figura 11 apresenta o processo de gerenciamento de riscos adotado pela ISO 31000: 2009, o mesmo processo amplamente adotado pela AS/NZS4360: 2004, após considerar suas inúmeras opções e variantes (PURDY, 2010); (LEITCH, 2010); (PREDA, 2013).

Figura 11 - Diagrama do processo de gestão de riscos da norma ISO 31000

Fonte: Purdy (2010, p. 883), adaptado pelo autor.

Na prática há uma considerável interação entre os passos e entre os elementos continuamente aplicados de comunicação e consulta, monitoramento e análise crítica (PURDY, 2010), não obstante, Purdy (2010) enfatiza que um instantâneo de tudo é, obviamente, difícil devido à dinâmica como o processo se apresenta na prática, por esse motivo, o diagrama usado no padrão (Figura 11) não é mostrado como um fluxograma.

A Figura 12 apresenta o relacionamento entre os componentes da estrutura proposta pela ISO 31000 para a gestão de riscos.

Figura 12: Relação entre os componentes da estrutura de gestão de riscos

Fonte: Adaptado de ABNT (2009)

Segundo ABNT (2009), deve-se levar ao entendimento de que todas as ações no âmbito da gestão de riscos que visem à melhoria da estrutura organizacional requerem a integração de todos os atores, em todos os níveis da instituição. O apoio incondicional da alta administração, representada, na Figura 12, pelo quadro “mandato e comprometimento”, característica que deve ser assimilada pelo gestor, aliada às boas práticas de relacionamento com o risco, contribuem para uma gestão de riscos eficaz.

A introdução da gestão de riscos, e a garantia de sua contínua eficácia requerem comprometimento forte e sustentado a ser assumido pela administração, em todos os seus níveis organizacionais, bem como um planejamento rigoroso e estratégico para obter-se esse comprometimento em todos os níveis.

A ISO 3100 propõe a compreensão da organização e seu contexto, antes de iniciar a concepção e a implementação da estrutura para gerenciar riscos, é importante avaliar e compreender os contextos externo e interno da organização, uma vez que estes podem influenciar significativamente a concepção da estrutura.

Pauta-se ainda que, para uma gestão de riscos eficaz, deve-se estabelecer claramente os objetivos e o comprometimento da organização em relação à gestão de riscos e, tipicamente, abordando a justificativa da organização para gerenciar riscos; as ligações entre os

objetivos e políticas da organização com a política de gestão de riscos; as responsabilidades para gerenciar riscos; a forma com que são tratados conflitos de interesses; o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos; a forma com que o desempenho da gestão de riscos será medido e reportado; e o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.

A organização deve ainda assegurar que haja responsabilização, autoridade e competência apropriadas para gerenciar riscos, incluindo implementar e manter o processo de gestão de riscos, e assegurar a suficiência, a eficácia e a eficiência de quaisquer controles.

A norma ISO 31000 sugere também que a gestão de riscos seja incorporada em todas as práticas e processos da organização, de forma que seja pertinente, eficaz e eficiente, tornando-se parte integrante, e não separado, desses processos organizacionais. Enfatiza-se a importância de a organização incorporar a gestão de riscos no desenvolvimento de políticas, na análise crítica, no planejamento estratégico e de negócios, e nos processos de gestão de mudanças. Deve-se assegurar que exista um plano de gestão de riscos para toda a organização, a fim de possibilitar que a política de gestão de riscos seja implementada e que a gestão de riscos seja incorporada em todas as práticas e processos da organização.

A ISO 31000 aconselha que a organização empreenda recursos para a gestão de riscos e que estabeleça mecanismos de comunicação interna e reporte com a finalidade de apoiar e incentivar a responsabilização e a propriedade dos riscos, devendo-se incluir processos para consolidação da informação sobre os riscos, conforme apropriado, a partir de uma variedade de fontes, levando em consideração sua sensibilidade.

Os resultados do monitoramento e das análises críticas, devem embasar as decisões para o melhoramento sobre como a política, o plano e a estrutura da gestão de riscos, as melhorias e em sua cultura e na capacidade da organização em gerenciar riscos.