MERCADO

 

 Revisão da
ISO 31000:2018

o que mudou
de estratégico?

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS

Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique, pela

Université East Paris - Marne La Vallée – Paris – França, é presidente da Brasiliano INTERISK.

abrasiliano@brasiliano.com.br

A ISO 31000:2018 sofreu uma revisão para fornecer uma visão mais holística e estratégica aos gestores, além de detalhar as metodologias a serem utilizadas em cada disciplina de risco.

ISO 31000: 2018 Gestão de Riscos – Diretrizes - Revisão

 

A ISO 31000: 2009 Gestão de Riscos sofreu também uma revisão, que no Brasil está em consulta pública, através do Grupo da ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018 e já publicada internacionalmente em janeiro de 2018, pela Technical Committee Risk Management (ISO/TC 262), conforme ISO/IEC Guide 21-1:2005, sob a denominação ISO 31000:2018 Gestão de Riscos - Diretrizes.

 

Na verdade, sua revisão foi, na minha opinião, estrutural e ampliou sua visão oficialmente para o nível estratégico. A estrutura da norma não sofreu modificações substanciais, ficando com os seguintes tópicos:

 

1. Referências Normativas

2. Termos e Definições

3. Princípios

4. Estrutura

5. Processo

Referências Bibliográficas

 

O escopo, referências, termos e definições tiveram modificações pontuais.

 

As principais mudanças estruturais foram:

 

1. Princípios

Princípios ISO 31000 2018

Possui um Framework com seus princípios, focando a criação e proteção de valor para a empresa, que foram reduzidos de onze para oito e servem de orientação para que a gestão de riscos seja eficaz e eficiente.

Figura 1: Princípios da ISO 31000:2018

Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018

A gestão de riscos eficaz requer os elementos da figura acima e pode ser explicada como:

a. Integrada

A gestão de riscos é parte integrante de todas as atividades organizacionais.

 

b. Estruturada e abrangente

 

Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis.

 

c. Personalizada

 

A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos.

 

d. Inclusiva

 

O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conheci­mentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada.

 

e. Dinâmica

 

Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna.

 

f. Melhor informação disponível

As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limi­tações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes.

 

g. Fatores humanos e culturais

 

O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão de riscos em cada nível e estágio.

 

h. Melhoria contínua

 

A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.

2. Estrutura

Na sua estrutura ficou ressaltada a responsabilidade da alta administração e a integração com o sistema de governança corporativa. A eficácia da gestão de riscos depende da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Ou seja, a Gestão de Riscos faz parte do nível estratégico da empresa. Isto requer apoio das partes interessadas, em particular da Alta Direção.

 

O framework da estrutura não segue de forma direta o ciclo do PDCA, mas sim com cinco elementos, onde deve haver liderança e comprometimento. São eles segundo a figura 2 ao lado:

Figura 2: Estrutura da ISO 31000:2018

Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018

Estrutura ISO 31000 2018

a. Liderança e comprometimento

Convém que a Alta Direção e os órgãos de supervisão - segunda linha de defesa - assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, convém que demonstrem liderança e comprometimento por:

• Personalizar e implementar todos os componentes da estrutura;

• Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos;

• Assegurar que os recursos necessários sejam alocados para gerenciar riscos;

• Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização;

 

Isto vai ajudar a organização a:

• Alinhar a gestão de riscos com seus objetivos, estratégia e cultura;

• Reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários;

• Estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desen­volvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas;

• Comunicar o valor da gestão de riscos para a organização e suas partes interessadas;

• Promover o monitoramento sistemático de riscos;

• Assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.

 

A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são res­ponsabilizados por supervisionar a gestão de riscos. Com frequência, é requerido ou esperado que os órgãos de supervisão:

• Assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização;

• Compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;

• Assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente;

• Assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização;

• Assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.

 

b. Integração

A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto orga­nizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. Todos na organização têm respon­sabilidade por gerenciar riscos.

 

Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização. Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, estratégia, objetivos e operações.

c. Concpeção

Esta é uma das partes mais sensíveis a ser verificada e estudada pela gestão de riscos.

 

- Entendendo a organização e seu contexto

Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno.  

Examinar o contexto externo quer dizer Cenários Prospectivos, Incertezas Críticas para o negócio e incluem, mas não está limitado a: fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; direcionadores-chave e tendências que afetem os objetivos da organização; relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; relações e compromissos contratuais e complexidade das redes de relacionamento e dependências.

Já o ambiente interno da organização pode incluir, mas não está limitado a: visão, missão e valores; governança, estrutura organizacional, papéis e responsabilizações; estratégia, objetivos e políticas; cultura da organização; normas, diretrizes e modelos adotados pela organização; capacidades entendidas em termos de recursos e conhecimento (por exemplo: capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); dados, sistemas de informação e fluxos de informação; relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; relações contratuais e compromissos e interdependências e interconexões.

 

- Articulando o comprometimento com a gestão de riscos

Convém que a Alta Direção e os órgãos de supervisão, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização. Convém que o comprometimento inclua, mas não se limite a:

• O propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; reforçar a necessidade de integrar a gestão de riscos na cultura global da organização; liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; autoridades, responsabilidades e responsabilizações; tornar disponíveis os recursos necessários; a maneira pela qual os objetivos conflitantes são tratados; medi&cce