1. Visão Geral

A partir de quando foi publicado o Anexo SL (maio de 2012) todas as novas normas ISO ou suas revisões têm tem que segui-lo, e ele fornece uma estrutura de alto nível, requisitos e definições padrão para Normas de Sistemas de Gestão. Distribuída dentro desta estrutura está uma abordagem sistemática ao risco.

Nas edições anteriores das normas ISO, como a 9001, 14001, 20000-1, 27001, entre outras, existe um requisito de ação preventiva que tem como objetivo minimizar ou eliminar riscos, porém este requisito fica isolado, por isso a nova estrutura retirou este requisito e incluiu a gestão de riscos por todo sistema de gestão.

Através de uma abordagem baseada no risco, uma organização torna-se proativa ao invés de puramente reativa, ela vai prevenir ou reduzir os efeitos indesejados e promover a melhoria contínua. A ação preventiva é automática quando um sistema de gestão é baseado na análise de risco.

2. O que é pensamento baseado em risco?

Pensamento baseado em risco é algo que todos nós fazemos a toda hora, por exemplo se eu for dirigir eu não bebo, porque se beber o álcool vai prejudicar meus reflexos e eu posso bater em outro carro ou atropelar alguém.

Pensamento com base no risco sempre esteve presente nas normas ISO, mas esta revisão o coloca em todo o sistema de gestão. Nas normas novas ou novas edições o risco é considerado desde o início e é inserido dentro de todos os requisitos da norma, fazendo parte da ação preventiva desde o planejamento estratégico até operação e pós entrega.

Pensamento baseado em risco faz parte da abordagem de processo, por exemplo, ao comprar uma casa eu escolho um imóvel que eu possa pagar com folga porque se ela for muito cara eu posso ter problemas para pagar. Em função do processo que eu escolher teremos um nível diferente de risco.

O risco é geralmente entendido como sendo negativo, mas o risco pode também ser visto pelo seu lado positivo, por exemplo, ao atravessar uma rua pelo meio do quarteirão eu vou conseguir chegar mais rápido do outro lado, do que eu chegaria se eu fosse procurar uma faixa ou uma passarela para atravessar, mas há um aumento do risco de atropelamento.

Oportunidade não é sempre diretamente relacionada ao risco, mas é sempre relacionada com os objetivos. Na situação anterior podemos identificar oportunidades de melhoria, por exemplo o metrô poderia ir até o local ou um semáforo para pedestres poderia ser instalado no meio da quadra.

É necessário analisar as oportunidades e considerar o que pode ou deve ser executado. Tanto o impacto quanto a viabilidade de implantar uma oportunidade devem ser considerados. Seja qual for a ação tomada ela vai mudar o contexto e os riscos e estes devem, então, ser reconsiderados.

3. Onde são considerados os riscos na norma ISO 9001:2015?

Abaixo seguem os requisitos da nova versão 2015 da ISO 9001 que tratam de riscos:

INTRODUÇÃO

• O conceito de pensamento baseado em risco é explicado na introdução da ISO 9001:2015.

DEFINIÇÕES

• A ISO 9001:2015 define risco como o efeito da incerteza sobre um resultado esperado.
• Um efeito é um desvio do que é esperado - positivo ou negativo.
• O risco é sobre o que poderia acontecer e que efeito ocorreria se o fato ocorresse
• O risco também considera como provável um sistema de gestão alcançar a conformidade e satisfação do cliente.

A ISO 9001: 2015 usa o pensamento baseado em risco para atingir os objetivos e trata dos riscos nas cláusulas abaixo:

• Cláusula 4 (Contexto): a organização deve determinar os riscos que podem afetá-la.
• Cláusula 5 (Liderança): a direção deve se comprometer e assegurar que a cláusula 4 seja seguida.
• Cláusula 6 (Planejamento): a organização deve tomar medidas para identificar riscos e oportunidades.
• Cláusula 8 (Operação): a organização deve implementar processos para lidar com os riscos e as oportunidades.
• Cláusula 9 (avaliação de desempenho): a organização deve monitorar, medir, analisar e avaliar os riscos e as oportunidades.
• Cláusula 10 (Melhoria): a organização, com as mudanças no risco, irá melhorar.

Nas outras normas ISO o risco vai ser considerado nas mesmas cláusulas que na ISO 9001.

4. Por que utilizar o pensamento baseado em risco?

Ao considerar o risco em toda a organização a probabilidade de alcançar os objetivos melhora, a saída é mais consistente e os clientes podem ter a certeza de que receberão o produto ou serviço esperado.

Pensar, portanto, com base no risco:

• Constrói uma base sólida de conhecimentos
• Estabelece uma cultura proativa de melhoria
• Garante a consistência da qualidade dos bens ou serviços
• Melhora a confiança e satisfação do cliente

As empresas bem-sucedidas, intuitivamente, têm uma abordagem baseada no risco.

5. Como podemos fazer isso?

Use uma abordagem orientada para o risco em seus processos organizacionais, identifique quais são os riscos e oportunidades. Isso depende de contexto, por exemplo você identifica um novo produto, então analise os riscos financeiros de colocá-lo no mercado, veja quanto vai custar e estime quanto vai ganhar, só coloque o novo produto se tiver certeza suficiente que o faturamento advindo dele vai pagar os custos e gerar lucros. Também é necessário considerar temas como o tempo, a estrutura, o mercado e os objetivos da organização.

Riscos e oportunidades devem ser analisados e priorizados. O que é aceitável, o que é inaceitável? Que vantagens ou desvantagens tem um processo em detrimento de outro? Por exemplo, eu preciso atravessar com segurança a estrada para chegar a uma reunião em um determinado momento.

• É inaceitável que eu seja ferido.
• É inaceitável que que eu chegue atrasado.

A oportunidade de alcançar meu objetivo mais rapidamente deve ser equilibrada contra a probabilidade de lesão. É mais importante que eu chegue ao meu encontro ileso ou que eu chegue ao meu encontro na hora certa. É mais aceitável atrasar para a reunião devido à demora para atravessar a rua utilizando uma passarela distante ou é mais aceitável a probabilidade de ser ferido por atravessar a rua que é muito movimentada e o risco de acidente é alto.

Então, automaticamente eu analiso a situação. A passarela está a 200 metros e irá aumentar o meu tempo de percurso. O clima é bom, a visibilidade é boa e eu posso ver que a rua não tem muitos carros neste momento. Então eu decido que atravessar a rua fora da faixa tem baixo nível de risco de lesões e é uma oportunidade para chegar a minha reunião na hora certa.

Eu vou então planejar ações para enfrentar os riscos. Como posso evitar ou eliminar o risco? Como posso reduzir os riscos? Por exemplo, eu poderia eliminar o risco de lesão, utilizando a passarela, mas já decidi que o risco envolvido em atravessar a rua é aceitável. Agora eu planejo como reduzir a probabilidade de lesões e / ou o efeito de lesão. Eu não posso controlar o efeito de um carro, se ele me bater, mas posso reduzir a probabilidade de ser atingido por um carro. Portanto eu pretendo atravessar em um momento em que não há carros se movendo perto de mim e assim reduzir a probabilidade de um acidente. Eu também posso optar por atravessar a rua em um lugar onde eu tenha uma boa visibilidade e possa parar com segurança no meio da rua e reavaliar o número de carros em movimento, reduzindo ainda mais a probabilidade de um acidente.

Então eu vou implementar o plano (tomar medidas). Por exemplo, eu vou para a guia da calçada bem ao lado da rua e verifico se não existem barreiras para a travessia e que o é um lugar seguro, verifico se não há carros vindo, cruzo a metade do caminho e paro no meio da rua, avalio a situação novamente e, em seguida, atravesso a segunda parte da rua.

A seguir verifico a eficácia das ações, por exemplo, chego ao outro lado da rua ileso e com rapidez, portanto este plano funcionou e resultados indesejados foram evitados.

Agora vou aprender com a experiência (melhoria contínua). Por exemplo, repito o plano ao longo de vários dias, em diferentes momentos e em diferentes condições climáticas. Isto fornece dados para entender que a mudança de contexto (tempo e quantidade de carros) afeta diretamente a eficácia do plano e aumenta ou diminui a probabilidade de eu atingir meus objetivos que são chegar na hora e evitar lesões. A experiência me ensina que atravessar a rua em determinados momentos do dia é muito difícil porque há muitos carros, nesta situação para limitar o risco eu melhoro meu processo usando a passarela. Eu continuo a analisar a eficácia dos processos e revisá-los quando o contexto muda e também considero oportunidades inovadoras:

• Posso mudar o ponto de encontro para que a rua não tenha de ser atravessada?
• Posso mudar o horário da reunião para atravessar a rua somente quando há pouco tráfego?
• Posso fazer a reunião a distância pelo computador, evitando assim o risco de atravessar a rua?

6. Conclusão

• pensamento baseado em risco não é novo
• pensamento baseado em risco é algo que você já faz
• pensamento baseado em risco é contínuo
• pensamento baseado em risco garante maior conhecimento e preparação
• pensamento baseada em risco aumenta a probabilidade de que os objetivos sejam alcançados
• pensamento baseada em risco reduz a probabilidade de maus resultados
• pensamento baseada em risco torna a prevenção um hábito

Documentos úteis

ISO 31000: 2009 Gestão de Riscos - Princípios e diretrizes

PD ISO / TR 31004: 2013. Gestão de riscos - Orientação para a implementação da ISO 31000

NBR ISO/IEC 31010:2012 - Gestão de Riscos - Técnicas para o processo de avaliação de riscos