Teremos mudanças significativas na estrutura dos requisitos da nova norma ISO 9001 versão 2015, que até agora passarão a ser 10 requisitos ao invés dos oito atuais. Mas o que mais tem marcado as mudanças nessa nova norma certamente é a questão da Gestão de Riscos.
Aquelas empresas que estão tendo dificuldades hoje em manter a ISO 9001:2008 se prepararem, se as mudanças se confirmarem existirão mais dificuldades.
Em 2009 foi lançada a versão brasileira da norma de gestão de riscos, a ABNT NBR ISO 31000:2009 - Gestão de Riscos - Princípios e Diretrizes. Muitas são as pessoas que já estão estudando e iniciando processos de implantação desta norma em empresas, a quantidade de publicações e cursos sobre o tema também vêm aumentando.
A consulta as partes interessadas, tanto externas quanto internas é essencial num processo de gestão de riscos. Isso deverá ocorrer em todas as fases, tanto no estabelecimento dos critérios de risco, na identificação, avaliação e tratamento de riscos ou em ocorrências de sinistros. A cada momento é necessário que a organização tenha as ferramentas e técnicas adequadas para a comunicação. Um dos princípios da gestão de riscos é que o processo de gerenciar riscos deve ser parte integrante de todos os processos organizacionais, para que isso possa ser concretizado, um bom plano de comunicação deve ser planejados nas etapas iniciais.
Nesse momento são definidos os critérios para gestão de riscos e o escopo da gestão. O contexto deve ser dividido em contexto interno e externo a organização. No contexto interno a organização deve analisar a sua estrutura organizacional, processos, responsabilidades, os sistemas de informação internos e o diálogo e relações com as partes interessadas internas. No contexto externo questões como o ambiente cultural, legal, social, político, financeiro, tecnológico, e econômico devem ser avaliados, assim como a relação com partes interessadas externas, sua percepção e valores.
Essa é a fase onde um conjunto de riscos devem ser identificados, nesta etapa o objetivo é gerar uma lista abrangente de riscos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. Um risco não identificado nesta fase não será incluído em análises posteriores, por isso é importante que muita atenção e esforço sejam feitas nessa análise. A tendência é que as organizações com o tempo passem a incrementar essa lista com novas fontes de risco, o processo deve melhorar continuamente.
A análise de riscos vai fornecer uma compreensão sobre os riscos. Envolve a apreciação das causas e das fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Nessa etapa a organização deverá analisar todos os riscos identificados, verificando quais são as consequências e probabilidade dos riscos, isso será insumo para a etapa posterior.
Segundo a ISO 31000 "a análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo da circunstância a análise pode ser qualitativa, semiquantitativa, quantitativa ou uma combinação destas." Organizações menores com menos recursos tecnológicos terão mais dificuldade de conduzir uma análise quantitativa dos riscos, mas isso não impede que um processo de gestão possa ser estabelecido e traga resultados satisfatórios.
Quais riscos precisam de tratamento? Qual a prioridade para implementação do tratamento? Este é o momento de dizer, por exemplo, se um risco deve ou não ser tratado e com qual prioridade.
A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado. Com base nesta comparação, a necessidade de tratamento pode ser considerada.
Segundo a ISO 31000 "O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes". Aqui são implementados os planos de ação para tratamento dos riscos.
Em geral, riscos podem ser:
- Evitados, não realizar a atividade;
- Aumentados, quando eles forem uma oportunidade (risco positivo);
- Remoção da fonte de risco;
- Redução da probabilidade de ocorrer;
- Redução da consequência;
- Compartilhados com terceiros (seguros por exemplo);
- Retidos por uma decisão bem consciente e embasada.
Ao longo do processo de gestão de riscos a melhoria contínua deverá acontecer. Ao longo da utilização da metodologia os critérios de riscos poderão ser alterados, novas ocorrências poderão incrementar as listas de riscos e oportunidades poderão ser consideradas. O contexto interno e externo podem sofrer alterações e a organização aprender com seus sucessos e falhas. Você poderá criar indicadores também para o seu processo de gestão de riscos e identificar pontos de melhoria a cada medição.
A ISO 31000 fornece as empresas uma excelente diretriz para a gestão de riscos, aproveitar essa ferramenta e integrá-la a sua estrutura de gestão poderá ser um bom ingrediente para manter o seu negócio sustentável e sob controle numa visão de longo prazo. A nova ISO 9001 2015 terá a gestão de riscos em sua estrutura, então, está aí um bom momento para começar a conhecê-la.
