terça-feira, 20 de dezembro de 2022

Diferenças entre as normas NR01 e NBR ISO9001 e 31000 sobre a ótica de riscos


É muito comum haver dúvida sobre as diferentes abordagens do Gerenciamento de Riscos Ocupacionais (GRO) solicitados na norma NR01 e o Mapeamento e o Planejamento das ações para abordar Riscos e Oportunidades que possam causar vulnerabilidade aos Processos das organizações, citados nas normas da NBR ISO 9001:2015 e ISSO 31000:2018.

Nota: Veja que apesar de todas as normas citadas abordarem a palavra “riscos”, existem diferenças entre elas que você poderá entender a seguir.

O que diz a norma NR01?

A nova NR-01 exige a implementação do Gerenciamento de Riscos Ocupacionais (GRO) e Programa de Gerenciamento de Riscos (PGR) para as empresas de todo Território Nacional. A norma regulamentadora em questão tem por objetivo a sistematização da Gestão de Segurança e Saúde do Trabalho nas empresas a fim de reduzir os riscos ocupacionais e consequentemente os acidentes de trabalho.

O GRO é composto por: o primeiro é o PGR - Programa de Gerenciamento de Riscos; o segundo é a AAT - Análise de Acidentes de Trabalho e o terceiro é PAE - Plano de Ação de Emergência.

O PGR é um programa de gerenciamento de riscos, e quando esse programa apresenta uma falha, entra em campo a AAT e PAE, se necessário. A AAT vai dizer onde o PGR falhou. O PAE vai cuidar das situações emergenciais, que não são tratados no PGR, como primeiros socorros, combate a incêndios, controle de vazamentos, etc. O PGR por sua vez é composto por dois documentos: 1) Inventário de perigos e riscos e 2) plano de ação de emergência.

Veja o item da NR-01 que diz que as empresas devem gerenciar os riscos ocupacionais sobre sua responsabilidade. “A organização deve implementar, por estabelecimento, o gerenciamento de riscos ocupacionais em suas atividades.” NR-01 item 1.5.3.1.

Agora veja o item da NR-01 que dá a luz ao PGR: “O gerenciamento de riscos ocupacionais deve constituir um Programa de Gerenciamento de Riscos – PGR.” NR-01 ITEM 1.5.3.1.1

Veja também o item da NR-01 que dá luz as análises de acidentes de trabalho (AAT). “A organização deve analisar os acidentes e as doenças relacionadas ao trabalho.” NR-01 ITEM 1.5.5.5.1

Veja o item da NR-01 que dá a luz ao plano de resposta a emergências (PRE). “A organização deve estabelecer, implementar e manter procedimentos de respostas aos cenários de emergências, de acordo com os riscos, as características e as circunstâncias das atividades.” NR-01 ITEM 1.5.6.1

O que diz a NBR ISO 9001:2015?

No item 0.3.3, da NBR ISO 9001:2015, fala-se sobre a Mentalidade de Risco. A mentalidade de risco é essencial para se conseguir um sistema de gestão da qualidade eficaz. O conceito de mentalidade de risco estava implícito nas versões anteriores dessa norma, incluindo, por exemplo, realizar ações preventivas para eliminar não conformidades potenciais, analisar quaisquer não conformidades que ocorram e tomar ação para prevenir recorrências que sejam apropriadas aos efeitos da não conformidade.

Sendo assim, para estar conforme com os requisitos dessa norma, a organização precisa planejar e implementar ações para abordar riscos e oportunidades. A abordagem de riscos e oportunidades estabelece uma base para o aumento da eficácia do sistema de gestão da qualidade, conseguir resultados melhorados e para a prevenção de efeitos negativos.

Já no item 6.1, da NBR ISO 9001:2015, fala-se sobre o Planejamento das Ações para Abordar Riscos e Oportunidades (6.1 Ações para abordar riscos e oportunidades).

Na sequência, o item 6.1.1, diz assim: “Ao planejar o sistema de gestão da qualidade, a organização deve considerar as questões referidas no item 4.1 (Entendendo a organização e seu contexto, através de questões internas e externas pertinentes ao propósito) e os requisitos referidos em 4.2 (Entendendo as necessidades e expectativas das partes interessadas – Ex: O Cliente), e determinar os riscos e oportunidades que precisam ser abordados para:  a) assegurar que o sistema de gestão da qualidade possa alcançar seus resultados pretendidos;  b) aumentar efeitos desejáveis;  c) prevenir, ou reduzir, efeitos indesejáveis e  d) alcançar melhoria.

No item 6.1.2, diz assim: “A organização deve planejar:  a) ações para abordar esses riscos e oportunidades; b) como:  1) integrar e implementar as ações nos processos do seu sistema de gestão da qualidade (ver item 4.4 da norma);  2) avaliar a eficácia dessas ações.”

“As ações tomadas para abordar riscos e oportunidades devem ser apropriadas ao impacto potencial sobre a conformidade de produtos e serviços.”

“NOTA 1 Opções para abordar riscos podem incluir evitar o risco, assumir o risco para perseguir uma oportunidade, eliminar a fonte de risco, mudar a probabilidade ou as consequências, compartilhar o risco ou decidir, com base em informação, reter o risco.”

“NOTA 2 Oportunidades podem levar à adoção de novas práticas, lançamento de novos produtos, abertura de novos mercados, abordagem de novos clientes, construção de parcerias, uso de novas tecnologias e outras possibilidades desejáveis e viáveis para abordar as necessidades da organização ou de seus clientes.”

Portanto, um risco, segundo a ISO 9000:2015, é o “efeito da incerteza” e pode ser tanto positivo ou negativo. Consequentemente, a mentalidade de risco diz respeito a forma como a organização enxerga os efeitos que podem ser oriundos de diferentes situações.

Existem diversos tipos de riscos e isto pode variar de uma organização para outra. Vejamos alguns exemplos: Entregar produtos com defeitos ao cliente; Entregar produtos fora do prazo estabelecido; Insatisfação do cliente com o atendimento da empresa; Falhar no cumprimento de algum requisito legal; Paralização do maquinários da empresa por alguma falha no sistema de fornecimento de energia.

Há também oportunidades que se bem aproveitadas trazem ganhos substanciais a organização. Em alguns casos podem superar as expectativas quanto ao que foi planejado. Observe alguns exemplos de oportunidades: Oportunidades de melhorias em produtos e serviços; Aumentar a satisfação do cliente; Melhorar preços e prazos de entrega com fornecedores críticos; Aquisição de novas tecnologia que eliminem gargalos em processos; Entrada em novos mercados.

Nota: Nunca confunda o conceito de risco com não conformidade. O risco se refere a algo que pode vir a ocorrer, a não conformidade já aconteceu.

Exemplificando: Imagine que você identificou o risco do cliente ficar insatisfeito com determinada situação em sua empresa, logo estamos falando de algo que pode vir a ocorrer. Por outro lado, se o cliente chegou insatisfeito e reclamando, consequentemente esta situação é uma não conformidade, pois trata-se de um fato que aconteceu.

O Requisito – Riscos e Oportunidades: A norma ISO explica também que ao determinar os riscos e oportunidades, questões referentes ao contexto da organização e as partes interessadas precisam ser considerados. Esta abordagem reflete a necessidade de a empresa ter uma visão macro daquilo que pode afetar os objetivos organizacionais e estratégicos.

Segundo a ABNT NBR ISO 9001:2015, a tarefa de determinar riscos e oportunidades é essencial para:

a) Assegurar os resultados pretendidos: Traçar objetivos claros sem se programar para os riscos e oportunidades é um erro que não se pode cometer. Toda incerteza deve ser identificada de alguma maneira. Uma dica prática é utilizar ferramentas que auxiliam no gerenciamento dos riscos. Para isto, temos um texto muito bom feito pela Daniela Albuquerque. Neste post, estão descritos tipos de ferramentas que podem ser utilizadas para fazer a gestão de riscos de sua organização. Quer conhecer mais sobre estas ferramentas, clique aqui.

b) Aumentar efeitos desejáveis: Como disse anteriormente, não devemos esperar somente consequências negativas. Há muitos efeitos positivos que podem ajudar a alcançar ou superar os resultados pretendidos. Exemplificando, quando existe a oportunidade de desenvolver um novo produto, a organização poderá obter novas fontes de receitas (efeito desejável).

c) Prevenir, ou reduzir, efeitos indesejáveis: Efeitos indesejáveis podem ocorrer. Para isto, a melhor forma de garantir a eficácia do SGQ é prevenir ou reduzir estes efeitos. Não são todos os riscos que conseguimos eliminar, entretanto quando identificados é possível elaborar planos de contenção para diminuir seus efeitos. Todo e qualquer risco deve ser analisado criticamente. Somente desta maneira é possível estipular meios para não ocorrerem resultados abaixo do esperado.

d) Alcançar melhoria: Não tem como melhorar continuamente um SGQ se não tivermos em mente quais são os riscos e oportunidades que norteiam uma organização. Quando uma organização minimiza os riscos e maximiza suas oportunidades, claramente se percebe um processo de melhoria contínua. Para isto, é necessário monitorar o que está sendo feito para controlar os efeitos desejáveis e indesejáveis. Uma forma muito interessante de executar esta tarefa é através da criação de indicadores.

Ações para abordar riscos e oportunidades. Identificou os riscos e oportunidades? Sabem os efeitos que eles podem ocasionar? Chegou o momento de agir! Mentalidade de risco incluí conhecer, monitorar e, principalmente agir mediante estes riscos. A norma não exige, mas uma ferramenta simples, porém muito poderosa é o 5W2H.

O requisito também pede para que sejam integradas e implementadas ações para abordar os riscos e oportunidades de seus processos, uma vez que eles podem ocasionar saídas indesejáveis que prejudiquem os resultados pretendidos de um SGQ. Independente da ação tomada para abordas os riscos e oportunidades, sejam eles a nível estratégico, organizacional ou processual, é necessário avaliar a eficácia dessas ações.

Nota: A norma não exige informação documentada para este requisito. No entanto, ao passar por um processo de auditoria, faz-se necessário evidenciar como sua organização monitora e age diante dos riscos e oportunidades.

O que diz a NBR ISO 31000:2018?

“A norma é para uso por pessoas que criam e protegem valor nas organizações, gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o desempenho. Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos que tornam incerto se elas alcançarão seus objetivos. Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas. Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão. Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas. Gerenciar riscos considera os contextos externo e interno da organização, incluindo o comportamento humano e os fatores culturais.”

Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados como ilustrado na figura abaixo:

Fig.1: Diagrama do Processo de Gestão de Riscos

A norma também ajuda a entender termos e definições da Gestão de Riscos, tais como:

O risco é o efeito da incerteza nos objetivos. Nota 1 de entrada: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças. Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis. Nota 3 de entrada: Risco é normalmente expresso em termos de fontes de risco (3.4), eventos (3.5) potenciais, suas consequências (3.6) e suas probabilidades (3.7).

A Gestão de Riscos são atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos (3.1);

A parte interessada é pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade. Nota 1 de entrada: O termo “parte interessada” pode ser utilizado como alternativa a “stakeholder”;

A fonte de risco é um elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco (3.1);

O evento ocorrência ou mudança é em um conjunto específico de circunstâncias. Nota 1 de entrada: Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e várias consequências (3.6). Nota 2 de entrada: Um evento pode também ser algo que é esperado, mas não acontece, ou algo que não é esperado, mas acontece. Nota 3 de entrada: Um evento pode ser uma fonte de risco.

A consequência é um resultado de um evento (3.5) que afeta os objetivos. Nota 1 de entrada: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos, diretos ou indiretos, nos objetivos. Nota 2 de entrada: As consequências podem ser expressas qualitativa ou quantitativamente. Nota 3 de entrada: Qualquer consequência pode escalar por meio de efeitos cascata e cumulativos.

A probabilidade é a chance de algo acontecer. Nota 1 de entrada: Na terminologia de gestão de riscos (3.2), a palavra “probabilidade” é utilizada para se referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante um determinado período de tempo). Nota 2 de entrada: O termo em inglês “likelihood” não tem um equivalente direto em algumas línguas; em vez disso, o equivalente do termo “probability” é frequentemente utilizado. Entretanto, em inglês, “probability” é muitas vezes interpretado estritamente como uma expressão matemática. Portanto, na terminologia de gestão de riscos, convém que” likelihood” seja utilizado com a mesma ampla interpretação que o termo “probability” tem em muitos outros idiomas, além do inglês;

O controle é a medida que mantém e/ou modifica o risco (3.1). Nota 1 de entrada: Controles incluem, mas não estão limitados a qualquer processo, política, dispositivo, prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco. Nota 2 de entrada: Controles podem nem sempre exercer o efeito modificador pretendido ou presumido.

Portanto, segundo NBR ISO 31000:2018, o propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos das organizações.

Sendo assim, o propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interessadas, em particular da Alta Direção. O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da liderança e o comprometimento de toda a organização.

 

Fonte: Normas NR01, NBR ISO 9001:2015 e NBR ISO 31000:2018.