Um Sistema de Gestão de Riscos é, comprovadamente, o meio mais ágil e eficaz de implementar numa organização a estrutura para gerenciar riscos e as demais diretrizes da norma internacional ISO 31000 !!
Saiba neste artigo por que e como...
More...
Muitos usuários da norma internacional ISO 31000:2018 - e todos os Profissionais Certificados C31000 - entendem nitidamente por que a integração da Gestão de Riscos (GR) na governança e em todas as atividades de uma organização, incluindo os processos de tomada de decisão, é o propósito central da estrutura (ou 'framework') para gerenciar riscos da empresa.
Apesar de a ISO 31000 enfatizar que o sucesso da Gestão de Riscos depende da eficácia dessa estrutura, a norma não aponta (mesmo porque não é o seu intento) como fazer a integração de tal 'framework' de Gestão de Riscos nas operações e no dia a dia das organizações... Falaremos dessa integração mais adiante.
Vamos primeiro lembrar dos componentes da estrutura para gerenciar riscos propostos na ISO 31000. Eles estão descritos em detalhe na norma e ilustrados na figura abaixo.
Componentes da Estrutura de Gestão de Riscos (ISO 31000)
A Base Conceitual da Integração
A fim de oferecer uma solução sistêmica para a integração da Estrutura de Gestão de Riscos em todas as atividades de qualquer tipo de organização (como estabelecido na ISO 31000), em 2010, o QSP - Centro da Qualidade, Segurança e Produtividade, na época já com 20 anos de experiência na concepção e implantação de sistemas de gestão ISO e preparação de empresas para a certificação, propôs aos seus associados e clientes interessados na implementação das diretrizes da ISO 31000 que considerassem a seguinte equivalência conceitual:
Estrutura ('Framework') de Gestão de Riscos (ISO 31000) ≡ Sistema de Gestão de Riscos (SGR)
Agora em 2020, dez anos depois da proposta da equivalência conceitual formulada pelo QSP, com várias iniciativas de sucesso no Brasil que acompanhamos de perto nessa década - sem falar do crescimento exponencial da popularidade da própria ISO 31000 em todo o mundo, resolvemos retomar o assunto dos SGRs - Sistemas de Gestão de Riscos para um público mais amplo - especialmente para aquelas organizações que adotaram diferentes modelos de estrutura para gerenciar seus riscos corporativos e cujos resultados têm mostrado que tais 'frameworks' possuem inúmeras falhas (!).
Além disso, a justificativa para essa proposta, enfatizada mais uma vez pelo QSP em plena pandemia da Covid-19 que está afetando centena de milhares de empresas, assenta-se tanto no conteúdo da nova ISO 31000:2018 como também na comparação das duas definições mostradas a seguir - e que poucos até hoje fizeram...
Estrutura de Gestão de Riscos*
Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.
NOTA 1 - Os fundamentos incluem a política, objetivos, mandatos e comprometimento para gerenciar riscos.
NOTA 2 - Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades.
NOTA 3 - A estrutura de gestão de riscos está incorporada no âmbito das políticas e práticas estratégicas e operacionais de toda a organização.
(*) Norma ISO 31000 e ISO Guia 73
Sistema de Gestão**
Conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas, objetivos e processos para alcançar esses objetivos.
NOTA 1 - Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas, por exemplo, gestão de riscos, gestão financeira, gestão da qualidade, gestão da segurança, gestão ambiental.
NOTA 2 - Os elementos do sistema de gestão estabelecem a estrutura, papéis, responsabilidades e responsabilizações, planejamento, operação, políticas, práticas, regras, crenças, objetivos da organização e processos para alcançar esses objetivos.
NOTA 3 - O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções executadas por mais de uma organização.
(**) Anexo SL - Normas ISO de SGs
Colocando nossa Proposta em Prática
Como a ISO 31000 é uma norma de diretrizes genéricas de Gestão de Riscos e as demais normas ISO de sistemas de gestão são, na maioria das vezes, normas de requisitos (podendo, portanto, ser usadas para fins de auditoria e certificação), criamos em 2010 uma 'norma de referência' para Sistemas de Gestão de Riscos, transformando as diretrizes da ISO 31000 em requisitos auditáveis e acrescentando requisitos específicos de sistemas de gestão, a fim de viabilizar na prática a integração da Estrutura ('Framework') de Gestão de Riscos em todas as atividades organizacionais.
Nossa 'norma de referência' foi batizada de QSP 31000...
A QSP 31000 foi atualizada posteriormente em 2016 e 2018, a fim de se adequar às revisões ocorridas em âmbito mundial tanto na ISO 31000 como em todas as normas ISO de sistemas de gestão.
De 2010 até os dias atuais, pudemos acompanhar e constatar, no Brasil e em diversos outros países, um crescente número de casos de sucesso, incluindo a certificação de empresas baseada na ISO 31000...
Nossa proposta de considerar a equivalência dos componentes da Estrutura de Gestão de Riscos e os componentes de um Sistema de Gestão de Riscos está ilustrada didaticamente na figura abaixo (clique na imagem para melhor visualizá-la).
Benefícios e Resultados
Um Sistema de Gestão de Riscos (SGR) bem concebido, alinhado aos objetivos, à estratégia e à cultura da organização, sob a liderança e com o efetivo comprometimento da Alta Direção e dos órgãos de supervisão (se houver) da empresa, permite obter, entre outros, os seguintes benefícios e resultados:
• Aplicação da gestão de riscos em todas as tomadas de decisão da organização, aumentando a probabilidade de atingir seus objetivos estratégicos e operacionais;
• Integração da gestão de riscos na estrutura de governança da organização;
• Linguagem comum e procedimentos devidamente documentados, alcançando uma implementação mais consistente de políticas e processos de conformidade e 'compliance';
• Responsabilidades para os papéis pertinentes à gestão de riscos plenamente definidas, com responsabilização abrangente e transparente em relação aos riscos, controles e planos de tratamento de riscos;
• Comunicação contínua com os 'stakeholders' (partes interessadas internas e externas);
• Entendimento correto e consistente dos vários tipos de risco que afetam ou podem afetar a organização;
• Melhorias mensuráveis da prevenção de perdas e da gestão de incidentes;
• Melhoria contínua da gestão de riscos por meio do estabelecimento de metas e indicadores-chave, de avaliações, auditorias e análises críticas periódicas do SGR, além das subsequentes mudanças de processos, sistemas, recursos, capacidades e habilidades na organização.
A Certificação de Empresas Baseada na ISO 31000
Em outro post do Blog, exploramos em detalhe essa questão por meio de FAQs - Perguntas Mais Frequentes. Entre aqui para ler (ou reler) nossas respostas a essas FAQs...
Implantação Sistêmica e Agilizada
A pandemia da COVID-19 levou o QSP a otimizar e agilizar o processo de apoio técnico às empresas (de qualquer tipo e setor) na implantação das diretrizes da ISO 31000 e dos requisitos da QSP 31000.
Todo o processo agora é realizado pela Internet, reduzindo assim significativamente o tempo de implantação e o custo associado a esse serviço. A redução alcançada chega a cerca de trinta por cento!
Saiba mais sobre a implantação sistêmica e agilizada da
ISO 31000 de Gestão de Riscos.
