As versões de 2015 das normas ISO 9001 (Gestão da Qualidade) e ISO 14001 (Gestão Ambiental) introduziram o conceito de ‘mentalidade de risco’ (em inglês, risk based thinking). É um fato bastante louvável, mas, infelizmente, tem gerado muitas dúvidas e questionamentos (além de ser um conceito frouxo e vago)…
Para começar, não existe uma definição do que é ‘mentalidade de risco’. Cada parte interessada, portanto, irá interpretá-la da forma que achar mais conveniente.
E aqui já surge uma primeira questão: como implementar (e auditar) uma mentalidade ou um pensamento? (lembrando que, em português, são sinônimos de mentalidade: Caráter ou qualidade de mental; Mente, inteligência, pensamento; Modo de pensar característico de uma pessoa ou de um grupo; Estado psicológico). Teria sido melhor se tivessem adotado, por exemplo, o termo “abordagem baseada em riscos” – e não risk based thinking…
O que diz a ISO 9001:2015 sobre ‘mentalidade de risco’…
– “A mentalidade de risco habilita uma organização a determinar os fatores que poderiam causar desvios nos seus processos e no seu sistema de gestão da qualidade em relação aos resultados planejados, a colocar em prática controles preventivos para minimizar efeitos negativos e a maximizar o aproveitamento das oportunidades que surjam”.
– “A mentalidade de risco é essencial para se conseguir um sistema de gestão da qualidade eficaz. O conceito de mentalidade de risco estava implícito nas versões anteriores desta Norma, incluindo, por exemplo, realizar ações preventivas para eliminar não conformidades potenciais, analisar quaisquer não conformidades que ocorram e tomar ação para prevenir recorrências que sejam apropriadas aos efeitos da não conformidade”.
– “Esta Norma habilita uma organização a usar a abordagem de processo, combinada com o ciclo PDCA e a mentalidade de risco, para alinhar ou integrar seu sistema de gestão da qualidade com os requisitos de outras normas de sistemas de gestão”.
– “A Alta Direção deve demonstrar liderança e comprometimento com relação ao sistema de gestão da qualidade: (…) promovendo o uso da abordagem de processo e da mentalidade de risco”.
– “Apesar de (a subseção) 6.1 especificar que a organização deve planejar ações para abordar riscos, não há requisito para métodos formais para gestão de riscos ou um processo de gestão de risco(s) documentado. As organizações podem decidir desenvolver ou não uma metodologia de gestão de risco(s) mais extensiva que o requerido por esta Norma, por exemplo, através da aplicação de outras diretrizes ou normas” (em itálico, anotações minhas).
Vamos nos ater a esse último item…
Alguém aí sabe o que significa ‘abordar riscos’ (em inglês, ‘to address risks’)?
Resposta: ‘abordar riscos’ pode significar muitas coisas. Por exemplo: identificar riscos, analisar riscos, avaliar riscos, tratar riscos, etc. Ou tudo isso junto…
A Nota 1 da subseção 6.1.2 da ISO 9001:2015 dá a seguinte pista:
“Opções para abordar riscos podem incluir evitar o risco, assumir o risco para perseguir uma oportunidade, eliminar a fonte de risco, mudar a probabilidade ou as consequências, compartilhar o risco ou decidir, com base em informação, reter o risco”.
Ora pois!
Essa Nota sobre as opções para ‘abordar riscos’ nada mais é do que uma transcrição resumida da subseção 5.5.1 sobre as opções de TRATAMENTO DE RISCOS elencadas na norma internacional e brasileira ISO 31000 de… Gestão de Riscos!!! (aliás, o termo ‘tratamento de riscos’ é usado há várias décadas na área de GR; certos comitês da ISO quiseram, simplesmente, reinventar a roda!).
E daí surge uma outra importante questão…
Como abordar (tratar) riscos sem antes, pelo menos, ter identificado, analisado e avaliado tais riscos?
As novas ISO 9001 e ISO 14001 não respondem a essa pergunta. Mas a figura abaixo ilustra bem essa sequência :-)
Além disso, as explicações sobre ‘mentalidade de risco’ na nova ISO 9001 (na ISO 14001:2015, esse conceito é citado somente en passant) não se apoiam em nenhuma abordagem ou metodologia consistente, o que torna o conceito frouxo e vago, podendo a médio prazo aumentar ainda mais o descrédito do ‘mercadão da certificação‘…
O lado positivo e louvável da introdução da ‘mentalidade de risco’ e das seções sobre ‘abordar riscos’ nas novas normas ISO de sistemas de gestão fica por conta do incentivo à cultura da antecipação, bem como à adoção, mesmo que parcial, da definição de risco da ISO 31000 (risco = ‘efeito da incerteza’).
Na ISO 31000, risco é definido como o efeito da incerteza nos objetivos. Se não houver um objetivo, não há risco… Todas as organizações estão expostas a fatores internos e externos e influências que tornam incerto se, quando e em que medida irão alcançar ou exceder os seus objetivos (quer sejam estratégicos, da qualidade, ambientais, etc.). O efeito que essa incerteza tem sobre os objetivos de uma organização é risco.
A ciência da antecipação
A Gestão de Riscos, no ‘frigir dos ovos’, nada mais é do que a ciência e a arte da antecipação (por exemplo, antecipação em relação à materialização de oportunidades e ameaças, em relação à ocorrência de problemas, falhas de produtos e serviços, acidentes, etc., etc.).
E, conforme já assinalei em outro post, entender o conceito de risco é o primeiro e fundamental passo para uma Gestão de Riscos eficaz!
O assunto é extenso, mas, para finalizar este post, reitero a recomendação aos profissionais de empresas, consultores e auditores para que se capacitem adequadamente em Gestão de Riscos e obtenham, idealmente, um reconhecimento internacional nessa área, juntando-se ao seleto grupo de profissionais de todo o mundo certificados na ISO 31000.
Post Scriptum
1- Para discutirmos em profundidade todas essas questões, espero vocês no nosso Curso a Distância de Atualização Profissional em Gestão de Riscos, Controles Internos, Compliance, QSMS e Normas ISO.
Nos encontramos lá!
2- O QSP desenvolveu diversas ferramentas e serviços para auxiliar as organizações a se adequarem às novas normas ISO, apoiado especialmente em sua vocação primária no campo da Gestão de Riscos… Confira aqui.