Por Alberto Bastos - www.administradores.com.br
A partir de outubro de 2009 corporações dos mais diversos portes e segmentos contarão com uma norma universal voltada especificamente à Gestão de Riscos. Batizada de ISO 31000: Principles and guidelines for risk management, a nova série de orientações da International Organization for Standardization (ISO) surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormente e que de alguma forma estão relacionados com a gestão de riscos.
A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos ligados aos diferentes setores da organização, tais como financeiro e de projetos, bem como à área da saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade.
Até agora, porém, a falta de um consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos faz com que as organizações enfrentem dificuldades em integrar as suas diferentes funções e atividades relativas ao assunto. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, ocasionando muitas vezes a geração dos chamados silos ou ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das áreas da empresa.
Por conta disso, o grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos. Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), a nova norma não concorre com outras orientações já existentes como a ISO/IEC 27005 - norma técnica específica de gestão de riscos em segurança da informação -, fornecendo orientações e alinhamento com outros conjuntos de regras específicos.
Da mesma forma que as normas ISO 9000 na área da Qualidade e a ISO 14000 na área de Meio Ambiente tornaram-se referências para adoção e implementação da gestão destes temas nas organizações, a partir do lançamento da ISO 31000 os países passarão a contar com uma norma de gestão de riscos com reconhecimento internacional. Neste cenário, o Brasil, através da Comissão de Estudo Especial para Gestão de Riscos da ABNT (Associação Brasileira de Normas Técnicas), promete caminhar na liderança deste movimento. A versão brasileira da norma está sendo desenvolvida com o apoio de especialistas em gestão de riscos de várias empresas no país para atender às necessidades específicas do mercado nacional e deverá ser lançada quase que simultaneamente à versão original.
*Alberto Bastos é sócio-fundador da Módulo – empresa brasileira especializada em tecnologia para Governança, Riscos e Compliance (GRC) - e Coordenador no Brasil da Comissão Especial da Associação Brasileira de Normas Técnicas (ABNT) sobre as Normas de Gestão de Riscos.
A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos ligados aos diferentes setores da organização, tais como financeiro e de projetos, bem como à área da saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade.
Até agora, porém, a falta de um consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos faz com que as organizações enfrentem dificuldades em integrar as suas diferentes funções e atividades relativas ao assunto. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, ocasionando muitas vezes a geração dos chamados silos ou ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das áreas da empresa.
Por conta disso, o grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos. Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), a nova norma não concorre com outras orientações já existentes como a ISO/IEC 27005 - norma técnica específica de gestão de riscos em segurança da informação -, fornecendo orientações e alinhamento com outros conjuntos de regras específicos.
Da mesma forma que as normas ISO 9000 na área da Qualidade e a ISO 14000 na área de Meio Ambiente tornaram-se referências para adoção e implementação da gestão destes temas nas organizações, a partir do lançamento da ISO 31000 os países passarão a contar com uma norma de gestão de riscos com reconhecimento internacional. Neste cenário, o Brasil, através da Comissão de Estudo Especial para Gestão de Riscos da ABNT (Associação Brasileira de Normas Técnicas), promete caminhar na liderança deste movimento. A versão brasileira da norma está sendo desenvolvida com o apoio de especialistas em gestão de riscos de várias empresas no país para atender às necessidades específicas do mercado nacional e deverá ser lançada quase que simultaneamente à versão original.
*Alberto Bastos é sócio-fundador da Módulo – empresa brasileira especializada em tecnologia para Governança, Riscos e Compliance (GRC) - e Coordenador no Brasil da Comissão Especial da Associação Brasileira de Normas Técnicas (ABNT) sobre as Normas de Gestão de Riscos.