terça-feira, 5 de junho de 2012

O processo de Gestão de Riscos da ISO 31000


Em 2009 foi lançada a versão brasileira da norma de gestão de riscos, a ABNT NBR ISO 31000:2009 - Gestão de Riscos - Princípios e Diretrizes. Muitas são as pessoas que já estão estudando e iniciando processos de implantação desta norma em empresas, a quantidade de publicações e cursos sobre o tema também vêm aumentando. Hoje vou apresentar um resumo do processo de gestão de Riscos da ISO 31000 (Requisito 5), que um pouco se assemelha aos processos de gestão de riscos do Guia PMBOK de Gerenciamento de Projetos e também da OHSAS 18001:2007. Já apresentamos aqui no Total Qualidade os princípios da ISO 31000. Aproveite para conhecer também.


Processo de Gestão de Riscos


5.2 Comunicação e Consulta

A consulta as partes interessadas, tanto externas quanto internas é essencial num processo de gestão de riscos. Isso deverá ocorrer em todas as fases, tanto no estabelecimento dos critérios de risco, na identificação, avaliação e tratamento de riscos ou em ocorrências de sinistros. A cada momento é necessário que a organização tenha as ferramentas e técnicas adequadas para a comunicação. Um dos princípios da gestão de riscos é que o processo de gerenciar riscos deve ser parte integrante de todos os processos organizacionais, para que isso possa ser concretizado, um bom plano de comunicação deve ser planejados nas etapas iniciais.

5.3 Estabelecimento do Contexto

Nesse momento são definidos os critérios para gestão de riscos e o escopo da gestão. O contexto deve ser dividido em contexto interno e externo a organização. No contexto interno a organização deve analisar a sua estrutura organizacional, processos, responsabilidades, os sistemas de informação internos e o diálogo e relações com as partes interessadas internas. No contexto externo questões como o ambiente cultural, legal, social, político, financeiro, tecnológico, e econômico devem ser avaliados, assim como a relação com partes interessadas externas, sua percepção e valores.

5.4 Processo de Avaliação de Risco

5.4.2 Identificação de Riscos

Essa é a fase onde um conjunto de riscos devem ser identificados, nesta etapa o objetivo é gerar uma lista abrangente de riscos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. Um risco não identificado nesta fase não será incluído em análises posteriores, por isso é importante que muita atenção e esforço sejam feitas nessa análise. A tendência é que as organizações com o tempo passem a incrementar essa lista com novas fontes de risco, o processo deve melhorar continuamente.

5.4.3 Análise de Riscos

A análise de riscos vai fornecer uma compreensão sobre os riscos. Envolve a apreciação das causas e das fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Nessa etapa a organização deverá analisar todos os riscos identificados, verificando quais são as consequências e probabilidade dos riscos, isso será insumo para a etapa posterior.

Segundo a ISO 31000 "a análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo da circunstância a análise pode ser qualitativa, semiquantitativa, quantitativa ou uma combinação destas." Organizações menores com menos recursos tecnológicos terão mais dificuldade de conduzir uma análise quantitativa dos riscos, mas isso não impede que um processo de gestão possa ser estabelecido e traga resultados satisfatórios.

5.4.4 Avaliação de Riscos

Quais riscos precisam de tratamento? Qual a prioridade para implementação do tratamento?Este é o momento de dizer, por exemplo, se um risco deve ou não ser tratado e com qual prioridade.

A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado. Com base nesta comparação, a necessidade de tratamento pode ser considerada.

5.5 Tratamento de Riscos

Segundo a ISO 31000 "O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes"

Aqui são implementados os planos de ação para tratamento dos riscos.

Em geral, riscos podem ser:

  • Evitados, não realizar a atividade;
  • Aumentados, quando eles forem uma oportunidade (risco positivo);
  • Remoção da fonte de risco;
  • Redução da probabilidade de ocorrer;
  • Redução da consequência;
  • Compartilhados com terceiros (seguros por exemplo);
  • Retidos por uma decisão bem consciente e embasada.
5.6 Monitoramento e Análise Crítica

Ao longo do processo de gestão de riscos a melhoria contínua deverá acontecer. Ao longo da utilização da metodologia os critérios de riscos poderão ser alterados, novas ocorrências poderão incrementar as listas de riscos e oportunidades poderão ser consideradas. O contexto interno e externo podem sofrer alterações e a organização aprender com seus sucessos e falhas. Você poderá criar indicadores também para o seu processo de gestão de riscos e identificar pontos de melhoria a cada medição.
____________________________________________________________________

A ISO 31000 fornece as empresas uma excelente diretriz para a gestão de riscos, aproveitar essa ferramenta e integrá-la a sua estrutura de gestão poderá ser um bom ingrediente para manter o seu negócio equilibrado e sob - controle numa visão de longo prazo.
Postado por José Ricardo Rigoni às 09:39 | Marcadores: ,

Artigos Relacionados

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)

Encontre os Melhores Cursos sobre Qualidade

Pesquisa personalizada
 
BlogBlogs.Com.Br