É muito comum haver dúvida sobre as diferentes
abordagens do Gerenciamento de Riscos Ocupacionais (GRO) solicitados na norma
NR01 e o Mapeamento e o Planejamento das ações para abordar Riscos e
Oportunidades que possam causar vulnerabilidade aos Processos das organizações,
citados nas normas da NBR ISO 9001:2015 e ISSO 31000:2018.
Nota: Veja que apesar de todas as normas citadas
abordarem a palavra “riscos”, existem diferenças entre elas que você poderá
entender a seguir.
O que diz a norma NR01?
A nova NR-01 exige a implementação do Gerenciamento de
Riscos Ocupacionais (GRO) e Programa de Gerenciamento de Riscos (PGR) para as
empresas de todo Território Nacional. A norma regulamentadora em questão tem
por objetivo a sistematização da Gestão de Segurança e Saúde do Trabalho nas
empresas a fim de reduzir os riscos ocupacionais e consequentemente os
acidentes de trabalho.
O GRO é composto por: o primeiro é o PGR - Programa de
Gerenciamento de Riscos; o segundo é a AAT - Análise de Acidentes de Trabalho e
o terceiro é PAE - Plano de Ação de Emergência.
O PGR é um programa de gerenciamento de riscos, e
quando esse programa apresenta uma falha, entra em campo a AAT e PAE, se
necessário. A AAT vai dizer onde o PGR falhou. O PAE vai cuidar das situações
emergenciais, que não são tratados no PGR, como primeiros socorros, combate a
incêndios, controle de vazamentos, etc. O PGR por sua vez é composto por dois
documentos: 1) Inventário de perigos e riscos e 2) plano de ação de emergência.
Veja o item da NR-01 que diz que as empresas devem
gerenciar os riscos ocupacionais sobre sua responsabilidade. “A organização
deve implementar, por estabelecimento, o gerenciamento de riscos ocupacionais
em suas atividades.” NR-01 item 1.5.3.1.
Agora veja o item da NR-01 que dá a luz ao PGR: “O
gerenciamento de riscos ocupacionais deve constituir um Programa de
Gerenciamento de Riscos – PGR.” NR-01 ITEM 1.5.3.1.1
Veja também o item da NR-01 que dá luz as análises de
acidentes de trabalho (AAT). “A organização deve analisar os acidentes e as
doenças relacionadas ao trabalho.” NR-01 ITEM 1.5.5.5.1
Veja o item da NR-01 que dá a luz ao plano de resposta
a emergências (PRE). “A organização deve estabelecer, implementar e manter
procedimentos de respostas aos cenários de emergências, de acordo com os
riscos, as características e as circunstâncias das atividades.” NR-01 ITEM
1.5.6.1
O que diz a NBR ISO 9001:2015?
No item 0.3.3, da NBR ISO 9001:2015, fala-se sobre a
Mentalidade de Risco. A mentalidade de risco é essencial para se conseguir um
sistema de gestão da qualidade eficaz. O conceito de mentalidade de risco
estava implícito nas versões anteriores dessa norma, incluindo, por exemplo,
realizar ações preventivas para eliminar não conformidades potenciais, analisar
quaisquer não conformidades que ocorram e tomar ação para prevenir recorrências
que sejam apropriadas aos efeitos da não conformidade.
Sendo assim, para estar conforme com os requisitos
dessa norma, a organização precisa planejar e implementar ações para abordar
riscos e oportunidades. A abordagem de riscos e oportunidades estabelece uma base
para o aumento da eficácia do sistema de gestão da qualidade, conseguir
resultados melhorados e para a prevenção de efeitos negativos.
Já no item 6.1, da NBR ISO 9001:2015, fala-se sobre o
Planejamento das Ações para Abordar Riscos e Oportunidades (6.1 Ações para
abordar riscos e oportunidades).
Na sequência, o item 6.1.1, diz assim: “Ao planejar o
sistema de gestão da qualidade, a organização deve considerar as questões
referidas no item 4.1 (Entendendo a organização e seu contexto, através de
questões internas e externas pertinentes ao propósito) e os requisitos
referidos em 4.2 (Entendendo as necessidades e expectativas das partes
interessadas – Ex: O Cliente), e determinar os riscos e oportunidades que
precisam ser abordados para: a) assegurar que o sistema de gestão da qualidade
possa alcançar seus resultados pretendidos; b) aumentar efeitos desejáveis;
c) prevenir, ou reduzir, efeitos indesejáveis e d) alcançar melhoria.
No item 6.1.2, diz assim: “A organização deve
planejar: a) ações para abordar esses riscos e oportunidades; b) como: 1)
integrar e implementar as ações nos processos do seu sistema de gestão da
qualidade (ver item 4.4 da norma); 2) avaliar a eficácia dessas ações.”
“As ações tomadas para abordar riscos e oportunidades
devem ser apropriadas ao impacto potencial sobre a conformidade de produtos e
serviços.”
“NOTA 1 Opções para abordar riscos podem incluir
evitar o risco, assumir o risco para perseguir uma oportunidade, eliminar a
fonte de risco, mudar a probabilidade ou as consequências, compartilhar o risco
ou decidir, com base em informação, reter o risco.”
“NOTA 2 Oportunidades podem levar à adoção de novas
práticas, lançamento de novos produtos, abertura de novos mercados, abordagem
de novos clientes, construção de parcerias, uso de novas tecnologias e outras
possibilidades desejáveis e viáveis para abordar as necessidades da organização
ou de seus clientes.”
Portanto, um risco, segundo a ISO 9000:2015, é o
“efeito da incerteza” e pode ser tanto positivo ou negativo. Consequentemente,
a mentalidade de risco diz respeito a forma como a organização enxerga os
efeitos que podem ser oriundos de diferentes situações.
Existem diversos tipos de riscos e isto pode variar de
uma organização para outra. Vejamos alguns exemplos: Entregar produtos com
defeitos ao cliente; Entregar produtos fora do prazo estabelecido; Insatisfação
do cliente com o atendimento da empresa; Falhar no cumprimento de algum
requisito legal; Paralização do maquinários da empresa por alguma falha no
sistema de fornecimento de energia.
Há também oportunidades que se bem aproveitadas trazem
ganhos substanciais a organização. Em alguns casos podem superar as
expectativas quanto ao que foi planejado. Observe alguns exemplos de
oportunidades: Oportunidades de melhorias em produtos e serviços; Aumentar a
satisfação do cliente; Melhorar preços e prazos de entrega com fornecedores
críticos; Aquisição de novas tecnologia que eliminem gargalos em processos;
Entrada em novos mercados.
Nota: Nunca confunda o conceito de risco com não
conformidade. O risco se refere a algo que pode vir a ocorrer, a não
conformidade já aconteceu.
Exemplificando: Imagine que você identificou o risco
do cliente ficar insatisfeito com determinada situação em sua empresa, logo
estamos falando de algo que pode vir a ocorrer. Por outro lado, se o cliente
chegou insatisfeito e reclamando, consequentemente esta situação é uma não
conformidade, pois trata-se de um fato que aconteceu.
O Requisito – Riscos e Oportunidades: A norma ISO
explica também que ao determinar os riscos e oportunidades, questões referentes
ao contexto da organização e as partes interessadas precisam ser considerados.
Esta abordagem reflete a necessidade de a empresa ter uma visão macro daquilo
que pode afetar os objetivos organizacionais e estratégicos.
Segundo a ABNT NBR ISO 9001:2015, a tarefa de
determinar riscos e oportunidades é essencial para:
a) Assegurar os resultados pretendidos: Traçar
objetivos claros sem se programar para os riscos e oportunidades é um erro que
não se pode cometer. Toda incerteza deve ser identificada de alguma maneira.
Uma dica prática é utilizar ferramentas que auxiliam no gerenciamento dos
riscos. Para isto, temos um texto muito bom feito pela Daniela Albuquerque.
Neste post, estão descritos tipos de ferramentas que podem ser utilizadas para
fazer a gestão de riscos de sua organização. Quer conhecer mais sobre estas
ferramentas, clique aqui.
b) Aumentar efeitos desejáveis: Como disse
anteriormente, não devemos esperar somente consequências negativas. Há muitos
efeitos positivos que podem ajudar a alcançar ou superar os resultados
pretendidos. Exemplificando, quando existe a oportunidade de desenvolver um
novo produto, a organização poderá obter novas fontes de receitas (efeito
desejável).
c) Prevenir, ou reduzir, efeitos indesejáveis: Efeitos
indesejáveis podem ocorrer. Para isto, a melhor forma de garantir a eficácia do
SGQ é prevenir ou reduzir estes efeitos. Não são todos os riscos que
conseguimos eliminar, entretanto quando identificados é possível elaborar
planos de contenção para diminuir seus efeitos. Todo e qualquer risco deve ser
analisado criticamente. Somente desta maneira é possível estipular meios para
não ocorrerem resultados abaixo do esperado.
d) Alcançar melhoria: Não tem como melhorar
continuamente um SGQ se não tivermos em mente quais são os riscos e
oportunidades que norteiam uma organização. Quando uma organização minimiza os
riscos e maximiza suas oportunidades, claramente se percebe um processo de
melhoria contínua. Para isto, é necessário monitorar o que está sendo feito
para controlar os efeitos desejáveis e indesejáveis. Uma forma muito
interessante de executar esta tarefa é através da criação de indicadores.
Ações para abordar riscos e oportunidades. Identificou
os riscos e oportunidades? Sabem os efeitos que eles podem ocasionar? Chegou o
momento de agir! Mentalidade de risco incluí conhecer, monitorar e,
principalmente agir mediante estes riscos. A norma não exige, mas uma
ferramenta simples, porém muito poderosa é o 5W2H.
O requisito também pede para que sejam integradas e
implementadas ações para abordar os riscos e oportunidades de seus processos,
uma vez que eles podem ocasionar saídas indesejáveis que prejudiquem os
resultados pretendidos de um SGQ. Independente da ação tomada para abordas os
riscos e oportunidades, sejam eles a nível estratégico, organizacional ou
processual, é necessário avaliar a eficácia dessas ações.
Nota: A norma não exige informação documentada para
este requisito. No entanto, ao passar por um processo de auditoria, faz-se
necessário evidenciar como sua organização monitora e age diante dos riscos e
oportunidades.
O que diz a NBR ISO 31000:2018?
“A norma é para uso por pessoas que criam e protegem
valor nas organizações, gerenciando riscos, tomando decisões, estabelecendo e
alcançando objetivos e melhorando o desempenho. Organizações de todos os tipos
e tamanhos enfrentam influências e fatores externos e internos que tornam
incerto se elas alcançarão seus objetivos. Gerenciar riscos é iterativo e
auxilia as organizações no estabelecimento de estratégias, no alcance de
objetivos e na tomada de decisões fundamentadas. Gerenciar riscos é parte da
governança e liderança, e é fundamental para a maneira como a organização é
gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de
gestão. Gerenciar riscos é parte de todas as atividades associadas com uma
organização e inclui interação com as partes interessadas. Gerenciar riscos
considera os contextos externo e interno da organização, incluindo o
comportamento humano e os fatores culturais.”
Gerenciar riscos baseia-se nos princípios, estrutura e
processos delineados como ilustrado na figura abaixo:
Fig.1: Diagrama do Processo de Gestão de Riscos
A norma também ajuda a entender termos e definições da
Gestão de Riscos, tais como:
O risco é o efeito da incerteza nos objetivos. Nota 1
de entrada: Um efeito é um desvio em relação ao esperado. Pode ser positivo,
negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e
ameaças. Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e
categorias, e podem ser aplicados em diferentes níveis. Nota 3 de entrada:
Risco é normalmente expresso em termos de fontes de risco (3.4), eventos (3.5)
potenciais, suas consequências (3.6) e suas probabilidades (3.7).
A Gestão de Riscos são atividades coordenadas para
dirigir e controlar uma organização no que se refere a riscos (3.1);
A parte interessada é pessoa ou organização que pode
afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade. Nota 1
de entrada: O termo “parte interessada” pode ser utilizado como alternativa a
“stakeholder”;
A fonte de risco é um elemento que, individualmente ou
combinado, tem o potencial para dar origem ao risco (3.1);
O evento ocorrência ou mudança é em um conjunto
específico de circunstâncias. Nota 1 de entrada: Um evento pode consistir em
uma ou mais ocorrências e pode ter várias causas e várias consequências (3.6).
Nota 2 de entrada: Um evento pode também ser algo que é esperado, mas não
acontece, ou algo que não é esperado, mas acontece. Nota 3 de entrada: Um
evento pode ser uma fonte de risco.
A consequência é um resultado de um evento (3.5) que afeta
os objetivos. Nota 1 de entrada: Uma consequência pode ser certa ou incerta e
pode ter efeitos positivos ou negativos, diretos ou indiretos, nos objetivos.
Nota 2 de entrada: As consequências podem ser expressas qualitativa ou
quantitativamente. Nota 3 de entrada: Qualquer consequência pode escalar por
meio de efeitos cascata e cumulativos.
A probabilidade é a chance de algo acontecer. Nota 1
de entrada: Na terminologia de gestão de riscos (3.2), a palavra
“probabilidade” é utilizada para se referir à chance de algo acontecer, não
importando se definida, medida ou determinada, ainda que objetiva ou
subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se
termos gerais ou matemáticos (como probabilidade ou frequência durante um determinado
período de tempo). Nota 2 de entrada: O termo em inglês “likelihood” não tem um
equivalente direto em algumas línguas; em vez disso, o equivalente do termo
“probability” é frequentemente utilizado. Entretanto, em inglês, “probability”
é muitas vezes interpretado estritamente como uma expressão matemática.
Portanto, na terminologia de gestão de riscos, convém que” likelihood” seja
utilizado com a mesma ampla interpretação que o termo “probability” tem em
muitos outros idiomas, além do inglês;
O controle é a medida que mantém e/ou modifica o risco
(3.1). Nota 1 de entrada: Controles incluem, mas não estão limitados a qualquer
processo, política, dispositivo, prática, ou outras condições e/ou ações que
mantêm e/ou modificam o risco. Nota 2 de entrada: Controles podem nem sempre
exercer o efeito modificador pretendido ou presumido.
Portanto, segundo NBR ISO 31000:2018, o propósito da
gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho,
encoraja a inovação e apoia o alcance de objetivos das organizações.
Sendo assim, o propósito da estrutura da gestão de
riscos é apoiar a organização na integração da gestão de riscos em atividades
significativas e funções. A eficácia da gestão de riscos dependerá da sua
integração na governança e em todas as atividades da organização, incluindo a
tomada de decisão. Isto requer apoio das partes interessadas, em particular da
Alta Direção. O desenvolvimento da estrutura engloba integração, concepção,
implementação, avaliação e melhoria da gestão de riscos através da liderança e
o comprometimento de toda a organização.
Fonte: Normas NR01, NBR ISO 9001:2015 e NBR ISO 31000:2018.
