O objetivo deste artigo é apresentar alguns termos e definições que serão contemplados na publicação da futura NBR-ISO 31000, que está sendo elaborada pela CEE-63 - Comissão de Estudo Especial de Gestão de Riscos, formada por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros). Os documentos técnicos da ABNT são elaborados conforme as regras das diretivas ABNT, parte 2. A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. A elaboração das Normas Brasileiras é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais Temporárias (ABNT/CEET).
A Norma, em primeiro momento, não é destinada para fins de certificação. Será sim, para atender às necessidades de uma ampla gama de partes interessadas, tais como os responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações; com a finalidade de assegurar que os riscos serão eficazmente gerenciados na organização como um todo ou em uma área específica, atividade ou projeto específico; bem como aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.
Assim, adiante relaciono termos e definições para conhecimento:
1) Risco: efeito da incerteza nos objetivos. Nota: Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às conseqüências, ou uma combinação destes, expressas em termos de uma soma de conseqüências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada. A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua conseqüência ou probabilidade.
2) Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.
3) Estrutura da gestão de riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização. Nota: Os fundamentos incluem a política, objetivos, mandatos e comprometimento para gerenciar riscos. Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades. A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas estratégicas e operacionais de toda a organização.
4) Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.
5) Atitude perante o risco: abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do mesmo.
6) Apetite pelo risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir.
7) Aversão ao risco: atitude de afastar–se dos riscos.
8) Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciá-los. Nota: Os componentes de gestão, tipicamente, incluem procedimentos, práticas, atribuição de responsabilidades, seqüência e a cronologia das atividades, podendo ser aplicado a um determinado produto, processo e projeto, em parte ou em toda a organização.
9) Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco
10) Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.
11) Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao se efetuar o gerenciamento de riscos, e estabelecimento do escopo e dos critérios de risco para a política de sua gestão.
12) Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos. Nota: O contexto externo pode incluir os ambientes: cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e as relações com partes interessadas externas, e suas percepções e valores.
13) Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos. Nota: O contexto interno pode incluir:
a) Governança, estrutura organizacional, funções e responsabilidades;
b) Políticas, objetivos e as estratégias implementadas para atingi–los;
c) A capacidade, compreendida em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
d) Percepções e valores das partes interessadas internas;
e) Sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como informais);
f) Relações com partes interessadas internas, e suas percepções e valores;
g) A cultura da organização;
h) Normas, diretrizes e modelos adotados pela organização;
i) Forma e extensão das relações contratuais.
14) Comunicação e consulta: processos contínuos e interativos que uma organização conduz para fornecer, compartilhar ou obter informações, com relação ao gerenciamento de riscos. Nota: As informações podem referir-se à existência, natureza, forma, probabilidade, severidade, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de riscos. A consulta é um processo bidirecional de comunicação sistematizada entre uma organização e suas partes interessadas ou outros.
15) Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade. Nota: Um tomador de decisão pode ser uma parte interessada.
16) Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação dos riscos.
17) Identificação dos riscos: processo de busca, reconhecimento e descrição de riscos. Nota: A identificação de riscos envolve a identificação das fontes de riscos, suas causas e suas conseqüências potenciais. A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.
18) Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco. Nota: Uma fonte de risco pode ser tangível ou intangível.
19) Evento: ocorrência ou alteração em um conjunto específico de circunstâncias. Nota: Um evento pode consistir em uma ou mais ocorrências, podendo ter várias causas. Um evento pode consistir em algo que não venha acontecer. Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente". Um evento sem conseqüências também pode ser referido como um "quase acidente", ou um "incidente" ou "quase sucesso".
20) Conseqüência: resultado de um evento que afeta os objetivos. Nota: Um evento pode levar a uma série de conseqüências. Uma conseqüência pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. As conseqüências podem ser expressas qualitativa ou quantitativamente. As conseqüências iniciais podem desencadear reações em cadeia
21) Probabilidade (likelihood): chance de algo acontecer. Nota: Na terminologia de gestão de riscos, a palavra “probabilidade" é utilizada para referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemáticos (tal como uma probabilidade ou uma freqüência durante um determinado período de tempo).
22) Perfil de risco: descrição de um conjunto qualquer de riscos. Nota: O conjunto de riscos pode conter riscos que dizem respeito a toda a organização, parte da organização, ou referente ao que tiver sido definido.
23) Análise de riscos: processo pelo qual se busca compreender a natureza do risco e determinar o nível do mesmo. Nota: A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo a estimativa de riscos.
24) Critérios de risco: termos de referência contra a qual o significado de um risco é avaliado. Nota: Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e interno e podendo ser derivados de normas, leis, políticas e outros requisitos.
25) Nível de risco: magnitude de um risco, expressa em termos da combinação das conseqüências e de suas probabilidades.
26) Avaliação de riscos: processo de comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. Nota: A avaliação de riscos auxilia na decisão sobre o tratamento de riscos
27) Tratamento de riscos: processo para modificar o risco. Nota: O tratamento de risco pode envolver a ação de evitá-lo o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao mesmo; assumir ou aumentar o risco a fim de buscar uma oportunidade; a remoção da fonte de risco; a alteração da probabilidade; a alteração das conseqüências; o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e a retenção do risco por uma escolha consciente. Os tratamentos de riscos relativos a conseqüências negativas são muitas vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos". O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
28) Controle: medida que está modificando o risco. Nota: Os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que visam modificar o risco e nem sempre conseguem exercer o efeito de modificação pretendido ou presumido.
29) Risco residual: risco remanescente após o tratamento do risco. Nota: O risco residual pode conter riscos não identificados podendo também, ser conhecido como "risco retido".
30) Monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado. Nota: O monitoramento pode ser aplicado à estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou aos controles.
31) Análise crítica: atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos estabelecidos. Nota: A análise crítica pode ser aplicada à estrutura da gestão, ao processo de gestão ou aos controles dos riscos.
As organizações sofrem todos os dias do efeito da incerteza, denominado de "risco", que afeta os objetivos da organização.
Atualmente nas organizações, os departamentos agem isoladamente, avaliando os seus riscos, por meio de diversas ferramentas, dessa forma, o propósito fundamental da norma será que as organizações desenvolvam, programem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, na estratégia e planejamento, na gestão, nos processos de reportar dados e resultados, nas políticas, valores e cultura de toda a organização.
Portanto, a característica chave da Norma NBR-ISO 31000 será a inclusão do contexto como uma atividade no início do processo genérico de gestão de riscos.
Sobre o autor
Teanes Carlos Santos Silva
Especialista em Gerenciamento da Qualidade pela Universidade Bandeirante de São Paulo.
Profissional da segurança privada desde 1998 e atualmente Gestor em Projetos de Segurança Corporativo para negócios nas áreas de operadora logística, indústria alimentícia, indústria de papel e papelão, indústria de cosméticos, edifício empresarial, indústria de peças para automóveis, entre outros.
Secretário do Comitê Nacional de Prevenção Perdas da Associação Brasileira dos Profissionais de Segurança - ABSEG.
Conselheiro de Ética na Associação Brasileira dos Gestores de Segurança Acadêmico - ABGS.
A Norma, em primeiro momento, não é destinada para fins de certificação. Será sim, para atender às necessidades de uma ampla gama de partes interessadas, tais como os responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações; com a finalidade de assegurar que os riscos serão eficazmente gerenciados na organização como um todo ou em uma área específica, atividade ou projeto específico; bem como aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.
Assim, adiante relaciono termos e definições para conhecimento:
1) Risco: efeito da incerteza nos objetivos. Nota: Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às conseqüências, ou uma combinação destes, expressas em termos de uma soma de conseqüências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada. A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua conseqüência ou probabilidade.
2) Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.
3) Estrutura da gestão de riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização. Nota: Os fundamentos incluem a política, objetivos, mandatos e comprometimento para gerenciar riscos. Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades. A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas estratégicas e operacionais de toda a organização.
4) Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.
5) Atitude perante o risco: abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do mesmo.
6) Apetite pelo risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir.
7) Aversão ao risco: atitude de afastar–se dos riscos.
8) Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciá-los. Nota: Os componentes de gestão, tipicamente, incluem procedimentos, práticas, atribuição de responsabilidades, seqüência e a cronologia das atividades, podendo ser aplicado a um determinado produto, processo e projeto, em parte ou em toda a organização.
9) Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco
10) Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.
11) Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao se efetuar o gerenciamento de riscos, e estabelecimento do escopo e dos critérios de risco para a política de sua gestão.
12) Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos. Nota: O contexto externo pode incluir os ambientes: cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e as relações com partes interessadas externas, e suas percepções e valores.
13) Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos. Nota: O contexto interno pode incluir:
a) Governança, estrutura organizacional, funções e responsabilidades;
b) Políticas, objetivos e as estratégias implementadas para atingi–los;
c) A capacidade, compreendida em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
d) Percepções e valores das partes interessadas internas;
e) Sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como informais);
f) Relações com partes interessadas internas, e suas percepções e valores;
g) A cultura da organização;
h) Normas, diretrizes e modelos adotados pela organização;
i) Forma e extensão das relações contratuais.
14) Comunicação e consulta: processos contínuos e interativos que uma organização conduz para fornecer, compartilhar ou obter informações, com relação ao gerenciamento de riscos. Nota: As informações podem referir-se à existência, natureza, forma, probabilidade, severidade, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de riscos. A consulta é um processo bidirecional de comunicação sistematizada entre uma organização e suas partes interessadas ou outros.
15) Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade. Nota: Um tomador de decisão pode ser uma parte interessada.
16) Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação dos riscos.
17) Identificação dos riscos: processo de busca, reconhecimento e descrição de riscos. Nota: A identificação de riscos envolve a identificação das fontes de riscos, suas causas e suas conseqüências potenciais. A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.
18) Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco. Nota: Uma fonte de risco pode ser tangível ou intangível.
19) Evento: ocorrência ou alteração em um conjunto específico de circunstâncias. Nota: Um evento pode consistir em uma ou mais ocorrências, podendo ter várias causas. Um evento pode consistir em algo que não venha acontecer. Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente". Um evento sem conseqüências também pode ser referido como um "quase acidente", ou um "incidente" ou "quase sucesso".
20) Conseqüência: resultado de um evento que afeta os objetivos. Nota: Um evento pode levar a uma série de conseqüências. Uma conseqüência pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. As conseqüências podem ser expressas qualitativa ou quantitativamente. As conseqüências iniciais podem desencadear reações em cadeia
21) Probabilidade (likelihood): chance de algo acontecer. Nota: Na terminologia de gestão de riscos, a palavra “probabilidade" é utilizada para referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemáticos (tal como uma probabilidade ou uma freqüência durante um determinado período de tempo).
22) Perfil de risco: descrição de um conjunto qualquer de riscos. Nota: O conjunto de riscos pode conter riscos que dizem respeito a toda a organização, parte da organização, ou referente ao que tiver sido definido.
23) Análise de riscos: processo pelo qual se busca compreender a natureza do risco e determinar o nível do mesmo. Nota: A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo a estimativa de riscos.
24) Critérios de risco: termos de referência contra a qual o significado de um risco é avaliado. Nota: Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e interno e podendo ser derivados de normas, leis, políticas e outros requisitos.
25) Nível de risco: magnitude de um risco, expressa em termos da combinação das conseqüências e de suas probabilidades.
26) Avaliação de riscos: processo de comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. Nota: A avaliação de riscos auxilia na decisão sobre o tratamento de riscos
27) Tratamento de riscos: processo para modificar o risco. Nota: O tratamento de risco pode envolver a ação de evitá-lo o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao mesmo; assumir ou aumentar o risco a fim de buscar uma oportunidade; a remoção da fonte de risco; a alteração da probabilidade; a alteração das conseqüências; o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e a retenção do risco por uma escolha consciente. Os tratamentos de riscos relativos a conseqüências negativas são muitas vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos". O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
28) Controle: medida que está modificando o risco. Nota: Os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que visam modificar o risco e nem sempre conseguem exercer o efeito de modificação pretendido ou presumido.
29) Risco residual: risco remanescente após o tratamento do risco. Nota: O risco residual pode conter riscos não identificados podendo também, ser conhecido como "risco retido".
30) Monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado. Nota: O monitoramento pode ser aplicado à estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou aos controles.
31) Análise crítica: atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos estabelecidos. Nota: A análise crítica pode ser aplicada à estrutura da gestão, ao processo de gestão ou aos controles dos riscos.
As organizações sofrem todos os dias do efeito da incerteza, denominado de "risco", que afeta os objetivos da organização.
Atualmente nas organizações, os departamentos agem isoladamente, avaliando os seus riscos, por meio de diversas ferramentas, dessa forma, o propósito fundamental da norma será que as organizações desenvolvam, programem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, na estratégia e planejamento, na gestão, nos processos de reportar dados e resultados, nas políticas, valores e cultura de toda a organização.
Portanto, a característica chave da Norma NBR-ISO 31000 será a inclusão do contexto como uma atividade no início do processo genérico de gestão de riscos.
Sobre o autor
Teanes Carlos Santos Silva
Especialista em Gerenciamento da Qualidade pela Universidade Bandeirante de São Paulo.
Profissional da segurança privada desde 1998 e atualmente Gestor em Projetos de Segurança Corporativo para negócios nas áreas de operadora logística, indústria alimentícia, indústria de papel e papelão, indústria de cosméticos, edifício empresarial, indústria de peças para automóveis, entre outros.
Secretário do Comitê Nacional de Prevenção Perdas da Associação Brasileira dos Profissionais de Segurança - ABSEG.
Conselheiro de Ética na Associação Brasileira dos Gestores de Segurança Acadêmico - ABGS.
Comentários