Em fevereiro de 2018, a International Standards Organization (ISO) divulgou uma versão atualizada de suas diretrizes de gerenciamento de risco, a norma ISO 31000:2018. A atualização de 2018, que substituiu a versão anterior de 2009, fornece:
- Linguagens atualizadas e simplificadas e estruturas de referência;
- Um foco renovado no papel de liderança que a alta gerência deve desempenhar para garantir que a gestão de riscos seja totalmente integrada em todos os níveis da organização;
- Maior atenção à natureza iterativa do gerenciamento de riscos, que enfatiza a noção de que as organizações devem avaliar seu processo de gerenciamento de riscos sempre à luz de novas informações.
Uma visão rápida da ISO 31000:2018
Em um mundo onde os padrões costumam ser escritos em centenas de páginas, as 16 páginas da ISO 31000:2018 constituem um guia sucinto e concentrado para ajudar as organizações a melhorar a maneira como gerenciam seus riscos. O documento, que pode ser lido em cerca de 1 hora, consiste em quatro seções principais:
- As definições de termos-chave, como risco, gerenciamento de risco, partes interessadas, fonte de risco, evento, conseqüência, probabilidade e controle;
- Os princípios da gestão de riscos, ou seja, que a gestão de riscos é integrada, executada por meio de uma abordagem estruturada e abrangente, customizada, inclusiva, dinâmica, baseada na melhor informação disponível sobre fatores humanos e culturais e continuamente aprimorada;
- Uma estrutura para garantir que o gerenciamento de riscos seja implementado adequadamente, bem integrado, cuidadosamente projetado, revisado regularmente e continuamente adaptado e aprimorado; e
- Uma seção sobre o processo de gerenciamento de riscos, incluindo os elementos tradicionais de identificação, análise, avaliação e tratamento de riscos, reforçada por um elemento de monitoramento e revisão, bem como um elemento de comunicação e consulta.
8 tópicos importantes da ISO 31000:2018
Embora a ISO 31000:2018 esteja longe de ser o único documento que cobre o gerenciamento de riscos corporativos, seria difícil encontrar um conjunto mais sucinto de princípios para implementar e avaliar um processo de gestão de riscos. Mas a brevidade não é apenas o único benefício deste documento. Abaixo estão oito dos principais tópicos da ISO 31000:2018.
1. O “patrocínio” executivo é fundamental
O documento inclui uma linguagem clara sobre a importância de uma liderança forte e compromisso com o programa de gerenciamento de risco. Os executivos devem garantir que o processo de gerenciamento de riscos esteja totalmente integrado em todos os níveis da organização e fortemente alinhado com os objetivos, estratégia e cultura.
2. Considere os riscos nas decisões de negócios
A ISO 31000:2018 também inclui um lembrete de que os conselhos são responsáveis por garantir que os riscos recebam a devida consideração quando as decisões estão sendo tomadas, uma vez que esses riscos podem afetar a capacidade da organização de agregar valor.
3. Enfatize a implementação adequada
Os conselhos também precisam garantir que o processo de gerenciamento de riscos seja implementado adequadamente e que os controles tenham o efeito pretendido. Os diretores podem não ter o domínio adequado para compreender totalmente o significado e o impacto que os riscos apresentam à organização. Nesses casos, eles devem contratar um consultor externo para fornecer o contexto e garantir que as ações da gerência estejam alinhadas com a importância estratégica do assunto.
4. A gestão de riscos não é de tamanho único
O documento tem uma clara articulação da gestão de riscos como um processo cíclico, com amplo espaço para personalização e aprimoramento. Mas, em vez de prescrever uma abordagem de tamanho único, o documento da ISO aconselhou a alta liderança a personalizar suas recomendações para a organização – em particular, seu perfil de risco, cultura e apetite de risco.
5. Seja proativo
Embora o documento não aborde especificamente alguns tipos de riscos, ele fornece uma orientação poderosa para ajudar os executivos a adotar uma postura proativa em relação ao risco e garantir que o gerenciamento de riscos seja integrado a todos os aspectos da tomada de decisões em todos os níveis da organização. Isso inclui continuidade de negócios, conformidade, gerenciamento de crises, RH, TI e resiliência organizacional.
6. Padronize seu vocabulário
O documento fornece uma linguagem comum com definições simples e descomplicadas de riscos, eventos, consequências e probabilidade. Os gestores devem alinhar o uso dos termos para garantir que as comunicações estejam ocorrendo sem o obstáculo da linguagem complexa. Se uma métrica é muito complexa, ela não deve ser compartilhada com destaque. No entanto, ainda pode ser útil como parte de uma métrica maior que represente linhas de tendência na integridade e na resiliência global da organização.
7. Use a melhor informação disponível
Grande parte da gestão de risco está centrada na melhor informação disponível, com toda a ambiguidade e imperfeições que o termo implica. Em vez de procurar apenas compartilhar informações de risco absoluto, os gestores devem adotar esse entendimento nebuloso e refletir sobre os dados que fornecem para solidificar seu papel como consultores eficazes para os negócios.
8. Avalie o sucesso
As diretrizes também enfatizam o valor da medição, avaliação e melhoria do próprio sistema de gerenciamento de risco. A ideia não é acertar tudo na primeira vez, mas melhorar a cada vez que o ciclo é concluído. Mesmo os dados de risco imperfeitos podem ser úteis, desde que sejam apresentados junto com uma linha do tempo mostrando uma tendência. Em última análise, os relatórios de riscos devem fornecer informações de qualidade aos executivos.
Independentemente de você estar pronto para implementar seu primeiro processo de gerenciamento de riscos ou de melhorar um já existente, as diretrizes da ISO 31000:2018 podem ajudar a gerenciar a incerteza e, ao mesmo tempo, proteger o valor de sua organização.