ISO 31000: O Novo Padrão para Gestão de Riscos 14 Dez 2009| FONTE - Da Redação Nesta entrevista Alberto Bastos, Sócio-fundador da Módulo e Coordenador no Brasil da Comissão Especial da ABNT, que participou das reuniões internacionais para desenvolvimento da ISO 31000, fala sobre as principais diferenças e benefícios desta nova norma. Publicada oficialmente em 13 de novembro de 2009, a ISO 31000 foi desenvolvida por um grupo de especialistas representantes de mais de 30 países e tem por objetivo servir como um guia mestre para Gestão de Riscos. Em conjunto com a ISO 31000 foi publicada também a nova versão do ISO Guide 73, revisado revis ado pelo mesmo grupo. O Brasil participou ativamente desse desenvolvimento enviando comentários e sugestões através da Comissão Especial de Estudo Gestão de Riscos da ABNT, AB NT, que atualmente possui mais de 400 participantes de empresas e organizações dos mais variados segmentos como Indústria, Bancos, Seguros, Tecnologia, Energia, Universidades, Telecomunicações, Saúde, Agronegócios, Segurança dentre outros.
1. Existe atualmente uma série de normas para g estão de riscos, que em um p rimeiro momento parecem similares. Por que adotar a norma ISO 31000?
A criação de padrões é um elemento fundamental para desenvolver uma linguagem comum, sistemas de gestão, normas e procedimentos para para orientar as organizações como um todo e disseminar a cultura de Gestão de Riscos. Atualmente existem vários padrões padrões que se complementam de alguma forma. forma. A idéia a partir de agora agora é usar a ISO 31000 como referência em todos estes padrões padrões que envolvam Gestão de Riscos.
O objetivo da ISO 31000 é ser a “norma-das-normas” para Gestão de Riscos, seja este risco ambiental, operacional ou financeiro aplicáveis as organizações de todos os tipos e tamanhos.
2. Com a norma ISO 31000 o senhor acredita que a tendência das organizações será manter a Gestão de Riscos integrada (ambiental, financeira, segurança da informação, etc)?
O lançamento da ISO 31000 representa um grande marco para a integração destas áreas e funções nas organizações. A norma recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, gestão, políticas, valores e cultura em toda a organização.
3. As empresas que já utilizam modelos de Gestão de Riscos devem adotar imediatamente a ISO 31000? Qual a estimativa de tempo para adoção d a norma?
Em um primeiro momento é preciso adquirir e conhecer o documento, que contém apenas 24 páginas, proporcionando uma leitura bem rápida. A partir de então, deve-se escolher o melhor modelo para implementar a estrutura em sua organização. Como a ISO 31000 não é uma norma de certificação, a urgência em seguir rigidamente alguns passos é menor. Já o tempo de adoção pode variar em cada organização. Em uma empresa de grande porte pode levar de 3 a 4 anos em média, dependendo do escopo.
4. Existe a tendência de criar novas normas da série 31000 extinguindo outras?
Foi lançada recentemente a norma ISO 31010: Risk Management – Risk assessment techniques, cujo escopo é fornecer orientações sobre a definição e aplicação de técnicas e sistemáticas para avaliação de riscos. Este padrão também não se destina a certificação e complementa a ISO 31000 com métodos e técnicas detalhadas.
5. Qual a importância da ISO Guia 73 em todo esse contexto?
Especificamente sobre o Guia 73, é importante que as organizações adotem os conceitos e terminologia para criar uma linguagem comum nas diferentes áreas, funções e processos que de alguma forma lidam com gestão de riscos.
6. Qual a relação entre as normas 27001, 27002 e 27005 com a 31000? A ISO 31000 substitui a ISO 27005?
A ISO 31000 não substitui nenhuma norma existente. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre um sistema de gestão de Segurança da Informação, onde inclui: 27001 e 27002. Essa norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da Segurança da Informação, já a ISO 31000 é mais genérica contempla todos os setores. Existe atualmente uma força tarefa em andamento para que a ISO 27005 seja imediatamente revisada e alinhada com a ISO 31000.
7. As normas já estão disponíveis em português?
No Brasil, ambas as normas foram traduzidas e publicadas pela ABNT em 30 de novembro, como normas brasileiras, ABNT NBR ISO 31000 e ABNT ISO Guia 73. As normas podem ser adquiridas no site da ABNT: http://www.abntcatalogo.com.br ao preço de R$ 74,80 (ABNT NBR ISO 31000:2009) e R$ 49,70 (ABNT ISO GUIA 73:2009)
8 - Quais são os próximos passos do Comitê de Gestão de Riscos?
Vamos iniciar o planejamento estratégico para estabelecer objetivos e metas da comissão bem como definir os próximos passos do grupo. Algumas idéias já existem, desenvolvimento de normas internacionais de Gestão de Riscos e continuidade de negócios.
Como alguns leitores têm me perguntado com frequência sobre a nova ISO 31000 e sobre como ela está sendo elaborada pela International Organization for Standardization (ISO), segue uma matéria que publicamos meses atrás. A ISO 31000 será uma norma geral de Gestão de Riscos, independente da área ou segmento de atuação, e irá fornecer diretrizes e princípios para a implementação da Gestão de Riscos nas organizações e para a criação de outras normas técnicas específicas. A publicação oficial na norma está prevista para outubro de 2009 e a intenção é que, futuramente, as normas ISO de todas as áreas que abordam a Gestão de Riscos falem a mesma língua e conceitos da ISO 31000. A proposta de convergência está alinhada com a visão integrada de ERM Enterprise Risk Management . Portanto, por se tratar de uma norma de alto nível, não há concorrência com as normas já existentes, sendo que a ISO 31000 fornecerá orientações e alinhamento com outras normas específicas, como é o caso, por exemplo, da ISO 27001, que é uma especificação de um sistema de gestão da segurança da informação baseado em um processo de Gestão de Riscos. O texto original da ISO 31000 foi baseado na consagrada norma AS/NZS 4360:2004. O desenvolvimento da norma internacional está sendo feito por um comitê especial composto por delegações de 35 países que se uniram para criar um grupo de trabalho único, denominado ISO Technical Management Board on Risk Management . Esse grupo é multidisciplinar e abrange profissionais de diversas áreas, como a financeira, governança corporativa, segurança, agronegócios, qualidade, meio ambiente, tecnologia, projetos, saúde, defesa, seguros, etc. No Brasil, a ABNT - Associação Brasileira de Normas Técnicas - criou a Comissão de Estudo Especial de Gestão de Riscos, com o intuito de discutir e definir normas brasileiras sobre o assunto. Essa comissão também compila idéias e comentários dos diferentes membros e participantes em um documento consolidado, que é enviado ao grupo internacional como posição brasileira. "É comum que as empresas tratem a Gestão de Riscos de forma isolada e muitas vezes em feudos (ou silos), utilizando terminologia, sistemas, critérios e conceitos diferentes. Mas, na visão corporativa, os riscos devem ser vistos de forma unificada! Acreditamos que, depois de pronta, a ISO 31000 terá uma adesão imediata em todo o mundo", ressalta Alberto Bastos, coordenador da comissão brasileira. Quem participa da comissão da ABNT
Ao todo, são mais de 100 empresas e entidades de diferentes setores, entre elas
estão: ABGR, ABIN, ASSESPRO, Banco do Brasil, Bayer, ABIQUIM, BNDES, CEF, CEMIG, CETIP, COPPE/UFRJ, CQSI, EMBRAER, FNPQ, FEBRABAN, Módulo Security, ONS, PETROBRAS, PNUD, QSP, RiskControl, SABESP, Samarco Mineração, SERASA, SERPRO, Tribunal de Contas da União e Xerox Afinal, a nova ISO 31000 de Gestão de Riscos é certificável ou não? Vou explicar a situação para vocês. De fato, a norma brasileira e internacional ABNT NBR ISO 31000:2009 não é destinada para fins de certificação. Entretanto, o que está ocorrendo é que organizações como o Biocor Instituto, por razões operacionais e estratégicas, manifestaram interesse em se certificar apoiando-se totalmente na nova referência mundial em Gestão de Riscos, que é a ISO 31000. Aí surgiu o desafio: como utilizar uma norma de diretrizes (recomendações) como protocolo de auditoria? A solução que encontramos foi criar uma norma de referência que fosse auditável (e, consequentemente, certificável), integralmente baseada na ISO 31000. Assim surgiu a QSP 31000:2010 (que, obviamente, não pode ser comercializada nem distribuída). Deve-se observar no link a seguir que o conteúdo da norma auditável do QSP engloba praticamente toda a ISO 31000, transformando as suas recomendações em itens que podem ser constatados através de evidências objetivas. Além disso, convertemos o "framework" (estrutura) para gerenciar riscos proposto pela ISO 31000 em Sistema de Gestão de Riscos, acrescentando requisitos de documentação, auditoria interna, etc. -Enviado em Gestão de Negócios tagged Crises de imagem, Gestão de Negócios, Gestão de Riscos, ISO 31000 às 20:22 por Ricardo Campos
A partir de outubro de 2009 corporações dos mais diversos portes e segmentos contarão com uma norma universal voltada especificamente à Gestão de Riscos. Batizada de ISO 31000: Principles and guidelines for risk management, a nova série de orientações da International Organization for Standardization (ISO) surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormente e que de alguma forma estão relacionados com a gestão de riscos.
A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos
ligados aos diferentes setores da organização, tais como financeiro e de projetos, bem como à área da saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade.
Até agora, porém, a falta de um consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos faz com que as organizações enfrentem dificuldades em integrar as suas diferentes funções e atividades relativas ao assunto. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, ocasionando muitas vezes a geração dos chamados silos ou ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das áreas da empresa.
Por conta disso, o grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos. Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), a nova norma não concorre com outras orientações já existentes como a ISO/IEC 27005 – norma técnica específica de gestão de riscos em segurança da informação, fornecendo orientações e alinhamento com outros conjuntos de regras específicos.
Da mesma forma que as normas ISO 9000 na área da Qualidade e a ISO 14000 na área de Meio Ambiente tornaram-se referências para adoção e implementação da gestão destes temas nas organizações, a partir do lançamento da ISO 31000 os países passarão a contar com uma norma de gestão de riscos com reconhecimento internacional. Neste cenário, o Brasil, através da Comissão de Estudo Especial para Gestão de Riscos da ABNT (Associação Brasileira de Normas Técnicas), promete caminhar na liderança deste movimento. A versão brasileira da norma está sendo desenvolvida com o apoio de especialistas em gestão de riscos de várias e mpresas no país para atender às necessidades específicas do mercado nacional e deverá ser lançada quase que simultaneamente à versão original. Análise
Gerenciar os riscos já não é novidade para empresas que mantêm uma boa governança que não querem dispensar seu rico dinheirinho com ações na justiça, advogados, recalls e pedidos públicos de desculpas, gerando um prejuízo ainda maior para a credibilidade e reputação destas instituições. Como bem destacou Alberto Bastos, a Gestão de Riscos está ligada não apenas a área financeira, mas também as iniciativas estratégicas e operacionais. Desta forma ela deve receber atenção de todos os setores da organização sobre fatores que podem afetar os objetivos institucionais. Em tempos de crise a Gestão de Riscos tornou-se ainda mais necessária para empresas que se preocupam com a sustentabilidade e a perenidade de seus negócios.
Risk management - Principles and guidelines
ISO 31000:2009 provides principles and generic guidelines on risk management. ISO 31000:2009 can be used by any public, private or community enterprise, association, group or individual. Therefore, ISO 31000:2009 is not specific to any industry or sector. ISO 31000:2009 can be applied throughout the life of an organization, and to a wide range of activities, including strategies and decisions, operations, processes, functions, projects, products, services and assets. ISO 31000:2009 can be applied to any type of risk, whatever its nature, whether having positive or negative consequences. Although ISO 31000:2009 provides generic guidelines, it is not intended to promote uniformity of risk management across organizations. The design and implementation of risk management plans and frameworks will need to take into account the varying needs of a specific organization, its particular objectives, context, structure, operations, processes, functions, projects, products, services, or assets and specific practices employed. It is intended that ISO 31000:2009 be utilized to harmonize risk management processes in existing and future standards. It provides a common approach in support of standards dealing with specific risks and/or sectors, and does not replace those standards. ISO 31000:2009 is not intended for the purpose of certification.
Gestão do risco - Princípios e orientações ISO 31000:2009 estabelece os princípios e orientações genéricas sobre a gestão de risco. ISO 31000:2009 pode ser utilizado por qualquer entidade pública, privada ou comunitária da empresa, associação, grupo ou indivíduo. Portanto, ISO 31000:2009 não é específico para qualquer indústria ou sector. ISO 31000:2009 pode ser aplicada em toda a vida de uma organização, e para um vasto leque de actividades, incluindo as estratégias e decisões, acções, processos, funções, projetos, produtos, serviços e bens. ISO 31000:2009 pode ser aplicada a qualquer tipo de risco, independentemente da sua natureza, se a ter consequências positivas ou negativas.
Embora a ISO 31000:2009 fornece orientações genéricas, que não se destina a promover a uniformidade da gestão do risco nas organizações. A concepção e implementação de planos de gestão de riscos e quadros terão de ter em conta as diferentes necessidades de uma organização específica, os seus objectivos específicos, o contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou bens e práticas específicas empregadas . Pretende-se que a ISO 31000:2009 ser utilizada para harmonizar os processos de gestão de risco nas normas existentes e futuras. Ele oferece uma abordagem comum em apoio de normas lidar com riscos específicos e / ou sectores, e não substituem as normas. ISO 31000:2009 não é destinado para fins de certificação. --