Um dos objectivos transversal a qualquer uma das normas ISO é o de servir como ferramenta preventiva, no sentido de evitar ou antever eventuais falhas, possibilitando a determinação de possíveis acções para mitigar efeitos negativos. Assim, o levantamento de riscos e oportunidades é um aspecto que deve fazer parte do processo de planeamento estratégico das organizações.
O que são riscos e oportunidades?
Riscos não são necessariamente sinónimo de problemas. De acordo com a ISO 9000, risco “é um efeito ou desvio da incerteza”. Portanto, há a possibilidade de haver efeitos negativos e positivos do risco, apesar de no dia-a-dia a preocupação ser a de evitar ou minimizar as potenciais consequências negativas desse desvio.
Já as oportunidades são os efeitos potencialmente benéficos, ou seja, acontecimentos/circunstâncias oportunas capazes de melhorar o estado ou situação actual, trazendo benefícios para a organização.
É assim requerido que as organizações determinem os seus riscos e oportunidades (R&O), os quais devem ser tratados adequadamente.
Embora este seja um requisito comum a todas as normas, a sua abordagem deve ser especifica para cada área, como por exemplo, Qualidade, Gestão Ambiental, Saúde e Segurança no Trabalho, Segurança dos Alimentos, entre outras.
Face ao acima exposto, é comum que as organizações se debatam com as seguintes questões: quais são os riscos que devem ser tratados? porquê tratar os riscos?
No dia-a-dia as empresas estão susceptíveis de incorrer em diversos riscos conforme o seu tipo de operação e contexto. Por exemplo, numa empresa fornecedora de produtos essenciais, podem existir riscos operacionais associados à rutura no abastecimento de mercadoria ou à má gestão de fornecedores; fornecimento ao cliente fora dos prazos estabelecidos, produtos não conformes. Riscos de segurança da informação e continuidade de negócio, em que podem ser incluídos os ciber-ataques ou situações de emergência, causadas por eventos disruptivos resultantes de desastres naturais. Riscos de conformidade ou compliance, que estão relacionados com o cumprimento de requisitos legais e/ou normas tais como as da segurança dos alimentos. Por último, riscos estratégicos que poderão estar relacionados, por exemplo, com o aparecimento de um ou mais concorrentes novos no mercado.
Por outro lado, as oportunidades advindas dos riscos podem estar associadas a produtos e serviços novos ou melhorados pelas empresas em resposta a novos desafios. Por exemplo, entrada em novos clientes e mercados, processos da organização mais robustos/com maior produtividade, incorporação de novas tecnologias e novos equipamentos.
À luz das normas ISO, não é limitada a necessidade da organização desenvolver métodos formais de gestão do risco e não é indicada uma ferramenta específica para o efeito. Contudo, existem sempre boas práticas que podem ser implementadas. Desse modo, e tendo em conta, por exemplo, o Modelo 4T, os R&O podem ser tratados da seguinte maneira:
- Tratar – Lidar com o risco de forma a mitigá-lo;
- Tolerar – Compreender o risco e aceitar viver com ele;
- Transferir – Partilhar o risco com uma terceira parte, por exemplo, seguradoras;
- Terminar – Encerrar a área onde o risco está presente.
Entretanto, de modo a garantir uma efectiva integração do modelo 4T na organização, ou seja, do pensamento baseado no risco, alguns aspectos são essenciais:
- Identificar e documentar os R&O associando-os à origem: contexto interno e/ou externo e partes interessadas afectadas. É recomendável que a determinação dos R&O seja realizada com a participação de diversas funções e níveis com o conhecimento relevante;
- Definir e executar o plano de acção face aos R&O, comunicação/sensibilização sobre o assunto às funções e níveis relevantes. As acções podem ser de rotina ou pontuais;
- Monitoria e controlo dos riscos prioritários e definição de um plano de emergência/continuidade de negócio, pois, por mais que sejam tomados os devidos cuidados, os “imprevistos” podem ocorrer;
- Avaliar a eficácia das acções após a implementação/tirar lições, isto é, avaliar periodicamente os principais riscos a que a organização está exposta. Sempre que ocorrer uma não conformidade, os R&O identificados durante o planeamento deverão ser atualizados, se necessário.
De ressalvar que o tratamento dos R&O deve ser proporcional ao seu potencial impacto e a organização deve refletir sobre como incorpora os controlos/acções planeadas no desenho/descrição dos seus processos. Isto é, os processos devem ser desenhados para mitigar os efeitos indesejáveis e maximizar as oportunidades. Em alguns casos, é necessário balancear as oportunidades com os riscos associados e, eventualmente, pode ter de se optar por protelar o aproveitamento de uma oportunidade. Por exemplo, decidir não fornecer produtos em mercados mais exigentes até que os processos estejam devidamente estruturados.
