Entenda de vez o Processo de Gestão de Riscos da norma ISO 31000

Francesco De Cicco
Diretor Executivo do QSP
maio 8, 2022

Quaisquer que sejam os objetivos a serem alcançados por uma organização, o Processo de Gestão de
Riscos estabelecido na norma internacional ISO 31000:2018 (que é o mais referenciado e utilizado no mundo
todo) deveria ser parte integrante de todas as atividades de uma organização, incluindo a tomada de decisão em
todos os níveis.
Isso é válido para qualquer tipo de risco relacionado por exemplo:
• à proteção e privacidade de dados pessoais (nova LGPD no Brasil);

• às questões ambientais, sociais e de governança (ESG, na sigla em inglês);

• a programas de integridade, antissuborno e 'compliance';

• à segurança da informação, à segurança e saúde no trabalho, à segurança de sistemas e processos;

• a sistemas de gestão da qualidade, gestão da inovação, gestão ambiental, gestão de crises e continuidade de
negócios;

• ao COSO de controles internos;

• ao novo 'Modelo das Três Linhas' (atualização das 'Três Linhas de Defesa' do IIA - The Institute of Internal
Auditors);

• etc., etc...
A ISO 31000 recomenda que o Processo de Gestão de Riscos (PGR) seja integrado na estrutura, operações e
processos da organização, e que seja parte integrante da gestão do negócio e da tomada de decisão, podendo
ser aplicado nos níveis estratégico, operacional, de programas e de projetos. Recomenda também que a natureza
dinâmica e variável do comportamento humano seja considerada ao longo de todo o Processo de Gestão de
Riscos.

DICA: Este é um dos assuntos centrais do Exame Nacional para a obtenção da Certificação Profissional
Internacional C31000 - Certified ISO 31000 Risk Management Professional.

O PGR descrito na norma ISO 31000 compreende cinco etapas principais que, embora mostradas
sequencialmente na imagem abaixo, na prática são aplicadas de forma iterativa.

Essas etapas permitem que o risco seja identificado, compreendido e modificado (tratado), se necessário, em
relação a critérios de risco que são definidos pela própria organização como parte do processo.

O detalhamento do Processo de Gestão de Riscos, mostrado na ilustração a seguir, foi extraído do nosso Manual
de Diretrizes para a Implementação da ISO 31000:2018.
A espinha dorsal do PGR
A espinha dorsal do Processo de Gestão de Riscos (que é a parte central da imagem acima) está voltada para a
preparação e condução do Processo de Avaliação de Riscos ('risk assessment') que leva, conforme necessário, ao
tratamento de riscos. O PGR começa definindo o que a organização deseja alcançar e os fatores externos e
internos que podem influenciar o sucesso em alcançar tais objetivos. Essa etapa é chamada de estabelecimento
do contexto e é um precursor essencial para a etapa de identificação de riscos.
Na ilustração acima, também pode ser notado que existem três etapas do PGR que interagem
continuamente com as demais etapas do processo. Essas três etapas são:
• Comunicação e consulta às partes interessadas internas e externas, quando praticável, para obter seus ‘inputs’
para o processo e sua participação ativa nos ‘outputs’ do processo. Também é importante entender os objetivos
das partes interessadas, de modo que seu envolvimento possa ser planejado e suas opiniões possam ser levadas
em consideração na definição dos critérios de risco.
• Monitoramento e análise crítica, para que ações apropriadas sejam implementadas à medida que surgem
novos riscos, e os riscos existentes sejam modificados como resultado de mudanças nos objetivos da organização
ou no ambiente interno e externo. Isso envolve uma varredura do ambiente pelos proprietários de risco e
auditores internos, levando em conta novas informações disponíveis e as lições aprendidas sobre riscos e
controles a partir da análise de sucessos e fracassos ocorridos.
• Registro e relato de cada etapa do PGR, visando a: mostrar às partes interessadas que o processo está sendo
conduzido adequadamente; fornecer evidências de uma abordagem sistemática de identificação e análise de
riscos; possibilitar que as decisões ou os processos de tomada de decisão sejam analisados criticamente;
possibilitar o registro dos riscos e desenvolver uma base de dados do conhecimento da organização; fornecer aos
responsáveis pela tomada de decisão um plano de tratamento de riscos para sua aprovação e posterior
implementação; oferecer um mecanismo e uma ferramenta para a prestação de contas; facilitar o
monitoramento e a análise crítica contínuos; indicar os caminhos para a auditoria interna e externa; e
compartilhar e comunicar informações sobre as etapas do processo e seus resultados.
‘Risk Assessment’ e Tratamento de Riscos
O Processo de Avaliação de Riscos ('risk assessment'), segundo a ISO 31000, compreende três etapas do
PGR: identificação de riscos, análise de riscos e avaliação de riscos ('risk evaluation').
A identificação de riscos requer a aplicação sistemática de técnicas e ferramentas para entender o que pode
acontecer, como, quando e por quê. As diretrizes da nova norma NBR IEC 31010:2021 podem ajudar
consideravelmente nessa e nas demais etapas do ‘risk assessment’ e do PGR como um todo. A figura abaixo é um
exemplo disso.

A análise de riscos, por sua vez, está preocupada em desenvolver uma compreensão de cada risco, suas
consequências e a probabilidade dessas consequências. Quer o resultado final seja expresso de forma qualitativa,
semiquantitativa ou quantitativa, obter esse entendimento requer a consideração do efeito e da eficácia dos
controles existentes e de quaisquer lacunas nesses controles (a Análise BowTie, diga-se, atende muito bem a
esses propósitos...).
A ISO 31000 estabelece que “a análise de riscos fornece uma entrada para a avaliação de riscos ('risk evaluation'),
para decisões sobre se o risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados
para o tratamento de riscos. Os resultados propiciam discernimento para decisões, em que escolhas estão sendo
feitas e as opções envolvem diferentes tipos e níveis de risco”.
Portanto, segundo a norma, “o propósito da avaliação de riscos ('risk evaluation') é apoiar decisões. A avaliação
de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para
determinar onde é necessária ação adicional”.
Em outras palavras: os resultados da análise de riscos são uma entrada para a avaliação de riscos (‘risk
evaluation’), envolvendo a tomada de decisão sobre o nível de risco e a prioridade de atenção a ser dada, por
meio da aplicação dos critérios de risco desenvolvidos quando o contexto foi estabelecido.
Por fim, o tratamento de riscos é a etapa na qual os controles existentes são aprimorados ou novos controles são
desenvolvidos e implementados. Envolve a avaliação e seleção de opções, incluindo análise de custos e benefícios
e avaliação de novos riscos que eventualmente podem surgir em decorrência de cada opção de tratamento.
Na sequência, é priorizado e implementado o tratamento selecionado por meio de um processo planejado. Se
esse plano for seguido, a forma sistemática como os riscos foram avaliados irá denotar que o tratamento de riscos
pode prosseguir com confiança.
Há uma grande interação entre a avaliação de riscos e o tratamento de riscos na medida em que cada conjunto de
opções de tratamento é testado, até que seja encontrado o conjunto preferido que produza o maior benefício
pelo menor custo.
A ISO 31000:2018 fornece um conjunto de opções gerais a serem consideradas quando o risco é tratado. A ordem
da lista abaixo reflete de alguma forma a preferência. É importante ressaltar também que as opções abaixo
abrangem riscos que têm consequências negativas e / ou positivas. As opções de tratamento são as seguintes:
• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;

• assumir ou aumentar o risco de maneira a perseguir uma oportunidade;

• remover a fonte de risco;

• mudar a probabilidade;

• mudar as consequências;

• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros);

• reter o risco por decisão fundamentada.

Considerações Finais e um Pouco de Humor
O Processo de Gestão de Riscos (PGR) deve ser aplicado sempre que:
• alguém em uma organização toma decisões - para garantir que os riscos criados ou modificados pela decisão
sejam compreendidos e estejam dentro dos critérios de risco da organização;

• houver uma mudança nos objetivos;

• ocorrerem mudanças efetivas no ambiente interno ou externo;

• for necessária a garantia de que a compreensão atual dos riscos é correta, abrangente e está de acordo com os
critérios de risco.
O PGR também pode (e deve) ser usado para atender a requisitos legais e outras obrigações e
comprometimentos de 'compliance' da organização.
O sucesso do Processo de Gestão de Riscos depende da aplicação de todas as etapas mencionadas neste artigo.
Portanto, se o propósito de uma determinada atividade está focado em uma das etapas, ela deve ser realizada de
maneira que leve em consideração as outras etapas do PGR.
Por exemplo, na etapa de análise de riscos, uma pessoa (ou um grupo de pessoas) com habilidades analíticas
específicas pode estar modelando a gama de consequências possíveis. Porém, esse trabalho só terá validade se a
tarefa de modelagem tiver sido informada pelas etapas anteriores do processo, mesmo que o modelador possa
não ter se envolvido em tais etapas.
Frequentemente, é necessário aplicar o PGR mais de uma vez, à medida que mais informações se tornam
disponíveis ou à medida que a tomada de decisão se torna mais detalhada.
O Processo de Gestão de Riscos geralmente será aplicado de forma mais eficaz se houver preparação e
planejamento adequados (incluindo preparação para quaisquer decisões que precisam ser tomadas
rapidamente), e os participantes possuírem habilidades adequadas.
Dependendo da finalidade e da complexidade das atividades, da natureza dinâmica do ambiente operacional e do
tempo disponível para a tomada de decisão, o PGR pode ser aplicado de forma visível envolvendo, por exemplo,
diversas pessoas em reuniões estruturadas ou como parte de uma linha específica de pensamento (intuitivo ou
não). Em ambos os casos, o PGR deve ser aplicado em sua totalidade, conforme enfatizado acima.
Por falar em pensamento intuitivo, alguns anos atrás publicamos esta bem-humorada e rápida história em
quadrinhos sobre o PGR...

Twitter
Facebook

Anterior