ISO 31000: O Novo Padrão para Gestão de Riscos

14 Dez 2009| FONTE - Da Redação

Nesta entrevista Alberto Bastos, Sócio-fundador da Módulo e Coordenador no Brasil da Comissão Especial da
ABNT, que participou das reuniões internacionais para desenvolvimento da ISO 31000, fala sobre as principais
diferenças e benefícios desta nova norma.

Publicada oficialmente em 13 de novembro de 2009, a ISO 31000 foi desenvolvida por um grupo de
especialistas representantes de mais de 30 países e tem por objetivo servir como um guia mestre para Gestão
de Riscos.

Em conjunto com a ISO 31000 foi publicada também a nova versão do ISO Guide 73, revisado pelo mesmo
grupo.

O Brasil participou ativamente desse desenvolvimento enviando comentários e sugestões através da Comissão
Especial de Estudo Gestão de Riscos da ABNT, que atualmente possui mais de 400 participantes de empresas
e organizações dos mais variados segmentos como Indústria, Bancos, Seguros, Tecnologia, Energia,
Universidades, Telecomunicações, Saúde, Agronegócios, Segurança dentre outros.

1. Existe atualmente uma série de normas para gestão de riscos, que em um primeiro momento parecem
similares. Por que adotar a norma ISO 31000?

A criação de padrões é um elemento fundamental para desenvolver uma linguagem comum, sistemas de
gestão, normas e procedimentos para orientar as organizações como um todo e disseminar a cultura de Gestão
de Riscos.

Atualmente existem vários padrões que se complementam de alguma forma. A idéia a partir de agora é usar a
ISO 31000 como referência em todos estes padrões que envolvam Gestão de Riscos.

O objetivo da ISO 31000 é ser a “norma-das-normas” para Gestão de Riscos, seja este risco ambiental,
operacional ou financeiro aplicáveis as organizações de todos os tipos e tamanhos.

2. Com a norma ISO 31000 o senhor acredita que a tendência das organizações será manter a Gestão de
Riscos integrada (ambiental, financeira, segurança da informação, etc)?

O lançamento da ISO 31000 representa um grande marco para a integração destas áreas e funções nas
organizações. A norma recomenda que as organizações desenvolvam, implementem e melhorem
continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, gestão,
políticas, valores e cultura em toda a organização.

3. As empresas que já utilizam modelos de Gestão de Riscos devem adotar imediatamente a ISO 31000?
Qual a estimativa de tempo para adoção da norma?
Em um primeiro momento é preciso adquirir e conhecer o documento, que contém apenas 24 páginas,
proporcionando uma leitura bem rápida. A partir de então, deve-se escolher o melhor modelo para implementar
a estrutura em sua organização. Como a ISO 31000 não é uma norma de certificação, a urgência em seguir
rigidamente alguns passos é menor. Já o tempo de adoção pode variar em cada organização. Em uma empresa
de grande porte pode levar de 3 a 4 anos em média, dependendo do escopo.

4. Existe a tendência de criar novas normas da série 31000 extinguindo outras?

Foi lançada recentemente a norma ISO 31010: Risk Management – Risk assessment techniques, cujo escopo é
fornecer orientações sobre a definição e aplicação de técnicas e sistemáticas para avaliação de riscos. Este
padrão também não se destina a certificação e complementa a ISO 31000 com métodos e técnicas detalhadas.

5. Qual a importância da ISO Guia 73 em todo esse contexto?

Especificamente sobre o Guia 73, é importante que as organizações adotem os conceitos e terminologia para
criar uma linguagem comum nas diferentes áreas, funções e processos que de alguma forma lidam com gestão
de riscos.

6. Qual a relação entre as normas 27001, 27002 e 27005 com a 31000? A ISO 31000 substitui a ISO
27005?

A ISO 31000 não substitui nenhuma norma existente. A ISO/IEC 27005 faz parte do conjunto de normas da
série de 27000, sobre um sistema de gestão de Segurança da Informação, onde inclui: 27001 e 27002. Essa
norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da Segurança da
Informação, já a ISO 31000 é mais genérica contempla todos os setores.

Existe atualmente uma força tarefa em andamento para que a ISO 27005 seja imediatamente revisada e
alinhada com a ISO 31000.

7. As normas já estão disponíveis em português?

No Brasil, ambas as normas foram traduzidas e publicadas pela ABNT em 30 de novembro, como normas
brasileiras, ABNT NBR ISO 31000 e ABNT ISO Guia 73.

As normas podem ser adquiridas no site da ABNT: http://www.abntcatalogo.com.br ao preço de R$ 74,80 (ABNT
NBR ISO 31000:2009) e R$ 49,70 (ABNT ISO GUIA 73:2009)

8 - Quais são os próximos passos do Comitê de Gestão de Riscos?

Vamos iniciar o planejamento estratégico para estabelecer objetivos e metas da comissão bem como definir os
próximos passos do grupo. Algumas idéias já existem, desenvolvimento de normas internacionais de Gestão
de Riscos e continuidade de negócios.
Como alguns leitores têm me perguntado com frequência sobre a nova ISO 31000
e sobre como ela está sendo elaborada pela International Organization for
Standardization (ISO), segue uma matéria que publicamos meses atrás.

A ISO 31000 será uma norma geral de Gestão de Riscos, independente da área
ou segmento de atuação, e irá fornecer diretrizes e princípios para a
implementação da Gestão de Riscos nas organizações e para a criação de outras
normas técnicas específicas.

A publicação oficial na norma está prevista para outubro de 2009 e a intenção é

que, futuramente, as normas ISO de todas as áreas que abordam a Gestão de
Riscos falem a mesma língua e conceitos da ISO 31000.

A proposta de convergência está alinhada com a visão integrada de ERM -

Enterprise Risk Management. Portanto, por se tratar de uma norma de alto nível,
não há concorrência com as normas já existentes, sendo que a ISO 31000
fornecerá orientações e alinhamento com outras normas específicas, como é o
caso, por exemplo, da ISO 27001, que é uma especificação de um sistema de
gestão da segurança da informação baseado em um processo de Gestão de
Riscos.

O texto original da ISO 31000 foi baseado na consagrada norma AS/NZS

4360:2004. O desenvolvimento da norma internacional está sendo feito por um
comitê especial composto por delegações de 35 países que se uniram para criar
um grupo de trabalho único, denominado ISO Technical Management Board on
Risk Management. Esse grupo é multidisciplinar e abrange profissionais de
diversas áreas, como a financeira, governança corporativa, segurança,
agronegócios, qualidade, meio ambiente, tecnologia, projetos, saúde, defesa,
seguros, etc.

No Brasil, a ABNT - Associação Brasileira de Normas Técnicas - criou a Comissão

de Estudo Especial de Gestão de Riscos, com o intuito de discutir e definir normas
brasileiras sobre o assunto. Essa comissão também compila idéias e comentários
dos diferentes membros e participantes em um documento consolidado, que é
enviado ao grupo internacional como posição brasileira.

"É comum que as empresas tratem a Gestão de Riscos de forma isolada e muitas
vezes em feudos (ou silos), utilizando terminologia, sistemas, critérios e conceitos
diferentes. Mas, na visão corporativa, os riscos devem ser vistos de forma
unificada! Acreditamos que, depois de pronta, a ISO 31000 terá uma adesão
imediata em todo o mundo", ressalta Alberto Bastos, coordenador da comissão
brasileira.

Quem participa da comissão da ABNT

Ao todo, são mais de 100 empresas e entidades de diferentes setores, entre elas
estão: ABGR, ABIN, ASSESPRO, Banco do Brasil, Bayer, ABIQUIM, BNDES,
CEF, CEMIG, CETIP, COPPE/UFRJ, CQSI, EMBRAER, FNPQ, FEBRABAN,
Módulo Security, ONS, PETROBRAS, PNUD, QSP, RiskControl, SABESP,
Samarco Mineração, SERASA, SERPRO, Tribunal de Contas da União e Xerox

Afinal, a nova ISO 31000 de Gestão de Riscos é certificável ou não?

Vou explicar a situação para vocês.

De fato, a norma brasileira e internacional ABNT NBR ISO 31000:2009 não é

destinada para fins de certificação.

Entretanto, o que está ocorrendo é que organizações como o Biocor Instituto, por
razões operacionais e estratégicas, manifestaram interesse em se certificar
apoiando-se totalmente na nova referência mundial em Gestão de Riscos, que é a
ISO 31000. Aí surgiu o desafio: como utilizar uma norma de diretrizes
(recomendações) como protocolo de auditoria? A solução que encontramos foi
criar uma norma de referência que fosse auditável (e, consequentemente,
certificável), integralmente baseada na ISO 31000. Assim surgiu a QSP
31000:2010 (que, obviamente, não pode ser comercializada nem distribuída).

Deve-se observar no link a seguir que o conteúdo da norma auditável do QSP

engloba praticamente toda a ISO 31000, transformando as suas recomendações
em itens que podem ser constatados através de evidências objetivas. Além disso,
convertemos o "framework" (estrutura) para gerenciar riscos proposto pela ISO
31000 em Sistema de Gestão de Riscos, acrescentando requisitos de
documentação, auditoria interna, etc.

--

Enviado em Gestão de Negócios tagged Crises de imagem, Gestão de Negócios, Gestão de Riscos,

ISO 31000 às 20:22 por Ricardo Campos

A partir de outubro de 2009 corporações dos mais diversos portes e segmentos contarão com uma norma

universal voltada especificamente à Gestão de Riscos. Batizada de ISO 31000: Principles and guidelines for

risk management, a nova série de orientações da International Organization for Standardization (ISO)

surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormente e

que de alguma forma estão relacionados com a gestão de riscos.

A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para

implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da

necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos

podem estar relacionados com várias atividades da organização, desde as iniciativas estratégicas como as

atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos
ligados aos diferentes setores da organização, tais como financeiro e de projetos, bem como à área da

saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade.

Até agora, porém, a falta de um consenso em relação à terminologia e aos conceitos utilizados para a gestão

de riscos faz com que as organizações enfrentem dificuldades em integrar as suas diferentes funções e

atividades relativas ao assunto. O resultado mais comum dessa equação é que a gestão de riscos acaba

sendo tratada de forma isolada, ocasionando muitas vezes a geração dos chamados silos ou ilhas

departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes

para cada uma das áreas da empresa.

Por conta disso, o grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem

comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam

implementar a gestão de riscos em seus processos. Por se tratar de uma proposta de convergência alinhada

com a visão integrada de ERM (Enterprise Risk Management), a nova norma não concorre com outras
orientações já existentes como a ISO/IEC 27005 – norma técnica específica de gestão de riscos em

segurança da informação, fornecendo orientações e alinhamento com outros conjuntos de regras

específicos.

Da mesma forma que as normas ISO 9000 na área da Qualidade e a ISO 14000 na área de Meio Ambiente

tornaram-se referências para adoção e implementação da gestão destes temas nas organizações, a partir do

lançamento da ISO 31000 os países passarão a contar com uma norma de gestão de riscos com

reconhecimento internacional. Neste cenário, o Brasil, através da Comissão de Estudo Especial para

Gestão de Riscos da ABNT (Associação Brasileira de Normas Técnicas), promete caminhar na liderança

deste movimento. A versão brasileira da norma está sendo desenvolvida com o apoio de especialistas em

gestão de riscos de várias empresas no país para atender às necessidades específicas do mercado nacional e

deverá ser lançada quase que simultaneamente à versão original.

Análise

Gerenciar os riscos já não é novidade para empresas que mantêm uma boa governança que não querem

dispensar seu rico dinheirinho com ações na justiça, advogados, recalls e pedidos públicos de desculpas,

gerando um prejuízo ainda maior para a credibilidade e reputação destas instituições.

Como bem destacou Alberto Bastos, a Gestão de Riscos está ligada não apenas a área financeira, mas

também as iniciativas estratégicas e operacionais. Desta forma ela deve receber atenção de todos os setores

da organização sobre fatores que podem afetar os objetivos institucionais.

Em tempos de crise a Gestão de Riscos tornou-se ainda mais necessária para empresas que se preocupam

com a sustentabilidade e a perenidade de seus negócios.

Risk management - Principles and guidelines

ISO 31000:2009 provides principles and generic guidelines on risk management.

ISO 31000:2009 can be used by any public, priv ate or community enterprise, association,
group or individual. Therefore, ISO 31000:2009 is not specific to any industry or s ector.

ISO 31000:2009 can be applied throughout the life of an organization, and to a wide range of
activities, including strategies and decis ions, operations , proc ess es, functions, projec ts,
products, services and assets.

ISO 31000:2009 can be applied to any type of risk, whatev er its nature, whether hav ing
positive or negative consequences.

Although ISO 31000:2009 provides generic guidelines , it is not intended to promote uniformity
of risk management across organizations. The design and implementation of risk management
plans and frameworks will need to take into acc ount the vary ing needs of a s pec ific
organization, its particular objectives, c ontext, structure, operations, processes , functions,
projects, products, services, or assets and spec ific prac tic es employed.

It is intended that ISO 31000:2009 be utiliz ed to harmonize risk management processes in

existing and future standards. It provides a common approac h in support of standards dealing
with specific risks and/or sectors, and does not replac e thos e standards.

ISO 31000:2009 is not intended for the purpose of certification.

Gestão do risco - Princípios e orientações

ISO 31000:2009 estabelece os princípios e orientações genéricas sobre a gestão de risco.

ISO 31000:2009 pode ser utilizado por qualquer entidade pública, privada ou comunitária da
empresa, associação, grupo ou indivíduo. Portanto, ISO 31000:2009 não é específico para
qualquer indústria ou sector.

ISO 31000:2009 pode ser aplicada em toda a vida de uma organização, e para um vasto leque
de actividades, incluindo as estratégias e decisões, acções, processos, funções, projetos,
produtos, serviços e bens.

ISO 31000:2009 pode ser aplicada a qualquer tipo de risco, independentemente da sua
natureza, se a ter consequências positivas ou negativas.
Embora a ISO 31000:2009 fornece orientações genéricas, que não se destina a promover a
uniformidade da gestão do risco nas organizações. A concepção e implementação de planos
de gestão de riscos e quadros terão de ter em conta as diferentes necessidades de uma
organização específica, os seus objectivos específicos, o contexto, estrutura, operações,
processos, funções, projetos, produtos, serviços ou bens e práticas específicas empregadas .

Pretende-se que a ISO 31000:2009 ser utilizada para harmonizar os processos de gestão de
risco nas normas existentes e futuras. Ele oferece uma abordagem comum em apoio de
normas lidar com riscos específicos e / ou sectores, e não substituem as normas.

ISO 31000:2009 não é destinado para fins de certificação.

--