Entenda a ISO 31000 e seu relacionamento com as novas normas ISO
Por Márcia Guerra
As empresas de todos os tipos e tamanhos enfrentam influências de fatores internos e externos que afetam seu dia a dia e as possibilidades de atingir seus objetivos, são os custos que só aumentam, a situação econômica do país, os impostos que são enormes, entre muitos outros fatores. O efeito que esta incerteza tem sobre os objetivos da organização é chamado de risco.
Todas as atividades envolvem risco. As empresas gerenciam o risco, identificando, analisando e, em seguida, avaliando se o risco deve ser ou não tratado a fim de atender a seus critérios de risco. A
NBR ISO 31000:2009 traz um modelo para este processo, estabelecendo princípios que precisam ser atendidos para tornar a gestão de riscos eficaz.
O processo de gestão de riscos pode ser usado em toda organização ou em determinados processos da organização, então se você é de TI, Vendas, Prestação de Serviços ou Produção, por exemplo, você pode implantar a gestão de riscos apenas no seu processo, em uma área, função, atividade ou projeto especifico. É importante, porém sempre integrar o processo de gestão de riscos na governança, estratégia e planejamento, gestão e reportar os resultados para toda organização.
Existem 2 normas importantes, a
ISO 31000 que trata do sistema de gestão de riscos e a ISO 31010 que trata de ferramentas para análise de riscos. Nós já temos no site o curso
Tratamento de Riscos que ensina algumas ferramentas para análise de riscos, vale a pena fazer este curso para aprender What if, APP, AAF, HAZOP, FMEA:
APP ou APR – Análise Preliminar de Perigo / Risco
What if – O que aconteceria se?
AAF – Análise da Árvore de Falhas (Fault Tree Analysis - FTA)
HAZOP – HAZard and OPerability studies
FMEA - Failure Mode and Effect Analysis
Uma das principais mudanças na revisão 2015 das normas
ISO 9001 e
ISO 14001, e da nova
ISO 45001 é estabelecer uma abordagem sistemática ao risco, em vez de tratá-lo como um único componente de um sistema de gestão. Através de uma abordagem baseada no risco, uma organização torna-se proativa ao invés de puramente reativa. A ação preventiva é automática quando um sistema de gestão é baseado no risco.
O que é a mentalidade de risco?
É algo que todos nós fazemos automaticamente, por exemplo: Se eu quiser atravessar uma estrada eu primeiro olho para o fluxo do tráfego, antes de começar a atravessar, porque eu não quero entrar na frente de um carro em movimento.
Risco é o efeito da incerteza
Alguns conceitos são importantes e devem ser entendidos:
Perigo: Fonte potencial de risco.
Probabilidade: Chance de algo acontecer.
Três abordagens são geralmente empregadas para estimar probabilidade: Uso de dados históricos relevantes; Previsão de probabilidades utilizando técnicas analíticas ou de simulação; Uso do julgamento de especialistas. Qual é a probabilidade de um incidente ou um acidente ocorrer? 10%, 50%, 90%
Gravidade: Medida das possíveis consequências de um perigo.
O risco é a combinação da probabilidade de ocorrência de um perigo e das consequências do perigo criado, ou seja, sua gravidade.
Veja agora alguns exemplos de uso de ferramentas para tratamento de riscos:
Exemplo de Avaliação de Risco na Produção de Lápis
Exemplo de What if – Técnica de identificação de perigos e operabilidade
Lavar roupa utilizando máquina lavadora automática
Exemplo Análise da Árvore de Falhas – AAF
Quarto Escuro
Ferramentas indicadas pela ISO/IEC 31010 para o processo de avaliação de riscos
Brainstorming
Entrevistas Estruturadas ou Semi-estruturadas
Técnica de Delphi
Checklists
Análise Preliminar de Perigos (APP)
Estudo de Perigos e Operabilidade (HAZOP)
Análise de Perigos e Pontos Críticos de Controle (HACCP)
Avaliação de Riscos Ambientais
Técnica Estruturada de What-If (SWIFT)
Análise de Cenários
Análise de Impactos no Negócio (BIA)
Análise de Causa-Raiz (RCA)
Análise de Modos de Falha e Efeitos (FMEA/FMECA)
Análise de Árvore de Falhas (FTA)
Análise de Árvore de Eventos (ETA)
Análise de Causa & Consequência
Análise de Causa-e-Efeito
Análise de Camadas de Proteção (LOPA)
Análise de Árvore de Decisões
Análise de Confiabilidade Humana (HRA)
Análise da Gravata Borboleta (Bow-Tie Analysis)
Manutenção Centrada em Confiabilidade (RCM)
Análise de Circuitos Ocultos (Sneak Circuit Analysis)
Análise de Markov
Simulação de Monte Carlo
Estatística Bayesiana e Redes de Bayes
Curvas F-N
Índices de Risco
Matriz de Probabilidade/ Consequência
Análise de Custo- Benefício (CBA)
Análise de Decisão por Multicritérios (MCDA)
Índice da ISO 31000
Introdução
1. Escopo
2. Termos e definições
3. Princípios da norma ISO 31000
4. Estrutura
4.1 Generalidades
4.2 Mandato e comprometimento
4.3 Concepção da estrutura para gerenciar riscos
4.3.1 Entendimento da organização e seu contexto
4.3.2 Estabelecimento da política de gestão de riscos
4.3.3 Responsabilização
4.3.4 Integração nos processos organizacionais
4.3.5 Recursos
4.3.6 Estabelecimento de comunicação e reporte internos
4.3.7 Estabelecimento de comunicação e reporte externos
4.4 Implementação da gestão de riscos
4.4.1 Implementação da estrutura para gerenciar riscos
4.4.2 Implementação do processo de gestão de riscos
4.5 Monitoramento e análise crítica da estrutura
4.6 Melhoria continua da estrutura
5. Processo
5.1 Generalidades
5.2 Comunicação e consulta
5.3 Estabelecimento do contexto
5.3.1 Generalidades
5.3.2 Estabelecimento de contexto externo
5.3.3 Estabelecimento de contexto interno
5.3.4 Estabelecimento de contexto do processo de gestão de riscos
5.3.5 Definição dos critérios de risco
5.4 Processo de avaliação de riscos
5.4.1 Generalidades
5.4.2 Identificação de riscos
5.4.3 Análise de riscos
5.4.4 Avaliação de riscos
5.5 Tratamento de riscos
5.5.1 Generalidades
5.5.2 Seleção das opções de tratamento de riscos
5.5.3 Preparando e implementando planos para tratamento de riscos
5.6 Monitoramento e análise crítica
5.7 Registros do processo de gestão de riscos
A
ComÊxito além dos cursos das normas
ISO 9001:2015,
ISO 14001:2015 e
OHSAS 18001:2007 tem os cursos de auditor interno
ISO 9001:2015,
ISO 14001:2015 e
OHSAS 18001:2007 e os cursos de auditor líder:
ISO 9001:2015,
ISO 14001:2015 e
OHSAS 18001:2007 . Temos as versões anteriores também, tanto o curso de interpretação da norma
ISO 9001:2008 e
ISO 14001:2004, quantos dos cursos de auditor interno ISO 9001:2008 e ISO 14001:2004 e dos cursos de auditor líder
ISO 9001:2008 e
ISO 14001:2004.
Caso queira mais algum esclarecimento entre em contato conosco pelo e-mail contato@comexito.com.br.
Abraços
Márcia Guerra
www.comexito.com.br
BLOG - Entenda Gestão de Riscos ISO 31000
