Uma visão sobre a Gestão de Riscos Corporativos eficaz

A avaliação de riscos está presente, mesmo que em bases parciais, na maior parte das organizações. Riscos são normalmente avaliados nas principais oportunidades de negócios para verificar o atingimento de objetivos comerciais. Outras organizações, pela importância do uso da internet para o relacionamento comercial, estão atentas às ameaças cibernéticas que surgem diariamente. Porém, um grande desafio das organizações atualmente é de estruturar uma Gestão de Riscos mais abrangente, uma vez que ameaças provêm das mais variadas fontes – tanto externas como internas – e muitas vezes a organização está vulnerável frente a uma ameaça inesperada, podendo sofrer consequências sérias nas suas operações e sofrer perdas financeiras.

As fontes de risco e consequentes ameaças à organização podem ser das mais diversas. A exposição a fenômenos e desastres naturais pode comprometer a segurança física das instalações, ativos e colaboradores.  O ambiente de negócios onde a organização atua traz questões econômicas, sociais, políticas e legais. A relação com colaboradores, fornecedores e parceiros podem trazer diversos tipos de questões, tanto trabalhistas, assim como ações de responsabilidade civil e criminal.

Nesse cenário, o gestor de riscos de uma organização tem um grande desafio à sua frente.

Qual é a abordagem atual para a Gestão de Riscos?

Os gestores das organizações necessitam entender a importância do gerenciamento de riscos como uma ferramenta para atender às necessidades de negócios e desenvolver um programa de gerenciamento para dar suporte a essas necessidades. O objetivo do Gerenciamento de Riscos é identificar, analisar, quantificar e gerenciar informações sobre riscos para atender objetivos de negócios. A gestão de riscos é um processo que visa alcançar um equilíbrio entre a realização plena de resultados e a minimização de vulnerabilidades e perdas. Isso geralmente é realizado garantindo que o impacto das ameaças que exploram vulnerabilidades esteja dentro de limites aceitáveis, a um custo razoável. Os riscos que afetam as organizações podem ter consequências em termos de desempenho económico e reputação empresarial, bem como de resultados ambientais, de segurança e sociais. Consequentemente, controlar adequadamente o risco apoia na eficácia do desempenho das organizações, mesmo num ambiente de incertezas. Devido a escopo abrangendo toda a organização, a denominação mais utilizada atualmente é Gestão de Riscos Corporativos.

O que é a ISO 31000?

A norma ISO 31000: 2009 é o padrão internacional de gestão de riscos. Este documento fornece uma estrutura genérica para estabelecer o contexto para identificar, analisar, avaliar, tratar, monitorar e comunicar o risco. A ISO 31000 é o primeiro documento publicado na série ISO 31000 – Gestão de Riscos, que inclui também:

  • O ISO Guia 73: 2009 – Gestão de Riscos – Vocabulário – que fornece as definições de termos relacionados com a gestão de riscos e com o apoio de uma terminologia uniforme de gestão de riscos, facilitando a abordagem correta para a descrição de atividades relacionadas com a gestão de riscos .
  • A ISO / IEC 31010 – Gestão de Riscos – Técnicas de avaliação de riscos – um guia de suporte à norma ISO 31000 que oferece orientação sobre a seleção e aplicação de técnicas sistemáticas de avaliação de riscos.

Como o risco pode ser parte dos processos de Gestão da Qualidade?

A ISO, como organização responsável pela publicação de normas internacionais, tem se preocupado em padronizar a estrutura das normas, de forma que cada norma possa ser implantada de forma isolada, ou integrada com outras normas. Esse é o caso entre as normas ISO 31000:2009 e a ISO 9001:2015. Além disso, os aspectos voltados a prevenção e correção de ações e resultados indesejáveis fazem parte da ISO 9001:2015. Nas versões anteriores esses aspectos eram tratados de forma limitada.

A ISO 31000:2009 trata de fatores críticos de gestão de riscos e que tem relacionamento direto com os processos de Gestão da Qualidade, tais como:

– aceitar ou não o risco associado a oportunidades-chave de negócios da organização;

– utilizar métodos para remover completamente uma fonte de riscos;

– evitar atividades associadas a um determinado risco.

Quais são as vantagens na adoção das Normas da série ISO 31000? 

Dentre os documentos da ISO 3100, a ISO/IEC 31010:2009 – Gestão de riscos – Técnicas para o processo de avaliação de riscos – fornece, em sua introdução, os princípios gerais de gerenciamento de riscos. Os anexos desse documento abordam mais detalhadamente os diferentes tipos de técnicas de avaliação dos riscos, apresentando inclusive os aspectos positivos e negativos de cada uma deles.

A organização que implementar efetivamente a ISO 31000, terá uma série de vantagens. Em primeiro lugar, a Gestão de Riscos será parte integrante de todos os processos organizacionais, fazendo com que seja parte da tomada de decisões, protegendo a organização e criando valor. Tem uma abordagem sistemática e estruturada, baseando-se na melhor informação disponível e aborda explicitamente os fatores de incerteza. É inteiramente adaptável às particularidades de cada organização, considerando inclusive fatores humanos e culturais. E a sua estrutura permite responder às mudanças contínuas da organização, permitindo ter a dinâmica e a interatividade necessárias frente às mudanças, facilitando a melhoria contínua da organização.

A implantação da ISO 37001 – Sistemas de Gestão Antissuborno

O lançamento da Norma ISO 37001 – Sistemas de Gestão Antissuborno, ocorrido em Outubro de 2016 pela ISO (International Organization for Standardization) em Genebra, Suiça, traz um  alento à sociedade brasileira, tão impressionada pelas recentes revelações de inúmeros casos de corrupção, que tem vindo à tona ao longo das investigações da Operação Lava Jato. Chama-nos a atenção como as grandes organizações, envolvidas na investigação, não priorizavam os princípios básicos  de compliance e gestão de riscos, uma vez que infelizmente o uso da corrupção era um dos viabilizadores-chave na obtenção dos negócios.

Espera-se que, com toda a repercussão negativa junto à sociedade e o impacto financeiro nas operações, as empresas envolvidas na Lava Jato implementem uma condução das atividades com atitude mais ética e transparente, implantando processos e controles organizacionais consistentes e adequados.

Vislumbra-se também que outras organizações, mesmo não sendo objeto de quaisquer investigações, venham a adotar posturas empresariais e sistemas de gestão mais transparentes e seguras, visando demonstrar de forma proativa que não pactuam com o suborno em suas atividades.

No cenário internacional, o uso da corrupção pelo setor privado e pela administração pública  tem causado impactos econômicos e sociais impressionantes. A estimativa do Banco Mundial é de que as perdas econômicas caudas pela corrupção atinjam a casa de 1,3 trilhões de dólares por ano.

O que é a ISO 37001 e como pode ser utilizada por uma organização? 

A Norma ISO 37001 define requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno. O escopo da Norma provê processos e medidas para a prevenção e detecção de casos de suborno – as demais possibilidades de corrupção, tais como lavagem de dinheiro, fraudes, extorsões, cartéis, atividades contrárias a livre competição e a falta de postura antitruste, não estão no escopo da Norma, mas uma organização pode perfeitamente incorporá-las no escopo particular do seu Sistema de Gestão.

O Sistema de Gestão Antissuborno proposto pela Norma pode ser implementado de forma independente ou pode ser integrado a demais sistema de gestão (ex.: ISO 31000 – Gestão de Riscos, ISO 9001 – Gestão da Qualidade, ISO 14001 – Gestão Ambiental).

Qual é  diferença entre ISO 37001 e ISO 19600? 

A ISO 19600, publicada em dezembro de 2014, aborda a questão do compliance em geral. A ISO 37001 destina-se especificamente a questão do compliance da  gestão antissuborno. As normas são consistentes entre si. Se uma organização já se utiliza de uma gestão de compliance de acordo com a ISO 19600, o cumprimento dos requisitos da norma ISO 37001 será bastante facilitada.

Qual é a estrutura da norma ISO 37001? 

A Norma foi elaborada para permitir fácil integração nos processos e controles de gestão já existentes na organização. O padrão segue a estrutura ISO comum para padrões de sistemas de gestão e é consistente com a estrutura de outros sistemas de gestão, já citados anteriormente

A estrutura de gestão segue a abordagem do PDCA (Plan-Do-Check-Act).

O conteúdo da Norma é apresentado de acordo com os seguintes itens:

  • Escopo
  • Referências normativas
  • Termos e definições
  • Contexto da organização
  • Liderança
  • Planejamento
  • Apoio
  • Operação
  • Avaliação do desempenho
  • Melhoria

A Norma apresenta também o Anexo A – Orientações para utilização deste Documento, que são sugestões de implementação em algumas áreas específicas, de acordo com boas práticas de mercado.

Quais são os principais requisitos da norma ISO 37001? 

A Norma ISO 37001 estabelece algumas medidas que devem ser implementadas se uma organização quiser prevenir e detectar corretamente os casos de suborno:

  • Avaliar os riscos de suborno, realizando inclusive due dligences;
  • Implementar política e processos antissuborno;
  • Estabelecer uma função de compliance para monitorar efetiva operação do sistema de gestão;
  • Comunicar a política antisuborno aos stakeholders (parceiros de negócios, subcontratados, fornecedores, consultores, etc.)
  • Treinar colaboradores e pessoas associadas;
  • Verificar que os funcionários cumprem a política antissuborno;
  • Acompanhar os benefícios dados pela organização (p.ex., presentes, hospitalidade, doações, etc.) para garantir que não tenham um propósito de suborno;
  • Implementar controles para prevenir o risco de suborno;
  • Implementar procedimentos de denúncia;

Quais são vantagens e benefícios da implantação da ISO 37001 numa organização? 

Um dos principais benefícios é a imagem positiva da organização junto ao mercado em que atua, uma vez que existe o reconhecimento global de que ações anticorrupção sejam essenciais para quaisquer tipo de organização. Esse posicionamento atende a expectativa de que as organizações garantem a integridade em suas ações e decisões diárias.

Outro benefício é a própria redução dos valores dispendidos, associados ao suborno, como resultado da implantação do Sistema de Gestão Antissuborno, além da redução da exposição a riscos e sansões por crimes de suborno.

Uma vantagem significativa da Norma ISO 37001 é que as organizações passam a ter um sistema de gestão eficaz para a prevenção e detecção do suborno, e que tem uma padronização e aceitação nos principais países no mundo.