Revisão da
ISO 31000:2018
o que mudou
de estratégico?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique, pela
Université East Paris - Marne La Vallée – Paris – França, é presidente da Brasiliano INTERISK.
A ISO 31000:2018 sofreu uma revisão para fornecer uma visão mais holística e estratégica aos gestores, além de detalhar as metodologias a serem utilizadas em cada disciplina de risco.
ISO 31000: 2018 Gestão de Riscos – Diretrizes - Revisão
A ISO 31000: 2009 Gestão de Riscos sofreu também uma revisão, que no Brasil está em consulta pública, através do Grupo da ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018 e já publicada internacionalmente em janeiro de 2018, pela Technical Committee Risk Management (ISO/TC 262), conforme ISO/IEC Guide 21-1:2005, sob a denominação ISO 31000:2018 Gestão de Riscos - Diretrizes.
Na verdade, sua revisão foi, na minha opinião, estrutural e ampliou sua visão oficialmente para o nível estratégico. A estrutura da norma não sofreu modificações substanciais, ficando com os seguintes tópicos:
1. Referências Normativas
2. Termos e Definições
3. Princípios
4. Estrutura
5. Processo
Referências Bibliográficas
O escopo, referências, termos e definições tiveram modificações pontuais.
As principais mudanças estruturais foram:
1. Princípios
Possui um Framework com seus princípios, focando a criação e proteção de valor para a empresa, que foram reduzidos de onze para oito e servem de orientação para que a gestão de riscos seja eficaz e eficiente.
Figura 1: Princípios da ISO 31000:2018
Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
A gestão de riscos eficaz requer os elementos da figura acima e pode ser explicada como:
a. Integrada
A gestão de riscos é parte integrante de todas as atividades organizacionais.
b. Estruturada e abrangente
Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis.
c. Personalizada
A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos.
d. Inclusiva
O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada.
e. Dinâmica
Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna.
f. Melhor informação disponível
As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes.
g. Fatores humanos e culturais
O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão de riscos em cada nível e estágio.
h. Melhoria contínua
A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.
2. Estrutura
Na sua estrutura ficou ressaltada a responsabilidade da alta administração e a integração com o sistema de governança corporativa. A eficácia da gestão de riscos depende da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Ou seja, a Gestão de Riscos faz parte do nível estratégico da empresa. Isto requer apoio das partes interessadas, em particular da Alta Direção.
O framework da estrutura não segue de forma direta o ciclo do PDCA, mas sim com cinco elementos, onde deve haver liderança e comprometimento. São eles segundo a figura 2 ao lado:
Figura 2: Estrutura da ISO 31000:2018
Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
a. Liderança e comprometimento
Convém que a Alta Direção e os órgãos de supervisão - segunda linha de defesa - assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, convém que demonstrem liderança e comprometimento por:
• Personalizar e implementar todos os componentes da estrutura;
• Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos;
• Assegurar que os recursos necessários sejam alocados para gerenciar riscos;
• Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização;
Isto vai ajudar a organização a:
• Alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
• Reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;
• Estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas;
• Comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
• Promover o monitoramento sistemático de riscos;
• Assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.
A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são responsabilizados por supervisionar a gestão de riscos. Com frequência, é requerido ou esperado que os órgãos de supervisão:
• Assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização;
• Compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;
• Assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente;
• Assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização;
• Assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.
b. Integração
A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. Todos na organização têm responsabilidade por gerenciar riscos.
Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização. Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, estratégia, objetivos e operações.
c. Concpeção
Esta é uma das partes mais sensíveis a ser verificada e estudada pela gestão de riscos.
- Entendendo a organização e seu contexto
Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno.
Examinar o contexto externo quer dizer Cenários Prospectivos, Incertezas Críticas para o negócio e incluem, mas não está limitado a: fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; direcionadores-chave e tendências que afetem os objetivos da organização; relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; relações e compromissos contratuais e complexidade das redes de relacionamento e dependências.
Já o ambiente interno da organização pode incluir, mas não está limitado a: visão, missão e valores; governança, estrutura organizacional, papéis e responsabilizações; estratégia, objetivos e políticas; cultura da organização; normas, diretrizes e modelos adotados pela organização; capacidades entendidas em termos de recursos e conhecimento (por exemplo: capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); dados, sistemas de informação e fluxos de informação; relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; relações contratuais e compromissos e interdependências e interconexões.
- Articulando o comprometimento com a gestão de riscos
Convém que a Alta Direção e os órgãos de supervisão, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização. Convém que o comprometimento inclua, mas não se limite a:
• O propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; reforçar a necessidade de integrar a gestão de riscos na cultura global da organização; liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; autoridades, responsabilidades e responsabilizações; tornar disponíveis os recursos necessários; a maneira pela qual os objetivos conflitantes são tratados; medição e relato no âmbito dos indicadores de desempenho da organização, análise crítica e melhoria.
- Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações
Convém que a Alta Direção e os órgãos de supervisão assegurem que as autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que:
• Enfatizem que a gestão de riscos é uma responsabilidade principal;
• Identifiquem indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos riscos).
- Alocando recursos
Convém que a Alta Direção e os órgãos de supervisão, assegurem a alocação de recursos apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a: pessoas, habilidades, experiência e competência; processos, métodos e ferramentas da organização a serem usados na gestão de riscos; processos e procedimentos documentados; sistemas de gestão da informação e do conhecimento e necessidades de treinamento e desenvolvimento profissional.
Convém que a organização considere as capacidades e restrições dos recursos existentes.
- Estabelecendo comunicação e consulta
Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos. Comunicação envolve compartilhar informação com o público-alvo. A consulta também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá para as decisões e sua formulação ou outras atividades.
d. Implementação
Convém que a organização implemente a estrutura de gestão de riscos por meio de:
• Desenvolvimento de um plano apropriado, incluindo prazos e recursos;
• Identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por quem;
• Modificação dos processos de tomada de decisão aplicáveis, onde necessário;
• Garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados.
Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que o processo de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as mudanças nos contextos externo e interno serão adequadamente capturadas.
e. Avaliação
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização:
• Mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação, indicadores e comportamento esperado;
• Determine se permanece adequada para apoiar o alcance dos objetivos da organização.
f. Melhoria
- Adaptação
Convém que a organização monitore e adapte continuamente a estrutura de gestão de riscos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor.
- Melhoria contínua
Convém que a organização melhore continuamente a adequação, suficiência e eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, convém que a organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela implementação. Uma vez implementadas, convém que estas melhorias contribuam para o aprimoramento da gestão de riscos.
3. Processo
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
O framework ao lado, figura 3, é o novo da ISO 31000:2018, após sua revisão:
Figura 3: Processo da ISO 31000:2018
Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
Ponto importante ressaltado na norma revisada é que embora o processo de gestão de riscos seja frequentemente apresentado como sequencial, na prática ele é interativo, ou seja, pode haver várias fases iniciando ao mesmo tempo ou fases sendo puladas por interesse ou questões organizacionais.
Neste processo a modificação mais substancial é que houve o aumento de mais uma fase: a do “registro e relato”, enquanto a fase do “escopo, contexto e critério” ficou mais detalhada e definida.
Vamos ver as modificações:
1. Comunicação e Consulta: não houve alteração.
2. Escopo, Contexto e Critério
O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo, a compreensão dos contextos externo e interno.
Definindo o Escopo
Convém que a organização defina o escopo de suas atividades de gestão de riscos.
Como o processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, estratégico, operacional, projeto, meio ambiente, ou outras atividades), é importante ser claro sobre o escopo em consideração, os objetivos pertinentes a serem considerados e o seu alinhamento aos objetivos organizacionais.
Ao planejar a abordagem, as considerações incluem:
• Objetivos e decisões que precisam ser tomadas;
• Resultados esperados das etapas a serem realizadas no processo;
• Tempo, localização, inclusões e exclusões específicas;
• Ferramentas e técnicas apropriadas para o processo de avaliação de riscos;
• Recursos requeridos, responsabilidades e registros a serem mantidos;
• Relacionamentos com outros projetos, processos e atividades.
Contexto Interno e Externo
Os contextos externo e interno são o ambiente no qual a organização procura definir e alcançar seus objetivos.
Convém que o contexto do processo de gestão de riscos seja estabelecido a partir da compreensão dos ambientes externo e interno no qual a organização opera, e convém que reflita o ambiente específico da atividade ao qual o processo de gestão de riscos é aplicado.
Compreender o contexto é importante porque:
• A gestão de riscos ocorre no contexto dos objetivos e atividades da organização;
• Fatores organizacionais podem ser uma fonte de risco;
• Propósito e escopo do processo de gestão de riscos podem estar inter-relacionados com os objetivos da organização como um todo;
Os fatores de riscos podem e devem ser aproveitados da contextualização interna e externa, desta forma, ganha-se qualidades e tempo na identificação dos riscos.
Definindo Critérios
Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir relação aos objetivos. Convém também que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de tomada de decisão. Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam personalizados para o propósito específico e o escopo da atividade em consideração.
Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização e sejam consistentes com as políticas e declarações sobre gestão de riscos. Convém que os critérios de risco sejam estabelecidos levando em consideração as obrigações da organização e os pontos de vista das partes interessadas.
Embora convenha que os critérios de risco sejam estabelecidos no início do processo de avaliação de riscos, eles são dinâmicos; e convém que sejam continuamente analisados criticamente e alterados, se necessário.
Para estabelecer os critérios de risco, convém considerar:
• A natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis);
• Como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas e medidas;
• Fatores relacionados ao tempo;
• Consistência no uso de medidas;
• Como o nível de risco será determinado;
• Como as combinações e sequências de múltiplos riscos serão levadas em consideração;
• A capacidade da organização suportar.
Depois da fase do “Escopo, Contexto e Critério”, temos a fase da “Avaliação de risco”, que possui a identificação, análise de riscos e a avaliação de riscos com poucas mudanças.
Após ter o risco mensurado vem o “Tratamento dos Riscos”, que possui as subfases de escolha do tipo de tratamento, tendo em vista a política e criticidade do risco e a implementação dos planos de ações com os responsáveis e respectivos prazos.
A fase nova é a do “Registro e Relato”, que possui como pontos importantes:
I. Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados por meio de mecanismos apropriados. O registro e o relato visam:
• Comunicar atividades e resultados de gestão de riscos em toda a organização;
• Fornecer informações para a tomada de decisão;
• Melhorar as atividades de gestão de riscos;
• Auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com responsabilização por atividades de gestão de riscos.
II. Convém que as decisões relativas à criação, retenção e manuseio de informação documentada levem em consideração, mas não se limitem a: seu uso, sensibilidade da informação e contextos externo e interno.
III. O relato é parte integrante da governança da organização e convém que melhore a qualidade do diálogo com as partes interessadas e apoie a Alta Direção e os órgãos de supervisão a cumprirem suas responsabilidades. Os fatores a considerar para o relato incluem, mas não estão limitados a:
• Diferentes partes interessadas e suas necessidades específicas de informação e requisitos;
• Custo, frequência e pontualidade do relato;
• Método de relato;
• Pertinência da informação para os objetivos organizacionais e para a tomada de decisão.
A revisão da ISO 31000: 2018 teve como ponto importante a definição do seu escopo, pois desta forma abre o leque para qualquer tipo de risco, empresa e ou segmento, bastando para isso somente especificar e, a partir daí as métricas e ferramentas serão adaptadas de acordo com o escopo.
Pontos de melhoria que considero ainda importante e que não foram contemplados, como diretrizes:
1. Formalização da análise dos riscos inerentes e residuais. Ou seja, tem que fazer duas análises, uma sem controle e sistemas de segurança e outra medindo a eficácia de seus controles e quanto que estes controles conseguem baixar o risco. Desta forma, a empresa consegue priorizar quais riscos são considerados críticos e quais controles são chaves para serem implantados e ou mantidos em operação, visando o nível de risco;
2. A Inexistência da escolha formal de áreas e ou processos considerados críticos com foco no negócio, com o objetivo da alta gestão colocar uma lupa nestes processos e ou áreas estratégicas e saber os riscos críticos nestes processos e seus controles chaves;
3. Por último, a inexistência de classificar os fatores de riscos pela sua influência na concretização dos riscos. Pois um risco é composto por vários fatores e certamente não poderemos tratar todos, em função de não compensar tanto na relação custo benefício como também no seu nível de influência.