A ISO 31000 talvez seja a menos conhecida das normas ISO, o que não faz dela menos importante.
Afinal, ela trata dos riscos aos quais uma empresa está exposta.
No nosso dia a dia, ao sair de casa com o tempo nublado, por exemplo, avaliamos se há a necessidade de levar um guarda-chuva.
Basicamente, estamos medindo o grau de exposição ao risco, assim como em diversas situações cotidianas, o tempo todo.
No contexto empresarial, imagine o quão importante é estar ciente dos perigos potenciais.
É para dar conta da maioria das categorias de riscos no ambiente corporativo que existe a ISO 31000.
Para entender melhor como ela funciona e que benefícios ela traz, prossiga na leitura do texto abaixo!
ISO 31000: o que é?
De acordo com a última edição da ISO 31000, de 2018, risco nada mais é do que o “efeito da incerteza nos objetivos”.
Há riscos de diferentes níveis e magnitudes.
Entregar um produto errado por engano representa um problema bem diferente de um acidente em um canteiro de obras.
Assim, é preciso avaliar os riscos conforme suas consequências e probabilidade de virem a se concretizar.
É para dar respostas a essas questões que a ISO 31000 foi criada e continua sendo aperfeiçoada.
Veja a seguir algumas das suas aplicações em atividades produtivas.
Para que serve a ISO 31000
O capítulo 4 da ISO 31000:2018, redigida pela Associação Brasileira de Normas Técnicas (ABNT), deixa claro o propósito da norma: criar e proteger valor, melhorando o desempenho, encorajando a inovação e apoiando o alcance de objetivos.
A partir do texto normativo, fica evidente que a gestão de riscos deve assumir uma postura preventiva.
Ou seja, em vez de viver “apagando incêndios”, o ideal é que cada organização trabalhe o tempo todo no sentido de evitar que eles aconteçam.
Isso não se aplica somente aos grandes riscos.
Um único atendimento ruim, por exemplo, pode não gerar consequências graves no momento, mas se ele se repete, passa a ser uma ameaça aos objetivos de uma empresa.
É para ajudar a calcular os impactos dos diferentes riscos e suas matizes que serve a ISO 31000, por meio da qual a empresa se habilita a continuar gerando valor.
O que diz a norma ISO 31000?
O texto da norma também deixa claro o que se busca por meio da gestão de riscos no contexto corporativo/empresarial:
“Os princípios são a base para gerenciar riscos e convém que sejam considerados quando se estabelece a estrutura e os processos de gestão de riscos de uma organização. Convém que estes princípios possibilitem uma organização a gerenciar os efeitos da incerteza nos seus objetivos”.
Para que a norma produza efeitos conforme essa declaração, ela se apoia em um conjunto de 8 princípios que servem como base para a gestão dos riscos e que veremos a seguir.
Princípios da gestão de riscos na ISO
Quando decidimos levar um guarda chuva ao sair de casa em um dia nublado, tomamos uma decisão com base na avaliação do risco de ficar molhado, sujar a roupa e até de adoecer por isso.
No caso, essa decisão pode ser acertada, se a chuva for moderada ou leve, ou equivocada, se ela for acompanhada de fortes rajadas de vento.
Perceba que até mesmo uma tomada de decisão banal no nível pessoal está sujeita às incertezas e variantes que cercam um risco.
No contexto das empresas, decisões erradas podem custar muito mais do que um desconforto ou um resfriado.
Portanto, é preciso contar com mecanismos que permitam avaliar os riscos em todos os seus contextos.
Para isso, a ISO 31000 destaca um conjunto de 8 princípios que, combinados, servem para analisar as ameaças a que uma organização está exposta em quase sua totalidade.
A gestão de riscos precisa ser:
1. Integrada
“A gestão de riscos é parte integrante de todas as atividades operacionais”.
Uma organização não pode gerar valor se, ao gerir seus riscos, ela negligencia setores ou processos.
Da mesma forma que se faz necessário controlar os riscos envolvidos no processo de fabricação, é preciso também considerar os que estão ocultos nas rotinas administrativas.
Seja qual for a atividade operacional, a gestão de riscos deve se fazer presente.
Nesse sentido, cada parte de uma empresa vai demandar ferramentas de análise e controle adequadas às suas necessidades.
2. Estruturada e abrangente
“Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis”.
Não é por acaso que a ISO 31000 enfatiza a necessidade de aplicar a gestão de riscos de maneira aprofundada.
Se tratada superficialmente, é muito provável que ela não vá surtir os efeitos esperados, perdendo assim consistência.
A falta de resultados consistentes, por sua vez, leva a organização a afrouxar o controle ou a abandonar a gestão dos riscos de negócio.
Fazendo isso, ela deixa de formar um histórico evolutivo, ficando assim incapaz de comparar resultados com objetivos de melhoria.
3. Personalizada
“A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos”.
Outro equívoco cometido ao buscar a implementação da gestão de riscos é achar que o que é bom para uma organização necessariamente serve para outra.
Embora haja pontos comuns que possam ser adaptados, é fundamental que sejam avaliados primeiro os focos de falhas e erros externos e internos.
Tem a ver com o que se faz na análise SWOT, em que um negócio é mapeado conforme esses dois cenários a partir das oportunidades e ameaças.
4. Inclusiva
“O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados, resultando em mais conscientização e gestão de riscos fundamentada”.
Empresas são compostas por pessoas, que formam equipes, setores e departamentos.
Assim, é essencial que todos estejam envolvidos e comprometidos com os resultados esperados conforme o que a gestão de riscos apontar.
Essa é também uma forma de manter os colaboradores de todos os níveis engajados e, em consequência, motivados em suas rotinas.
Com isso, espera-se que eles desempenhem suas tarefas com mais atenção e, assim, a incidência de falhas tende a diminuir.
5. Dinâmica
“Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudam. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de maneira oportuna”.
O quinto princípio da ISO 31000 reforça a necessidade de melhorar continuamente para dar conta das ameaças conforme elas se apresentam.
Essa postura se faz ainda mais necessária no contexto VUCA, em que a realidade se apresenta Volátil, Incerta, Complexa e Ambígua (na sigla em inglês).
6. Baseada na melhor informação disponível
“As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras”(…)
Como todo processo de gestão, a de riscos não pode prescindir de informações estruturadas, coletadas sistematicamente de fontes fidedignas.
Nesse aspecto, a tecnologia desempenha um papel dos mais relevantes, permitindo a coleta, armazenamento e tratamento de dados conforme os princípios Big Data.
7. Ciente dos fatores humanos e culturais
“O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de risco em cada nível e estágio”.
Já que empresas são formadas por pessoas, nada mais adequado que observar seus comportamentos e condicionamentos ao implementar a gestão de riscos.
Para aplicação desse princípio, é de grande valia para a empresa articular ações e estratégias em conjunto com o setor de RH.
8. Focada em melhoria contínua
“A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências”.
Como preconiza a filosofia Kaizen, uma organização só se mantém competitiva quando investe na melhoria contínua de seus processos.
Veja neste e-book de que forma o Kaizen se aplica aos negócios!
Quem deve seguir a ISO 31000?
Quanto mais exposta a riscos operacionais uma empresa estiver, mais necessidade de seguir a ISO 31000 ela terá.
Dessa forma, todas as organizações passíveis de riscos à saúde, meio ambiente e segurança precisam observar os seus princípios.
Quais os benefícios da ISO 31000 para as empresas?
A implementação da gestão de riscos é um investimento.
Dessa forma, espera-se que ele gere retorno, o que no caso da ISO 31000 se observa a partir das vantagens que ela normalmente traz.
Veja abaixo algumas delas:
- Mais controle sobre processos sujeitos a falhas ou acidentes
- Redução dos custos gerados por erros em atividades repetitivas
- Melhora nos padrões operacionais como um todo
- Geração de valor para a empresa e para seus stakeholders.
O que é a certificação ISO 31000?
Criada em 2009 pela International Organization for Standardization (ISO), a ISO 31000 é uma norma de acreditação internacional que comprova que uma organização mantém o controle sobre seus riscos.
Trata-se de uma importante chancela para todas as empresas no sentido de reduzir o impacto das ameaças externas e internas, além de uma forma de reforçar a credibilidade.
Profissionais capacitados em gestão de riscos têm neste certificado um importante diferencial, que impulsionará suas carreiras em todos os aspectos.
Como conseguir a ISO 31000 completa?
A ISO 31000 completa pode ser comprada no site da ISO em 4 diferentes formatos: PDF+EPUB, PDF+EPUB+REDLINE, papel ou apenas em PDF.
Todas as versões são em inglês, exceto a PDF+EPUB, que pode ser adquirida em francês.
Qual a relação da ISO 31000 com a gestão da qualidade?
Como vimos, a gestão de riscos deve ser integrada a todas as áreas de uma organização.
Portanto, as outras normas ISO acabam por complementar a gestão de riscos, principalmente a ISO 9001, que trata da gestão da qualidade.
Afinal, uma empresa que zela pela qualidade em seus produtos, processos e serviços é, além de tudo, uma empresa menos exposta aos riscos.
Vale também apostar em outras certificações ISO para gerar ainda mais valor e, com isso, passar uma imagem muito mais confiável para o mercado.
Um bom exemplo disso é a ISO 14001, cujo foco é o respeito às melhores práticas visando à sustentabilidade e a preservação do meio ambiente.
Conclusão
As normas ISO são muito importantes porque evidenciam que a empresa de fato controla seus processos.
Para ser um profissional capacitado na implementação dessas normas, é preciso se preparar muito bem, já que os exames são rigorosos.
Uma maneira de começar essa preparação é conhecer a metodologia Lean, pelos cursos da Escola EDTI nas modalidades green belt e black belt.