Veja as respostas às Perguntas Mais Frequentes (FAQs) sobre a certificação de empresas em Gestão de Riscos, tendo por base a norma ISO 31000.
More...
Para uma melhor compreensão sobre a possibilidade das organizações (de qualquer tipo) se certificarem em Gestão de Riscos, criamos uma lista com as FAQs que recebemos de várias pessoas de todo o Brasil.
Esperamos que as respostas contribuam para esclarecer as principais dúvidas dos nossos leitores sobre o assunto.
O que é e para que serve a ISO 31000?
A norma internacional e brasileira ISO 31000:2018 fornece diretrizes para gerenciar riscos enfrentados pelas organizações por meio de uma linguagem e abordagem comuns, para qualquer tipo de risco.
A ISO 31000 não é específica para uma indústria ou setor e pode ser usada por organizações de todos os tipos e tamanhos.
Por que a ISO 31000 não se destina, por si só, à certificação de empresas?
Porque a norma ISO 31000 é um documento de diretrizes, e não uma norma de requisitos (como, por exemplo, são as ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, ISO 37001, etc.).
A ISO 31000, por ser uma norma de diretrizes, utiliza o termo 'convém que' (should, em inglês) para expressar uma recomendação (diretriz); ao passo que as ISO 9001, ISO 14001, etc. utilizam o termo 'deve' (shall, em inglês) para expressar uma exigência (requisito).
As normas de requisitos são auditáveis, podendo assim uma organização que estiver em conformidade com elas obter sua certificação, concedida por um organismo externo à empresa.
Já as normas de diretrizes (como é o caso da ISO 31000) não são auditáveis, não podendo por isso ser objeto de certificação. Entretanto, há uma solução alternativa para essa questão!... (veja a próxima pergunta).
Qual é a alternativa para que uma empresa possa se certificar em Gestão de Riscos?
A solução alternativa não é brasileira, mas sim internacional (!). Ela tem sido adotada há quase 30 anos por organismos certificadores e por diversas outras entidades - e é a seguinte:
Cria-se uma 'norma de referência' ou 'protocolo interno' com base na norma de diretrizes objeto da auditoria e/ou da certificação. No caso da Gestão de Riscos, a 'norma de referência' que é criada normalmente é baseada na ISO 31000 (poderia ser adotada outra norma de diretrizes em Gestão de Riscos, mas a ISO 31000 tem sido amplamente a preferida).
Foi exatamente isso o que fez o QSP para atender, lá em 2010, às necessidades de seus associados e clientes na área de Gestão de Riscos! (lembrando que o QSP não é organismo certificador nem empresa comercial; é uma entidade associativa técnico-científica, sem fins lucrativos).
O QSP criou então, exclusivamente para seus associados e clientes, a norma de referência QSP 31000, totalmente baseada na ISO 31000, cujas características principais e condições de acesso estão descritas mais abaixo.
Por que uma empresa busca sua certificação em Gestão de Riscos?
A Internet está repleta de livros, artigos, blogs, etc. que enaltecem os benefícios da certificação de sistemas de gestão, especialmente daqueles baseados na ISO 9001, ISO 14001, etc., e que se relacionam, acima de tudo, a exigências contratuais entre clientes e fornecedores.
Entretanto, no campo da Gestão de Riscos, posso enumerar as seguintes razões principais para uma organização buscar sua certificação baseada na ISO 31000:
# Passar uma mensagem clara aos funcionários, clientes e outras partes interessadas de que a empresa está comprometida em gerenciar riscos em todos os seus processos e atividades;
# Mostrar que a organização está protegida contra ameaças externas e internas (e que as oportunidades são exploradas de forma sistemática), aumentando com isso a confiança do público nas habilidades de gestão estratégica e operacional da empresa;
# Aumentar a reputação e engrandecer a imagem da organização, a fim de obter uma vantagem competitiva em relação aos seus concorrentes.
# Obter reconhecimento por uma entidade externa (certificadora) de que a Gestão de Riscos da organização atende às boas práticas mundiais estabelecidas na ISO 31000.
Como as empresas podem obter essa certificação?
Para começar, é preciso que a organização implemente um robusto Sistema de Gestão de Riscos (SGR) em conformidade, por exemplo, com nossa norma de referência QSP 31000.
Após a implantação bem-sucedida do SGR, a organização poderá buscar sua certificação em Gestão de Riscos. Para isso, ela deverá escolher um organismo certificador de sua preferência e que ofereça serviços de auditoria e certificação nessa área (no Brasil, há vários...).
No Brasil, já existem organizações certificadas em Gestão de Riscos?
Sim, no Brasil existem pelo menos três instituições certificadas na QSP 31000 / ISO 31000 que foram assessoradas pelo QSP: o Biocor Instituto, a Faelba, a Forluz (e outras que estão a caminho!...). No Exterior, há diversos casos de certificação similares, principalmente de clientes de organismos certificadores internacionais...
Veja aqui, com exclusividade, a relação das empresas certificadas em Gestão de Riscos no mundo, tendo por base a ISO 31000.
Como minha organização pode ter acesso à norma QSP 31000?
As empresas interessadas poderão se associar ao QSP ou contratar nosso serviço de apoio técnico ISO 31000 - para ter acesso e utilizar amplamente a norma que criamos: a QSP 31000 - Sistemas de Gestão de Riscos - Requisitos.
A norma QSP 31000 foi publicada originalmente em 2010. Ela é, a rigor, uma 'ISO 31000 transformada', ou seja, transformamos as diretrizes da ISO 31000 em requisitos auditáveis e acrescentamos requisitos específicos das normas ISO de sistemas de gestão.
A QSP 31000 foi revisada em 2016 e novamente em 2018, para alinhá-la tanto ao Anexo SL das Diretivas ISO como também à nova ISO 31000:2018.
Para o nosso leitor ter uma visão geral da QSP 31000:2018, preparamos a apresentação abaixo (para facilitar a leitura, clique aqui ou no botão superior do visualizador.).
O Sistema de Gestão de Riscos estabelecido na norma QSP 31000:2018 equivale à Estrutura de Gestão de Riscos estabelecida na ISO 31000:2018.
A 'Autodeclaração de Conformidade' é uma alternativa à certificação de empresas em Gestão de Riscos?
Sim, certamente. A 'Autodeclaração de Conformidade', se atendidas certas condições e conforme explicado neste artigo, é uma alternativa viável e de baixo custo à certificação do Sistema de Gestão de Riscos da organização baseado na norma ISO 31000:2018 !!
Resumindo...
Para que uma organização possa obter sua certificação em Gestão de Riscos, deverá antes implantar um Sistema de Gestão de Riscos (SGR) em conformidade com alguma 'norma de referência'.
Como a ISO 31000 não é uma norma de sistema de gestão, o QSP criou uma 'norma interna' intitulada QSP 31000, que 'transforma' as recomendações da ISO 31000 em requisitos auditáveis.
Dessa forma, uma empresa que utilizar a QSP 31000 poderá implantar o seu próprio SGR e, uma vez concluída a implantação, solicitar a uma certificadora que a audite e emita a certificação 'baseada na ISO 31000'.
Para obter a norma QSP 31000, as empresas interessadas deverão se associar ao nosso Centro ou contratar o serviço de apoio técnico do QSP para auxiliá-las na implantação do SGR.
Outras questões ou dúvidas poderão ser esclarecidas por meio do nosso Fale Conosco.