Como você define risco? Existe consenso em sua organização?
Tive a oportunidade de participar desde as primeiras reuniões internacionais que culminou na criação da atual ISO 31000, referência mundial em gestão de riscos. Nesta época, foi criado também o Comitê na ABNT que tenho a honra de coordenar até hoje, reunindo centenas de especialistas das mais diferentes áreas (hoje somos mais de 500) que colocou o Brasil no protagonismo deste desenvolvimento. Foram muito estudos, propostas, discussões, polêmicas, até chegarmos ao consenso no mundo, sobre o conteúdo final da norma.
No final deste artigo veja um resumo dos relatos e decisões da 2a reunião do ano da ABNT/CEE-063 – Comissão de Estudo Especial de Gestão de Riscos.
Na elaboração da ISO 31000, uma das discussões mais marcantes e que gerou maior tempo para se chegar ao consenso foi a própria definição de risco. Na época, as normas vigentes usavam uma definição com variações de algo como a “combinação da probabilidade de um evento e suas consequências”.
E para aumentar ainda a dificuldade da concordância, uma interpretação que ainda permanece em algumas áreas, é a de que risco é sempre negativo e se refere apenas às consequências indesejadas, como ameaças ou perigos que ocasionam perdas e danos. Assim, uma variante desta definição é a “combinação da probabilidade de ocorrência de um dano (ou perda) e suas consequências (negativas)”.
Finalmente, decidiu-se por uma definição o mais abrangente possível, e que considerasse tanto os aspectos negativos como também os positivos. Assim, chegou-se então a definição atual de risco como o "efeito da incerteza nos objetivos".
Risco é o efeito da incerteza nos objetivos
ISO 31000 e ISO 31073
Para esclarecer a definição, a norma contém notas importantes explicando que um efeito é um desvio em relação ao esperado, que pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças. Esclarece ainda que os objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis.
E complementando a definição, descreve objetivo como um resultado a ser alcançado. Resultado que pode ser estratégico, tático ou operacional, se relacionar a diferentes disciplinas (como finanças, saúde e segurança e metas ambientais) e aplicado em diferentes níveis (como estratégico, projeto, produto e processos).
Objetivo é o resultado a ser alcançado
Um objetivo pode ser expresso de várias formas, por exemplo, como um resultado pretendido, um propósito, um critério operacional, ou pelo uso de outras palavras com significado similar (por exemplo, finalidade, meta, alvo).
Para facilitar o entendimento, o Brasil sugeriu na reunião da ISO que se incluísse um diagrama apresentando visualmente a relação entre os termos, e propusemos como exemplo a figura abaixo, mas infelizmente a sugestão não foi aceita.
Para complicar as coisas, eis que a ISO, a principal organização para estabelecer padrões, resolve em suas famosas normas ISO 9001 e ISO 14000, usar sua liberdade e redefinir risco como "o efeito da incerteza", ou seja, sem incluir a parte final que explicita os objetivos! Menos mal que esclareça que a incerteza é um desvio positivo ou negativo relacionado ao resultado esperado em um processo, projeto, ou qualquer outro objetivo.
Finalmente, outra discórdia é a tradicional polêmica entre "risco x oportunidade" ou "ameaça x oportunidade"? Uma corrente sustenta que a antítese do termo "oportunidade" deva ser "ameaça" (como na análise SWOT) e assim, o risco como incerteza pode ser tanto uma ameaça se o efeito for negativo (perda ou dano) ou uma oportunidade, se o efeito for positivo (ganho ou benefício).
Existem ainda outras definições de risco que aumentam o conflito. O mais importante neste debate é aderirmos aos padrões, afinal, reinventar a roda e instituir novas definições apenas aumenta o problema. E na sua organização, existe consenso na definição de risco?
Até a próxima,
Alberto Bastos, abastos@modulo.com, @albastos
--------------------------------------------------------------------------------
Nota 1: Em 22/6 foi realizada a 2a reunião do ano da ABNT/CEE-063 – Comissão de Estudo Especial de Gestão de Riscos, destacando na pauta o relato do andamento das atividades dos Comitês Internacionais ISO/TC 262 (Gestão de Riscos) e ISO/TC 292 (Gestão de Continuidade de Negócios, além dos trabalhos no Brasil como o Projeto ABNT NBR ISO 31073 - Gestão de Riscos - Vocabulário, que encontra-se em consulta nacional, a aprovação do envio para revisão do Projeto ABNT ISO/TS 22317 - Diretrizes para análise de impacto nos negócios (BIA - Business Impact Analysis) e a aprovação para tradução do Handbook da 31000. Para participar envie email para risk-l@modulo.com
Nota 2: A consulta pública da norma ABNT NBR ISO 31073 - Gestão de Riscos - Vocabulário, está em revisão para sugestões e comentários, o prazo final para envio encerra-se hoje, 4 de julho.
Para conhecer a solução para automatização de GRC - Governança, Riscos e Compliance da Modulo Security, solicite uma apresentação.
