O que você precisa saber sobre a ISO 31000

Hoje queremos falar sobre as diretrizes de gerenciamento de risco ISO 31000 – 16 páginas gloriosas que definem o que há de melhor em gerenciamento de risco. É um livro com tanta autoridade e sabedoria inestimável que quando o “The IRM” tentou desembalar o livro com seu artigo, “A Risk Practitioners Guide to ISO 31000”, eles acabaram acrescentando 4 páginas.

É tão bom assim.


… A maior parte do tempo, pelo menos.

Desta vez, eles fizeram com que fosse denso, excessivamente complicado e confuso em alguns pontos. Acerta os aspectos gerais, mas fica atolado em suas explicações. É um exemplo de acadêmicos que se apaixonam profundamente por seu assunto e nunca deixam seus escritórios como resultado. Fica ótimo no papel, mas nem sempre se traduz para o mundo exterior.


Este artigo tentará contextualizar o documento em práticas do mundo real. Nós não o seguimos com precisão. Nós o sacudimos, rejeitamos algumas coisas, e trocamos a ordem de alguns de seus elementos. Honramos sua essência, melhorando seus detalhes. No processo, construímos um sistema que funciona muito bem, não importa o que uma empresa faça e em que setor ela esteja. Quem somos nós para desconstruir e reivindicar uma melhoria para a amada ISO 31000?

Nós somos a RISKID. Acostume-se a isso.


A ISO 31000 está organizada em três seções principais – princípios, estrutura e processo. Discutiremos cada uma delas e demonstraremos como as colocamos em prática.

Princípios da Gestão de Riscos

Mentimos quanto à parte dos princípios. Porque estes são relativamente simples e não precisam de nenhuma informação extra, por isso vamos apenas enumerá-los. A ISO é fundada em oito princípios que descrevem características essenciais de uma gestão de risco eficiente e eficaz. Eles são úteis para explicar o propósito da ISO e para comunicar seu valor.

Figura 1: Princípios da ISO 31000

As seguintes descrições provêm diretamente do documento da ISO. Elas são confiáveis, portanto, questione-as por sua própria conta e risco. De acordo com os autores, a gestão de risco deve ser:

Integrado

RA gestão de riscos é parte integral de todas as atividades organizacionais.

Estruturado e Abrangente

Uma abordagem estruturado e abrangente da gestão de riscos contribui para resultados consistentes e comparáveis.

Personalizado

A estrutura e o processo de gerenciamento de risco são personalizados e proporcionais ao contexto externo e interno da organização relacionado a seus objetivos.

Inclusivo

O envolvimento adequado e adequado dos stakeholders permite que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em uma melhor conscientização e uma gestão de risco informada.

Dinâmico

Os riscos podem surgir, mudar ou desaparecer à medida que o contexto externo e interno de uma organização muda. A gestão de riscos antecipa, detecta, reconhece e responde a essas mudanças e eventos de maneira apropriada e oportuna.

Use as melhores informações disponíveis

As contribuições para o gerenciamento de risco são baseadas em informações históricas e atuais, bem como em expectativas futuras. O gerenciamento de risco leva em conta explicitamente quaisquer limitações e incertezas associadas a tais informações e expectativas. As informações devem ser precisas, claras e disponíveis para as partes interessadas relevantes.

Considere Fatores Humanos e Culturais

O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de risco em cada nível e etapa.

Busque a Melhoria Contínua

A gestão de riscos é continuamente melhorada através do aprendizado e da experiência.

Oito princípios que preparam o cenário para tudo o que está por vir. Eles são um guia para ajudar as organizações a desenvolver uma estrutura prática de gestão de riscos – a estrutura sobre a qual estamos prestes a falar.

Framework de Gestão de Riscos

O gerenciamento de risco só pode ser eficaz quando integrado às atividades relevantes de uma organização em um nível essencial. A ISO 31000 fornece as ferramentas necessárias para incorporar plenamente o gerenciamento de riscos às funções de governança e tomada de decisões.

Ela também ajuda a construir o apoio da gerência e de outras partes interessadas. A adesão é fundamental em todos os níveis, assim como a necessidade de personalizar este framework para atender às necessidades individuais de uma organização. Se não for tomado o cuidado de adaptar o framework para atender às metas específicas de cada grupo, sua utilidade é limitada.

A ISO 31000 divide sua estrutura em seis amplos componentes – Liderança e Compromisso, Integração, Desenho, Implementação, Avaliação e Melhoria. Essa estrutura iterativa se baseia em esforços anteriores, constantemente se aprimorando para melhor se adequar aos objetivos de uma organização.

Figura 2: Framework da ISO 31000 Framework simplificado

Simplificamos esse framework para ajudar a desenvolver um fluxo mais direto e lógico, combinando etapas e reordenando outras quando necessário. Nós lhe informaremos como nossa estrutura se relaciona com o framework original à medida que avançamos, para que fique claro porque fizemos as mudanças que fizemos.

Mas o início continua o mesmo porque é um primeiro passo crucial. Nada disso funciona se a alta gerência não aceitar e apoiar ativamente os esforços de gerenciamento de risco.

1.   Compromisso da alta gerência

(= Liderança e Compromisso)

A gestão de riscos flui de cima para baixo. A alta gerência serve como um condutor e um exemplo de procedimentos adequados. Cabe a eles formalizar um plano de ação, comunicar seu valor, destinar os recursos necessários e estabelecer estruturas de comando e controle.

Um esforço conjunto e consistente começando pelo topo ajuda uma organização a alinhar a gestão de riscos com seus objetivos, estratégia e cultura e monitorar seu progresso.

Na prática, deve-se designar um CRO ou algum outro equivalente de líder de risco. Atribua-lhes a tarefa de implementar estruturas adequadas de gerenciamento de risco e assegurar que essas estruturas recebam a atenção que merecem no nível da diretoria/gestão.

Se eles não puderem se esforçar para isso, então o primeiro passo é chegar ao nível apropriado de maturidade de risco antes de fazer qualquer implementação ou investimento de gerenciamento de risco.

2.   Alinhe as metas estratégicas aos departamentos

(= Desenho)

Esta etapa incorpora a maior parte da fase de Projeto da ISO 31000. O projeto ocorre em terceiro lugar, após a integração, mas em nossa opinião, você não pode falar de integração até que seu trabalho de projeto esteja completo.

Para projetar adequadamente um framework de gerenciamento de risco, é importante adequá-la aos contextos internos e externos de sua organização. Internamente, isto significa compreender como sua missão, governança, objetivos, capacidades e cultura influenciam os fatores de risco. Externamente, você deve considerar fatores sociais, culturais, políticos e regulamentares, bem como as principais tendências que afetam os objetivos da empresa e as relações críticas das partes interessadas externas.

A alta gerência também deve estar preparada para articular claramente o compromisso da organização com o gerenciamento de riscos, definir responsabilidades, fornecer os recursos necessários, criar uma estrutura de monitoramento e determinar como medir o sucesso.

No final, todos esses fatores e sua estrutura de gerenciamento de risco devem estar diretamente ligados aos objetivos da empresa. Os riscos identificados em todos os níveis devem ser rastreados até essas metas para realizar o propósito do gerenciamento de riscos – para evitar perigos que atrapalhem seus objetivos e, ao mesmo tempo, aproveitar com sabedoria e prudência os riscos que oferecem oportunidades críticas para o sucesso.

3.   Pratique a gestão de risco em toda a organização

( = Integração e Implementação)

Este próximo passo combina integração e implementação a partir da ISO, reconhecendo suas inevitáveis interações.

O risco deve ser gerenciado em todos os níveis dentro da estrutura de uma organização. A integração adequada envolverá necessariamente todos os membros. Decidir sobre uma estrutura de responsabilização e papéis e responsabilidades, desde a governança até a administração, é um passo crítico.

Isto envolve desenvolver um plano apropriado, identificando como diferentes tipos de decisões são tomadas e por quem, e certificando-se de que estas disposições de gerenciamento de risco sejam claramente compreendidas e praticadas.

Pode ser difícil lidar com isso em toda uma organização ao mesmo tempo. Na prática, muitas vezes é melhor começar com um único departamento ou disciplina. Determinar qual tem a maior maturidade de risco e implantar seu framework. Use isto como uma história de sucesso para comunicar os benefícios do gerenciamento de riscos. Aponte para resultados específicos e explique como eles podem se expandir para o resto da organização. Isto torna muito mais fácil chegar a um consenso.

4.   Avalie e melhore o framework

(= Avaliação e Melhoria)

Como Avaliação e Melhoria são dois lados da mesma moeda, combinamos essas duas últimas etapas aqui.

Para manter sua estrutura de gerenciamento de risco relevante e útil, é importante medi-la periodicamente em relação a seu propósito, planos de implementação, indicadores e comportamento esperado. Os elementos que permanecem aplicáveis devem ser continuamente refinados e melhorados. Aqueles que estão perdendo importância devem ser adaptados para se adequarem às suas circunstâncias em mudança.

Na prática, essas avaliações devem ser realizadas trimestralmente ou anualmente, dependendo das situações internas e externas de sua organização. Se você opera em um ambiente altamente volátil, exames mais frequentes estão em ordem. Caso contrário, check-ins anuais são bons.

Seu CRO deve conduzir estas avaliações com feedback do local de trabalho. Decida com o máximo de detalhes possível o que ainda está funcionando e o que pode ser melhorado.

Estas quatro etapas definem seu framework de gerenciamento de risco, estabelecem as estruturas necessárias e garantem que ela permaneça aplicável. Uma vez que isto esteja em vigor, você estará pronto para construir seu processo de gerenciamento de risco.

Processo de Gestão de Riscos

Seu framework define a importância da gestão de riscos para a organização, adequa-se a suas obrigações internas e externas específicas e estabelece as estruturas de comando e controle necessárias para a execução.

Dentro desse framework, você define as políticas, procedimentos e práticas específicas que todos os stakeholders devem seguir. Este é o processo que sua organização seguirá para garantir o seu sucesso. Estas políticas devem ser uniformes em todos os níveis estratégicos, operacionais, de programa e de projeto e ser parte integrante da administração e da tomada de decisões.

Como o framework anterior, seu processo deve ser iterativo, procurando sempre aperfeiçoar e melhorar a si mesmo. Também vale a pena mencionar que alteramos o processo definido na ISO 31000. As premissas básicas não mudaram, mas reordenamos um pouco do conteúdo para ajudar na implementação e criar um fluxo mais lógico.

Figura 3: Processo simplificado da ISO 31000

1.   Definir Escopo

Ao construir seu processo de gestão de riscos, você deve estar sempre ciente do escopo em questão. Você está olhando para a organização como um todo, para um departamento específico ou para uma função específica? Como seus processos existem para promover os objetivos de sua organização, você deve adequar as metas que você examina ao escopo da amostra em questão.

Na prática, você pode definir objetivos estratégicos, departamentais e de projeto, questionando seu cliente interno para o escopo a ser definido. Pergunte quais riscos eles consideram que poderiam impedi-los de alcançar seus objetivos. Certifique-se de que eles falem ao nível que você está definindo. Por exemplo, se eles operam em um nível de projeto, não os questione sobre os objetivos da empresa. Mantenha-os em sua linha de atuação.

2.   Brainstorm sobre Riscos

Você não pode gerenciar riscos dos quais não está ciente. Este passo reúne todos os stakeholders para identificar os muitos perigos que sua organização enfrenta. Ao fazer um brainstorming, tente manter as pessoas concentradas em ameaças específicas, suas ramificações positivas e negativas, as incertezas que as cercam e o prazo dentro do qual operam. Determine tanto as causas quanto os efeitos de cada risco considerado.

Envolva os stakeholders de todos os níveis da organização. Isto ajudará a garantir que você cubra todas as ameaças e oportunidades enfrentadas/disponíveis ao grupo. E certifique-se de que os stakeholders compreendam que os riscos não são todos negativos. Alguns riscos se assemelham a oportunidades, mas devido às incertezas subjacentes, ainda são empreendimentos arriscados.

Dadas as restrições atuais da COVID, esta etapa não precisa ser executada pessoalmente. É bom aproveitar uma plataforma on-line que permite aos stakeholders inserir seus riscos com segurança em seu próprio tempo.

3.   Pontuar Riscos

Alguns riscos são mais suscetíveis de afetar sua organização do que outros. E alguns têm efeitos de tamanho maior em relação aos demais. Para usar eficientemente os recursos disponíveis para mitigar/ tirar vantagem da maior quantidade possível de riscos, você deve pontuar cada risco para determinar o quanto ele é urgente. Lembre-se de que os riscos podem ter múltiplas causas e afetar múltiplos objetivos.

Seu critério de pontuação deve incluir a probabilidade de eventos e o impacto das consequências.

Ao pontuar riscos, é aconselhável permitir que todos os stakeholders, independentemente da posição ou departamento, forneçam suas ideias sobre a probabilidade e o impacto dos riscos identificados. Muitas vezes há uma polinização cruzada dos riscos em toda a organização. Quanto mais perspectivas você considerar, mais holística será a sua compreensão.

4.   Discutir os Riscos

Uma boa discussão revelará conexões escondidas. Você pode descobrir que um risco de evasão é na verdade uma oportunidade quando considerado a partir da perspectiva correta. Isto é particularmente verdadeiro em relação aos riscos que ainda não chegaram a um consenso entre os participantes.

Em uma série de reuniões on-line, em grupo, discuta esses riscos até que um entendimento compartilhado seja alcançado. Em seguida, crie uma lista final, priorizada, de todos os riscos em discussão.

5.   Definir e atribuir medidas mitigadoras

Uma vez detalhados os riscos que você está enfrentando, você precisa decidir a melhor maneira de lidar com eles. A ISO 31000 lista estas opções:

  • Evitar o risco decidindo não iniciar ou continuar com a atividade que lhe dá origem
  • Assumir ou aumentar o risco a fim de buscar uma oportunidade
  • Remover a origem do risco
  • Mudar a probabilidade de uma situação adversa
  • Mudar as consequências que envolvem o risco
  • Compartilhar o risco (por exemplo, através de contratos, compra de seguros)
  • Manter o risco por decisão informada

Como anteriormente, é aconselhável obter perspectivas dos stakeholders em toda a organização. Uma vez elaborado um plano de tratamento, deve-se atribuir riscos críticos e suas medidas a um responsável específico para ter certeza de que cada um seja devidamente monitorado.

6.   Implementar Medidas e Monitorar o Progresso e os Riscos

Certifique-se de que todos compreendam o que está envolvido na mitigação dos riscos presentes em sua esfera de influência. Este plano deve incluir as razões pelas quais opções de tratamento específicas foram selecionadas, os benefícios esperados, as responsabilidades, as ações propostas, quaisquer restrições relevantes e o método com o qual tanto o risco quanto o progresso serão monitorados e medidos.

Como já dissemos, o gerenciamento de risco é um processo iterativo. Os tratamentos que funcionam são continuados e melhorados – aqueles que não são ajustados ou substituídos. Ter processos de monitoramento apropriados no local fornecerá à sua equipe o feedback necessário para avaliar a eficácia de cada intervenção.

Faça com que os responsáveis pelas medidas atualizem seu progresso regularmente. Isto permitirá que as notas de risco sejam ajustadas para cima ou para baixo à medida que as opções de tratamento forem se desenvolvendo.

7.   Relatar e Atualizar Periodicamente os Riscos e as Medidas

Documentar os resultados do tratamento cria um recurso para comunicar as atividades de gestão de riscos de uma organização a todos os stakeholders. Isso também centraliza informações para ajudar na tomada de decisões, na melhoria do gerenciamento de riscos e na prestação de contas. O uso de um painel de controle pode ajudar os stakeholders a interpretar as informações.

Na prática, a gerência deve relatar os principais riscos, comparando o progresso com o status relatado. Dependendo do grau de significância do risco, isto pode ser feito semanal, mensal ou trimestralmente. Junto com estas comparações, deve-se realizar periodicamente sessões de risco atualizadas com os stakeholders para alterar riscos e medidas, removendo riscos obsoletos e verificando a existência de novos riscos.

8.   Aprenda Lições e Melhore os Processos

O resultado de suas atividades de monitoramento, relatórios e discussão devem ser lições úteis que levem à melhoria dos processos e a uma melhor gestão dos riscos. 

Por exemplo, você pode descobrir que uma medida específica de tratamento não funciona como pretendido e custa bastante para processar. Os gerentes devem aprender com isso e certificar-se de não seguir a mesma estratégia no próximo projeto. Você também pode descobrir um novo risco em um projeto que deve ser mitigado em todos os projetos futuros.

As melhorias não se limitam apenas às medidas de tratamento de risco. Os processos usados para monitorar e descobrir riscos também devem ser levados em conta. Os gerentes de risco podem aprender novas técnicas que aumentam a eficácia das sessões de avaliação de risco.

Pensamentos Finais sobre a ISO 31000

Esperamos que este artigo esclareça algumas das dificuldades que as pessoas têm com esta norma. É um documento imaculadamente concebido que é relevante, não importa o tamanho de sua organização ou o que ela faz. Ao contextualizá-lo em práticas reais, sua linguagem densa resulta em um método aprofundado para analisar e lidar com o risco organizacional.

Se você tiver alguma dúvida sobre a ISO 31000, ficaremos felizes em discuti-la com você. A análise dos processos de gerenciamento de risco é a forma como dedicamos nosso tempo.

Temos todas as respostas? Certamente não. A norma e suas práticas continuarão a ser refinadas por profissionais de gerenciamento de risco. Mas oferecemos soluções de software poderosas para ajudar suas equipes a avaliar, gerenciar e pontuar riscos em um ambiente colaborativo e on-line. Ligue para nós hoje mesmo para saber mais.