[Ebook]

GESTÃO DE RISCOS
Com base na ISO 9001:2015

O Bureau Veritas é uma empresa multinacional

fundada em 1828, dedicado a realização de
serviços de avaliação de conformidade e
certicação, nas áreas de Qualidade,
Segurança e Saúde Ocupacional, Meio
Ambiente, Responsabilidade Social, entre
outras, presente em 140 países.

Tudo ui, nada persiste nem permanece o mesmo.

A única constante é a mudança” Heráclito de Éfeso (535 a.C - 475 a.C)
[EBOOK] GESTÃO DE RISCOS

SUMÁRIO

INTRODUÇÃO 01

TERMINOLOGIA 03

GESTÃO DE RISCOS - ISO 31000 05

A GESTÃO DE RISCO E A ISO 9001:2015 07

CONCLUSÃO 09

SAIBA MAIS 10
 [EBOOK] GESTÃO DE RISCOS

INTRODUÇÃO

A gestão de risco na ISO 9001:2015 – sustentabilidade

Talvez a principal novidade da norma ISO 9001:2015 seja a adoção da gestão de

risco como estratégica para a gestão da qualidade.

Poderíamos nos perguntar: “por quê?” ou “por que agora?”.

Para responder a essa questão, antes de tudo, devemos ter em mente que a noção
do que vem a ser qualidade não se alterou, desde a primeira edição da série de
normas ISO 9000, lato senso:

qualidade = atender requisitos estabelecidos.

Mas as condicionantes para que esses requisitos sejam atendidos acompanharam o

aumento da complexidade do ambiente de negócios mundial e caram mais
complexas também. Como não poderia deixa de ser.

Durante décadas, bastou o controle da qualidade, entendido como inspeção nal

dos produtos, para garantir a qualidade. Quando isso não foi mais suciente, dadas
questões do custo de inspecionar, reprovar e retrabalhar, passamos a padronizar as
atividades – “escreva como se faz e faça como se escreveu”.

Posteriormente, aprendemos que as atividades estão relacionadas em uma cadeia

de processos. Aprendemos que o cliente muda seus requisitos ao longo do tempo –
“mais por menos” – e passamos a buscar a melhora contínua.

01
 [EBOOK] GESTÃO DE RISCOS

INTRODUÇÃO

Nesse processo contínuo de aprendizagem praticado pelas organizações que

adotaram a norma ISO 9001, passamos a perceber que o ambiente em que a
organização está inserida também muda e impõem requisitos novos à organização,
aos seus produtos e à sua forma de gestão. A bem da verdade, nós mudamos e,
portanto, a própria organização muda com o tempo.

Responder à essa nova condicionante, a de adaptar a organização às mudanças,

exigiu a introdução de um novo conceito para a gestão da qualidade – “sucesso
sustentável” – ou simplesmente sustentabilidade.

A gestão de riscos e de oportunidades passa, então, a ser a forma de gerir as

mudanças e buscar o sucesso sustentável das organizações.

Ela, no entanto, não substituiu a necessidade de controle da qualidade, de

padronização dos processos e da busca da melhoria contínua. A gestão da gestão
de risco soma-se às atividades de garantia da qualidade que as organizações
praticam quando adotam a Norma ISO 9001 como padrão de gestão da qualidade.

02
 [EBOOK] GESTÃO DE RISCOS

TERMINOLOGIA

Sucesso - realização de um objetivo.

Nota: o sucesso da organização enfatiza a necessidade de um equilíbrio entre os

interesses econômicos ou nanceiros e as necessidades das partes interessadas.

Sucesso sustentado - sucesso ao longo de um período de tempo.

Nota: o sucesso sustentado diz respeito às partes interessadas de uma organização,

tais como, consumidores, donos, pessoas em uma organização, provedores,
banqueiros, sindicatos, sócios ou sociedade.

Risco - efeito da incerteza nos objetivos.

Nota 1: um efeito é um desvio do esperado – positivo ou negativo (normalmente

tratados de riscos e oportunidades).

Nota 2: os objetivos podem ter diferentes aspectos, tais como metas nanceiras, de
saúde e segurança e ambientais e podem aplicar-se em diferentes níveis, tais como
estratégico, em toda a organização, de projeto, de produto e de processo.

Fonte de risco - elemento que, individualmente ou combinado, tem o potencial

intrínseco para dar origem ao risco. (outra vez, aqui também, é importante termos
em mente o conceito de riscos e oportunidades).

Evento - ocorrência ou mudança em um conjunto especíco de circunstâncias.

Consequência - resultado de um evento que afeta os objetivos.

elações com partes interessadas internas e suas percepções e valores.

03
 [EBOOK] GESTÃO DE RISCOS

TERMINOLOGIA

Parte interessada - pessoa ou organização que pode afetar, ser afetada, ou perceber-
se afetada por uma decisão ou atividade.
Nota: um tomador de decisão pode ser uma parte interessada.

Proprietário do risco - pessoa ou entidade com a responsabilidade e a autoridades

para gerenciar um risco.

Contexto externo - ambiente externo no qual a organização busca atingir seus

objetivos.

Nota: o contexto externo pode incluir o ambiente cultural, social, político, legal,
regulatório, nanceiro, tecnológico, econômico, natural e competitivo - seja
internacional, nacional, regional ou local - os fatores-chave e as tendências que
tenham impacto sobre os objetivos da organização e as relações com partes
interessadas

Contexto interno - ambiente interno no qual a organização busca atingir seus

objetivos.

Nota: O contexto interno pode incluir cultura da organização, a governança e a

estrutura organizacional. As políticas, objetivos e estratégias implementadas para
atingi-los. As capacidades compreendidas em termos de recursos e conhecimento
(capital, tempo, pessoas, processos, sistemas e tecnologias). As relações com partes
interessadas internas e suas percepções e valores.

04
 [EBOOK] GESTÃO DE RISCOS

GESTÃO DE RISCOS ISO 31000

A norma ISO 31000 - gestão de risco – dene um processo para gestão de risco que
é composto pelas seguintes atividades: estabelecimento do contexto da organização
e identicação, análise, avaliação, tratamento e monitoramento dos riscos inerentes
a esse contexto.

O contexto da organização - a primeira etapa de toda a avaliação de risco é a

identicação do contexto da organização, que consiste em estabelecer as questões
internas e externas da organização que podem afetar o atendimento aos seus
objetivos. E, a partir dele, determinar as partes interessadas relevantes e os seus
requisitos.

Existem várias partes interessadas pertinentes aos objetivos de uma organização.

Vejamos algumas.

Os clientes estabelecem requisitos e atendê-los é o objetivo da organização. Porém,

os concorrentes também estabelecem requisitos para os produtos da organização.

Os produtos da organização têm nos produtos da concorrência um padrão mínimo

a ser oferecido aos clientes ou um benchmark a ser buscado. A legislação e os
organismos de normatização estabelecem requisitos. Assim como a inovação
tecnológica também pode estabelecer.

A direção da organização e seus proprietários e acionista tem objetivos em relação à

organização. Os funcionários têm requisitos que precisam ser atendidos para
poderem executar suas tarefas – informação e qualicação, por exemplo. Igualmente
os fornecedores.

05
 [EBOOK] GESTÃO DE RISCOS

GESTÃO DE RISCOS ISO 31000

Identicação do risco – a partir do contexto da organização, é possível identicar-se

eventos internos e externos que possam ser fontes de risco ou oportunidades para os
objetivos denidos pela organização.

Análise de risco – trata-se de estudar esses risco e oportunidades. Entender suas

consequências e suas causas. Mas também se trata de, por alguma forma,
quanticá-los.

Avaliação de risco – é um momento de tomada de decisão sobre como tratar os

riscos. Pressupõe, no entanto, que a organização desenvolva um critério para
aceitação ou não do risco identicado. Aqui, a legislação e as normas devem
sempre ser levadas em consideração.

Tratamento do risco – segundo a decisão tomada considerando o critério de risco

estabelecido, a organização pode tratar os riscos avaliados através de ações que
visem:

Evitar o risco não iniciando ou descontinuando a atividade que dá origem ao risco

ou a remoção da fonte de risco;
Assumir esse risco e até aumentá-lo para tirar proveito de uma oportunidade;
Modicar os riscos através de ações que diminuam sua probabilidade ou
consequências, ou
Compartilhar os riscos.

Monitoramento dos riscos – o monitoramento dos riscos pressupõe a vericação da

ecácia das ações tomadas para tratar os riscos. Mas também a avaliação das
tendências e mudanças no contexto que possam exigir novas ações.
Aqui é importante considerarmos os riscos residuais, ou seja, os riscos
remanescentes após o tratamento do risco.

06
 [EBOOK] GESTÃO DE RISCOS

A GESTÃO DE RISCO E A ISO 9001:2015

A ISO 9001:2015 estabelece uma estrutura para a gestão de risco baseada na ISO
31000 dentro do sistema de gestão da qualidade da organização.

Para entendermos tal estrutura, é necessário antes analisarmos dois princípios da

gestão de risco:

A gestão de riscos é parte integrante de todos os processos organizacionais - a

gestão de riscos não é uma atividade autônoma separada das principais atividades e
processos da organização. A gestão de riscos faz parte das responsabilidades da
administração e é parte integrante de todos os processos organizacionais, incluindo
o planejamento estratégico e todos os processos de gestão de projetos e gestão de
mudanças.

A gestão de riscos é parte da tomada de decisões - a gestão de riscos auxilia os

tomadores de decisões a fazer escolhas conscientes, priorizar ações e distinguir entre
formas alternativas de ação.

Em outras palavras, a gestão de risco é parte dos processos da organização e é

executada no dia-a-dia da organização. Logo, ela será feita nos três níveis gerenciais
que compõem as organizações: estratégico, tático e operacional.

O operacional - Isso é facilmente entendido através do requisito 4.4 da norma ISO

9001:2015 - sistema de gestão da qualidade e seus processos. Nele há toda uma
sequência lógica a ser seguida pelas organizações para o desenvolvimento dos
processos do seu sistema de gestão da qualidade: determinar as entradas e as
saídas desses processos e sua sequência e a interações.

Determinar os critérios e métodos a serem seguidos (incluindo monitoramento,

medições e indicadores de desempenho) e atribuir as responsabilidades e
autoridades para esses processos.

07
 [EBOOK] GESTÃO DE RISCOS

A GESTÃO DE RISCO E A ISO 9001:2015

O desenvolvimento desses processos proporciona a oportunidade para organização

identicar os eventos desses processos que podem ser fontes de risco para a
operação e o controle ecazes dos mesmos.

Alguns desses eventos são claramente identicados na norma ISO 9001:2015: a

aceitação de um novo cliente, a introdução de um novo produto e de um novo
fornecedor, por exemplo.

Outros eventos são os momentos de mudança, por exemplo, nos requisitos dos
clientes, nos produtos e nos processos de produção.
Momentos para aplicação da análise de risco, sem dúvida.

O tático - A organização deve analisar e avaliar dados e informações apropriados

provenientes de monitoramento e medição dos seus processos. Para isso,
normalmente a organização estabelece uma série de indicadores cuja análise
regular pode identicar tendências desfavoráveis ao atendimento dos objetivos
desses processos.

E tendências desfavoráveis podem ser entendidas como riscos.

Oportunidades de melhorias também podem ser identicadas.

O estratégico - O principal momento da gestão de risco no nível estratégico são as

análises críticas pela direção. Nelas, são atualizados os contextos internos e externos
da organização. E, por conseguinte, avaliadas as ações tomadas no ciclo anterior
para abordar os ricos e oportunidades identicados.

Para o contexto atualizado podem surgir novos riscos e oportunidades que

ensejariam novas ações. Transformando as análises crítica pela direção em uma
atividade dinâmica de tomada de ações para os riscos e oportunidades
identicados.

Coerente com outro princípio da gestão de risco:

A gestão de riscos é sistemática, estruturada e oportuna - uma abordagem

sistemática, oportuna e estruturada para a gestão de riscos contribui para a
eciência e para os resultados consistentes, comparáveis e conáveis.

08
 [EBOOK] GESTÃO DE RISCOS

CONCLUSÃO

A gestão das organizações acaba por se caracterizar como análoga aos processos de
evolução – os naturais inclusive. Eles caminham do mais simples para o mais
complexo em um contínuo de mudanças e adaptações. Nas sociedades humanas,
esses processos têm ainda um outro componente – a aprendizagem.

E a aprendizagem é o diferencial que até aqui nos protegeu da extinção. Que nos
garantiu a sobrevivência e o sucesso sobre todas as outras espécies do planeta.

No momento atual das organizações, uma gestão de risco estruturada é parte desse
necessário processo de aprendizagem.

Com um claro objetivo – o sucesso sustentado.

09
 [EBOOK] GESTÃO DE RISCOS

SAIBA MAIS

O Bureau Veritas é uma empresa multinacional fundada em 1828,

dedicado a realização de serviços de avaliação de conformidade e
certicação, nas áreas de Qualidade, Segurança e Saúde Ocupacional,
Meio Ambiente, Responsabilidade Social, entre outras, presente em 140
países.

O Bureau Veritas também agrega em seu portifólio treinamentos completos

para as áreas da Qualidade, Meio Ambiente, Saúde e Segurança, entre
outras. Todos os treinamentos contam com prossionais especializados e
escolhidos a dedo. Em todas as modalidades dos treinamentos do Bureau
Veritas, você garante sua certicação prossional com a maior referência
em Sistemas de Gestão no mundo.

Acesse nosso calendário de treinamentos >>

Clique aqui para um Consultor entrar em contato>>

Baixe também outros e-books

10