Domine a ISO 31000 e otimize a gestão de riscos!

junho 5, 2023

Atualmente no mercado há uma série de normas ISO, e cada uma possui uma particularidade, com relação a suas diretrizes, e obtenção da importante certificação. Neste artigo, exploraremos as características da ISO 31000, destacando a importância e particularidades da sua aderência, sua diferença com relação a ISO 37301, e esclarecendo dúvidas quanto à obrigatoriedade da norma.

O que é ISO 31000?

A ISO 31000 é uma norma internacional para gestão de riscos instituída pela International Organization for Standardization, ou em português, Organização Internacional para Padronização.

No Brasil, ela se relaciona com a Associação Brasileira de Normas Técnicas (ABNT), que normatiza questões que precisam ser seguidas por todas as instituições presentes no Brasil.

Em especial a ISO 31000 (Gestão de Riscos), contou com a participação de um total de 69 profissionais de diversos segmentos para sua tradução e adaptação para o Brasil.

A normativa fornece princípios e diretrizes que são abrangentes, e que auxiliam as empresas em suas análises e avaliações de riscos. Além disso, as mencionadas diretrizes podem ser personalizadas para qualquer contexto e tipo de empresa, sejam elas pequenas, médias e de grande porte, ou ainda, organizações públicas, privadas ou comunitárias, pois ela se aplica a múltiplas atividades de negócios, incluindo o seu planejamento, gestão e processos da comunicação.

Com relação a estrutura, a norma é dividida em seções, dispondo de 4 principais, quais sejam:

Termos e definições (Seção 3) - Bases de dados terminológicos para uso na normalização.
Princípios (Seção 4) - Criação e proteção de valor, para melhora do desempenho, encorajamento da inovação e apoio no alcance de objetivos.
Estrutura (Seção 5) - Para apoiar a organização na integração da gestão de riscos em atividades significativas e funções.
Elementos (Seção 6) - Para aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.

Por que é interessante aderir?

Ser uma empresa aderente a uma norma ISO pode trazer múltiplos benefícios para a empresa. No caso da ISO 31000, aplicar as diretrizes e princípios na sua empresa, irá te conceder capacidade de melhora da eficácia operacional, confiança de todos os stakeholders, e governança, diminuindo assim as perdas.

A norma busca ajudar as empresas na otimização da performance em segurança e saúde, pois as recomendações da ISO possuem como escopo a melhora de técnicas de gestão, garantindo segurança no trabalho em todos os momentos.

As recomendações trazidas pela ISO 31000 possuem validade para toda tipologia de risco, inclusive na LGPD (Lei 13709/18), e seguindo tais diretrizes, além dos benefícios mencionados acima, as empresas vão ser capazes de:

Diminuir as perdas;
Estabelecer processos sólidos para tomada de decisão;
Incentivar a proatividade de gestão de todas as áreas internas;
Adquirir confiança entre as partes interessadas;
Melhorar a eficiência de respostas às mudanças;
Proteção da empresa com o seu crescimento.

Todavia, existe uma particularidade, a ISO 31000 não é destinada à certificação formal, como no caso de outras normas, mas é uma norma que serve de apoio para agregar ao sistema de gestão de riscos, e uma afirmação da organização de que ela está aderindo aos princípios e diretrizes estabelecidos na norma internacional.

Obrigatoriedade da Certificação ISO?

É comum nos depararmos com a seguinte pergunta: “Sou obrigado/preciso obter a certificação da ISO?”

A resposta para a questão acima depende da circunstância de cada caso. As normas ISO são voluntárias, isto é, elas foram desenvolvidas para que as organizações adquirem a modalidade voluntária. A Organização Internacional para Padronização é uma instituição não governamental, não tendo autoridade de obrigar a seguirem as suas normativas.

Ocorre que diversas empresas, para realização de operações, exigem, por exemplo de seus fornecedores, a implantação da ISO, pois ao estabelecer parceria com organizações certificadas, teoricamente há maior confiança de que os riscos estão sendo gerenciados de forma adequada, o que reduz as incertezas e aumenta a segurança nas operações.

Sendo assim, em regra a norma não é obrigatória, porém deve ser analisado o contexto em que a organização se encontra, com relação a sua cultura, negócio e operações internas.

Qual a diferença da ISO 31000 e 37301?

Atualmente para as empresas, a gestão de riscos e conformidade são elementos essenciais para todos os processos e todas as pessoas que as compõem, e neste contexto, possuímos a ISO 31000 e a ISO 37301, que fornecem diretrizes para auxiliar as empresas numa gestão de riscos e de compliance.

Embora ambas normativas relacionem-se a riscos e conformidade, é importante compreendermos as suas diferenças e entendermos a contribuição e papel de cada uma para as empresas.

Como vimos, a ISO 31000 (texto completo da normativa de 2018) descreve os princípios, estrutura e o processo de gestão de riscos, para auxiliar as empresas a realizar, de forma eficiente e coerente, o processo. No entanto, ela não é destinada para que uma empresa obtenha certificação convencional como estamos acostumados, e isso causa uma série de dúvidas dos profissionais da área.

Já a ISO 37301, difere-se, pois é possível a obtenção da certificação de forma convencional, ou seja, permite a certificação por empresas de certificação externas, que possuem capacitação para sua concessão. Essa norma é específica para a gestão de Compliance, dispondo de diretrizes para estabelecer, implementar e realizar a manutenção periódica para melhoria contínua do sistema de gestão de Compliance, como por exemplo políticas e procedimentos de Compliance, comunicação, treinamento, dentre outros aspectos importantes.

Diante do exposto, embora ambas as normas sejam complementares e possam ser aderidas pela empresa e implementadas em conjunto, elas se diferem com relação aos seus objetivos, e a forma do processo de certificação.

Conclusão

Concluímos que as normas ISO possuem distinções, e cada uma desempenha um papel importante para as empresas. Enquanto a ISO 31000 fornece diretrizes para a gestão de riscos, a ISO 37301 aborda sobre a gestão de Compliance. Todavia, ambas as normas se complementam, se diferenciando apenas em relação ao processo de certificação, pois enquanto uma (31000) não é passível a obtenção da certificação da forma convencional (auditor externo), a outra (37301) permite que a empresa seja certificada por um certificador autorizado pela ISO (auditor externo).

Além disso, vale destacar que todas as normas ISO são voluntárias, não possuindo obrigatoriedade, e a decisão de aderência deve sempre ser analisada pela necessidade e objetivos específicos de cada empresa.

O mais importante antes do título de uma empresa certificada ISO, é saber que cada norma ISO fornece diretrizes importantes para auxiliar as empresas a aprimorar a gestão, operações e confiança de todos os stakeholders, ou, partes interessadas pela empresa.

Pensando em ajudar na aderência, gestão e aplicabilidade dos requisitos dessas importantes certificações, a Be desenvolveu a plataforma de Compliance Regulatório – Be Standards. Na plataforma é possível organizar todos os requisitos das normativas, armazenar evidências, estabelecer periodicidade para controles internos, criar planos de ação, determinar responsáveis e revisores para atividades, e muito mais. Ficou interessado em conhecer a Plataforma? Clique no botão abaixo, e saiba mais sobre a plataforma que vem revolucionando as empresas no Compliance Regulatório.

Matéria escrita por: