A natureza do risco envolve a incerteza e os possíveis desvios dos objetivos estabelecidos por uma empresa, e segundo a ISO, o risco é definido como o "efeito da incerteza nos objetivos", podendo ser positivo, negativo ou uma simples variação em relação ao esperado. Essa definição vincula o risco diretamente aos objetivos da empresa, exigindo que esses objetivos sejam claramente definidos e que suas premissas sejam constantemente desafiadas e testadas.
Os impactos do risco podem ser classificados em três categorias principais: estratégico, tático e operacional. Sendo que os riscos estratégicos envolvem decisões de longo prazo que podem afetar significativamente a direção e o sucesso futuro da empresa, enquanto que os riscos táticos estão associados a projetos específicos, fusões e aquisições ou desenvolvimento de novos produtos, e já os riscos operacionais estão relacionados às atividades diárias da empresa, como falhas em sistemas de TI, perda de dados e erros operacionais.
Neste sentido este documento da ISO 31000 é sem dúvida uma das principais referências da área, por isto queria falar um pouco mais dela, que para quem ainda não conhece, é uma norma internacional desenvolvida pela ISO - International Organization for Standardization (Organização Internacional para Padronização), que fornece princípios e diretrizes para a gestão de riscos, que pode ser aplicável a qualquer tipo de empresa, independentemente do seu tamanho, atividade ou setor, e tem como objetivo fornecer um "framework" (metodologia sistematizada) para a gestão de riscos que possa ser integrado aos sistemas de gestão já existentes.
A ISO 31000 tem como principais objetivos:
- Aumentar a Probabilidade de Alcançar Objetivos: Ao gerir riscos de forma eficaz, as empresas podem minimizar as incertezas e maximizar as oportunidades.
- Melhorar a Identificação de Oportunidades e Ameaças: Uma gestão de riscos bem estruturada ajuda a identificar riscos e também as oportunidades que possam afetar a empresa.
- Alocar e Utilizar Recursos de Forma Eficiente: A gestão de riscos permite uma melhor alocação de recursos para tratar riscos, evitando desperdícios e aumentando a eficiência operacional.
A ISO 31000 é composta por três componentes principais: princípios, estrutura e processo.
1) Princípios da Gestão de Riscos:
Os princípios da ISO 31000 estabelecem que a gestão de riscos deve:
- Criar Valor: Contribuir para o alcance dos objetivos organizacionais.
- Ser Parte Integrante dos Processos Organizacionais: Ser incorporada à estrutura, operações e cultura da empresa.
- Fazer Parte da Tomada de Decisões: Ajudar na tomada de decisões informadas e conscientes.
- Tratar Explicitamente a Incerteza: Identificar e lidar com as incertezas nos objetivos organizacionais.
- Ser Sistemática, Estruturada e Oportuna: Adotar uma abordagem estruturada e metódica.
- Basear-se nas Melhores Informações Disponíveis: Utilizar dados e informações de qualidade para a tomada de decisões.
- Ser Personalizada: Ajustar-se ao contexto interno e externo da organização.
- Considerar Fatores Humanos e Culturais: Reconhecer a influência de fatores humanos e culturais.
- Ser Transparente e Inclusiva: Envolver as partes interessadas apropriadas.
- Ser Dinâmica, Iterativa e Capaz de Reagir às Mudanças: Ser adaptável a mudanças no ambiente e nos riscos.
- Facilitar a Melhoria Contínua: Promover a aprendizagem e a melhoria contínua.
2) Estrutura para Gerenciamento de Riscos:
A estrutura para gerenciamento de riscos conforme a ISO 31000 envolve:
- Mandato e Comprometimento: Envolvimento e compromisso da alta administração.
- Design da Estrutura: Definição da política de gestão de riscos, objetivos, contexto e integração com outras funções.
- Implementação da Gestão de Riscos: Desenvolvimento dos planos e procedimentos para integrar a gestão de riscos nas atividades diárias.
- Monitoramento e Revisão da Estrutura: Avaliação contínua da eficácia da estrutura e dos processos de gestão de riscos.
- Melhoria Contínua da Estrutura: Aprimoramento contínuo com base nos feedbacks e nas avaliações realizadas.
3) Processo de Gestão de Riscos:
O processo de gestão de riscos na ISO 31000 inclui as seguintes etapas:
- Comunicação e Consulta: Envolver as partes interessadas no processo de gestão de riscos.
- Estabelecimento do Contexto: Definir o ambiente em que os riscos serão gerenciados, incluindo o estabelecimento dos critérios de risco.
- Identificação de Riscos: Reconhecer e descrever os riscos que podem afetar a empresa.
- Análise de Riscos: Entender a natureza dos riscos e determinar seu nível de impacto e probabilidade.
- Avaliação de Riscos: Comparar os resultados da análise de riscos com os critérios de risco para determinar a necessidade de tratamento.
- Tratamento de Riscos: Selecionar e implementar medidas para modificar os riscos.
- Monitoramento e Revisão: Monitorar e revisar o desempenho do processo de gestão de riscos e fazer ajustes conforme necessário.
- Registro e Relato: Documentar todo o processo de gestão de riscos e relatar aos stakeholders apropriados.
A adoção da ISO 31000 traz diversos benefícios para as empresas como:
- Melhoria na Tomada de Decisões: Informações mais precisas e compreensíveis sobre os riscos ajudam na tomada de decisões.
- Maior Conformidade: Cumprimento de requisitos legais e regulamentares.
- Proteção e Melhoria da Reputação: Gerenciamento eficaz dos riscos que podem afetar a reputação da organização.
- Eficiência Operacional: Redução de perdas e melhoria da eficiência dos processos.
- Resiliência Organizacional: Maior capacidade de resposta e adaptação a mudanças e crises.
Os princípios fundamentais da gestão de riscos, conforme apresentado pela ISO 31000 são:
- Proporcionalidade: A gestão de riscos deve ser proporcional ao nível de risco presente na empresa.
- Alinhamento: Deve estar alinhada com as outras atividades corporativas.
- Abrangência: Deve cobrir todos os aspectos e processos da empresa.
- Incorporação: Deve ser integrada às atividades rotineiras da empresa.
- Dinamismo: Deve ser responsiva às mudanças e novas ameaças emergentes.
A implementação bem-sucedida desses princípios ajuda a empresa a melhorar a eficiência operacional, a eficácia de táticas e a eficácia estratégica,
Para quem desejar ir mais a fundo no tema segue o link para o documento original em português em: