A partir da publicação da ISO31000 “Gestão de Risco – Princípios e Diretrizes” em 2009, as normas de sistema de gestão ISO9001:2015, ISO14001:2015, IATF16949:2016, ISO45001:2018 e outras passaram a adotar a gestão de riscos e oportunidades como pedra angular dos sistemas de gestão. No entanto, passados os primeiros anos da aplicação dessas normas, ainda é possível notar muito desconhecimento do assunto e abordagens nem sempre eficazes. Nesse breve artigo queremos fornecer algumas “dicas” de como abordar esse assunto.
A ISO9000:2015 define risco como o “efeito da incerteza”, e esclarece que a incerteza é o estado, ainda que parcial, de deficiência de informação, de compreensão ou de conhecimento relacionado a um evento, sua consequência ou sua probabilidade. Ainda, a norma diz que esse efeito pode ser um desvio positivo ou negativo do esperado. Outra explicação dada pela norma é que o risco é frequentemente caracterizado pela referência a “eventos” potenciais e “consequências”, ou uma combinação desses. Ou seja, o risco pode ou não já ter ocorrido e tem consequências. A ISO31000 define melhor risco como o “efeito da incerteza sobre o objetivo”.
Pode-se depreender dessas definições que o risco mencionado na ISO9001:2015 é o resultado ou consequência do processo decisório da empresa, que pode ser melhor ou pior que o esperado. De maneira gráfica, para melhor compreensão:
A ISO9000:2015 acrescenta ainda que risco é frequentemente expresso em termos de uma combinação das consequências de um evento (incluindo mudanças em circunstâncias) e a ”probabilidade” associada de ocorrência. Nessa abordagem, adotada pelo FMEA e Segurança e Saúde Ocupacional por exemplo, o risco é um número, resultado da multiplicação de um grau de severidade e de probabilidade de uma possível consequência do evento analisado. De maneira gráfica:
A ISO9000:2015 não traz definição de oportunidade, mas a ISO14001:2015 indica que riscos são os efeitos potenciais adversos (ameaças) e oportunidades são os efeitos potenciais benéficos (oportunidades), e essa é a interpretação aceita para as demais normas. A ISO9001:2015 e ISO45001:2018 acrescentam que oportunidade é uma circunstância ou conjunto de circunstâncias que pode assegurar resultados pretendidos, aumentar efeitos desejáveis, reduzir efeitos indesejáveis e melhorar o desempenho, e que nem todos os efeitos positivos de risco resultam em oportunidade. As normas todas induzem a que os riscos e oportunidades sejam tratados pelos mesmos processos de maneira equivalente. A ISO9001:2015 e as demais normas determinam que os riscos e oportunidades surgem da análise do contexto interno e externo e dos requisitos das partes interessadas (item 6.1.1), que ações devem ser planejadas para abordar os riscos e oportunidades (item 6.1.2) e que essas ações devem ser implementada nos processos (itens 4.4.1.f e 6.1.2). Cabe à Alta Direção determinar e abordar os riscos e oportunidades (item 5.1.2.b). Entre as opções para tratamento de riscos estão: eliminar o risco, mitigar o risco ou aceitar o risco.
Algumas dicas para tratar riscos e oportunidades:
– usar matriz SWOT para analisar o contexto interno (fraquezas e fortalezas) e externo (ameaças e oportunidades) e as informações sobre requisitos (necessidades, expectativas) de partes interessadas para identificar os riscos e oportunidades. Oportunidades são claramente apresentadas e fortalezas podem identificar oportunidades também. Fraquezas e ameaças podem identificar riscos.
– atenção especial para não confundir o risco ou oportunidade com suas causas (ou fonte de risco, como definido na ISO31000). Por exemplo, “recall”, “perda de cliente”, “custos de não qualidade” podem ser riscos, enquanto “produto não conforme” pode ser uma causa desses riscos, e não mais um risco.
– os riscos podem ou não já ter produzido consequencias, e os controles podem ou não existir.
– adotar um critério para definir quais riscos devem ser mitigados, aceitos ou eliminados. Se forem adotados critérios numéricos, à semelhança de um FMEA ou matriz GUT, provavelmente não serão os mesmos para riscos e para oportunidades.
– as ações devem ser atribuídas aos processos, e dentro desses, responsáveis e prazos devem ser definidos para a tomada de ações. Essas ações podem significar controles, e devem ser acompanhadas e registros devem ser mantidos.
– cuidado para que os riscos e oportunidades identificados pela Alta Direção realmente sejam endereçados aos processos que devem tratá-los, e caso os processos identifiquem outros riscos, levá-los ao conhecimento da Direção para melhoria contínua do processo.
– a eficácia dessas ações devem ser avaliadas e levadas à apreciação da Alta Direção (item 9.3.2.e). Ações podem ser consideradas eficazes mesmo com risco residual, conforme o critério adotado.
– avaliar se existe coerência entre os objetivos da organização (da qualidade, ambientais, de SSO etc.) e os riscos e oportunidades, observando a definição de risco adotada pela ISO31000
A Lato Qualitas pode auxiliar sua empresa a gerir melhor seus riscos e oportunidades.
Nasario de S. F. Duarte Jr.
4 de dezembro de 2018
