ARTIGO PUBLICADO - NBR-ISO 31000 – Gestão de Riscos – Princípios e Diretrizes

NBR-ISO 31000 – Gestão de Riscos – Princípios e Diretrizes

O objetivo deste artigo é apresentar alguns termos e definições que serão contemplados na publicação da futura NBR-ISO 31000, que está sendo elaborada pela CEE-63 – Comissão de Estudo Especial de Gestão de Riscos, formada por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros). Os documentos técnicos da ABNT são elaborados conforme as regras das diretivas ABNT, parte 2

30/10/2009

12h44

Teanes Carlos Santos Silva

Artigo

O objetivo deste artigo é apresentar alguns termos e definições que serão contemplados na publicação da futura NBR-ISO 31000, que está sendo elaborada pela CEE-63 – Comissão de Estudo Especial de Gestão de Riscos, formada por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros). Os documentos técnicos da ABNT são elaborados conforme as regras das diretivas ABNT, parte 2. A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. A elaboração das Normas Brasileiras é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais Temporárias (ABNT/CEET).

A Norma, em primeiro momento, não é destinada para fins de certificação. Será sim, para atender às necessidades de uma ampla gama de partes interessadas, tais como os responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações; com a finalidade de assegurar que os riscos serão eficazmente gerenciados na organização como um todo ou em uma área específica, atividade ou projeto específico; bem como aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.

Assim, adiante relaciono termos e definições para conhecimento:

• Risco: efeito da incerteza nos objetivos. Nota: Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às conseqüências, ou uma combinação destes, expressas em termos de uma soma de conseqüências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada. A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua conseqüência ou probabilidade.

• Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.

• Estrutura da gestão de riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização. Nota: Os fundamentos incluem a política, objetivos, mandatos e comprometimento para gerenciar riscos. Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades. A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas estratégicas e operacionais de toda a organização.

• Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.

• Atitude perante o risco: abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do mesmo.

• Apetite pelo risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir.

• Aversão ao risco: atitude de afastar-se dos riscos.

• Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciá-los. Nota: Os componentes de gestão, tipicamente, incluem procedimentos, práticas, atribuição de responsabilidades, seqüência e a cronologia das atividades, podendo ser aplicado a um determinado produto, processo e projeto, em parte ou em toda a organização.

• Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco

• Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.

• Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao se efetuar o gerenciamento de riscos, e estabelecimento do escopo e dos critérios de risco para a política de sua gestão.

• Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos. Nota: O contexto externo pode incluir os ambientes: cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e as relações com partes interessadas externas, e suas percepções e valores.

• Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos. Nota: O contexto interno pode incluir:

1. Governança, estrutura organizacional, funções e responsabilidades;
2. Políticas, objetivos e as estratégias implementadas para atingi–los;
3. A capacidade, compreendida em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
4. Percepções e valores das partes interessadas internas;
5. Sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como informais);
6. Relações com partes interessadas internas, e suas percepções e valores;
7. A cultura da organização;
8. Normas, diretrizes e modelos adotados pela organização;
9. Forma e extensão das relações contratuais.

• Comunicação e consulta: processos contínuos e interativos que uma organização conduz para fornecer, compartilhar ou obter informações, com relação ao gerenciamento de riscos. Nota: As informações podem referir-se à existência, natureza, forma, probabilidade, severidade, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de riscos. A consulta é um processo bidirecional de comunicação sistematizada entre uma organização e suas partes interessadas ou outros.

• Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade. Nota: Um tomador de decisão pode ser uma parte interessada.

• Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação dos riscos.

• Identificação dos riscos: processo de busca, reconhecimento e descrição de riscos. Nota: A identificação de riscos envolve a identificação das fontes de riscos, suas causas e suas conseqüências potenciais. A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.

• Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco. Nota: Uma fonte de risco pode ser tangível ou intangível.

• Evento: ocorrência ou alteração em um conjunto específico de circunstâncias. Nota: Um evento pode consistir em uma ou mais ocorrências, podendo ter várias causas. Um evento pode consistir em algo que não venha acontecer. Um evento pode algumas vezes ser referido como um “incidente” ou um “acidente”. Um evento sem conseqüências também pode ser referido como um “quase acidente”, ou um “incidente” ou “quase sucesso”.

• Conseqüência: resultado de um evento que afeta os objetivos. Nota: Um evento pode levar a uma série de conseqüências. Uma conseqüência pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. As conseqüências podem ser expressas qualitativa ou quantitativamente. As conseqüências iniciais podem desencadear reações em cadeia

• Probabilidade (likelihood): chance de algo acontecer. Nota: Na terminologia de gestão de riscos, a palavra “probabilidade” é utilizada para referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemáticos (tal como uma probabilidade ou uma freqüência durante um determinado período de tempo).

• Perfil de risco: descrição de um conjunto qualquer de riscos. Nota: O conjunto de riscos pode conter riscos que dizem respeito a toda a organização, parte da organização, ou referente ao que tiver sido definido.

• Análise de riscos: processo pelo qual se busca compreender a natureza do risco e determinar o nível do mesmo. Nota: A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo a estimativa de riscos.

• Critérios de risco: termos de referência contra a qual o significado de um risco é avaliado. Nota: Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e interno e podendo ser derivados de normas, leis, políticas e outros requisitos.

• Nível de risco: magnitude de um risco, expressa em termos da combinação das conseqüências e de suas probabilidades.

• Avaliação de riscos: processo de comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. Nota: A avaliação de riscos auxilia na decisão sobre o tratamento de riscos

• Tratamento de riscos: processo para modificar o risco. Nota: O tratamento de risco pode envolver a ação de evitá-lo o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao mesmo; assumir ou aumentar o risco a fim de buscar uma oportunidade; a remoção da fonte de risco; a alteração da probabilidade; a alteração das conseqüências; o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e a retenção do risco por uma escolha consciente. Os tratamentos de riscos relativos a conseqüências negativas são muitas vezes referidos como “mitigação de riscos”, “eliminação de riscos”, “prevenção de riscos” e “redução de riscos”. O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

• Controle: medida que está modificando o risco. Nota: Os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que visam modificar o risco e nem sempre conseguem exercer o efeito de modificação pretendido ou presumido.

• Risco residual: risco remanescente após o tratamento do risco. Nota: O risco residual pode conter riscos não identificados podendo também, ser conhecido como “risco retido”.

• Monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado. Nota: O monitoramento pode ser aplicado à estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou aos controles.

• Análise crítica: atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos estabelecidos. Nota: A análise crítica pode ser aplicada à estrutura da gestão, ao processo de gestão ou aos controles dos riscos.

As organizações sofrem todos os dias do efeito da incerteza, denominado de “risco”, que afeta os objetivos da organização.

Atualmente nas organizações, os departamentos agem isoladamente, avaliando os seus riscos, por meio de diversas ferramentas, dessa forma, o propósito fundamental da norma será que as organizações desenvolvam, programem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, na estratégia e planejamento, na gestão, nos processos de reportar dados e resultados, nas políticas, valores e cultura de toda a organização.

Portanto, a característica chave da Norma NBR-ISO 31000 será a inclusão do contexto como uma atividade no início do processo genérico de gestão de riscos.

Teanes Carlos Santos Silva, gestor de Segurança Empresarial.
teanes@transportabrasil.com.br

ARTIGO PUBLICADO - ISO 28000 e a gestão de Segurança Patrimonial

ISO 28000 e a gestão de Segurança Patrimonial

Neste novo artigo, o especialista Teanes Carlos Santos Silva faz uma análise da norma ISO 28000 e sua gestão dentro das empresas

26/9/2011

17h15

Teanes Carlos Santos Silva

Artigo

É necessária a existência de uma norma, e, preferencialmente certificável, podendo ser facultativa, gerando diferencial e assegurando que uma determinada atividade funcione com os mínimos requisitos.

A gestão de Segurança Patrimonial/Empresarial ocorre no dia a dia das organizações, sem que estas percebam a dimensão, ou seja, em alguns casos se assemelha a uma gestão de ISO 9000.
Em algumas empresas existe a política de qualidade integrada com meio ambiente e segurança, ocorre que se trata de Safety, e ainda assim, está validada pela alta administração como se fosse Security e Safety.

No ano de 2005, em redes sociais de Security, lancei a ideia de criarmos uma norma para a segurança empresarial e, naquele momento, alguns colegas se manifestaram favoráveis, mas não passou disso.

Passado algum tempo, é evidente que não evoluímos muito nessa questão. Hoje temos a NBR ISO 31000 que trata da Gestão de riscos e diferentemente do que alguns imaginam, esta norma não rege a segurança empresarial; contudo, ela é ferramenta indispensável para o gestor de security.

Mas nem tudo está perdido. A ABNT publicou em 2009, a NBR ISO 28000, após um longo trabalho de tradução, validação técnica com ampla discussão e consulta pública.

Esta norma foi elaborada com base na metodologia do PDCA e está alinhada com a ISO 9000 e ISO 14000 em termos de processos e gestão. Tem o objetivo de especificar os requisitos mínimos para um Sistema de Gestão de Segurança da Cadeia Logística, incluindo os aspectos fundamentais.

A Gestão de Segurança está vinculada a muitos outros aspectos da administração do negócio. Esses aspectos incluem todas as atividades controladas ou influenciadas por organizações que impactam na segurança da cadeia logística. Esses outros aspectos devem ser considerados diretamente, onde e quando tiverem impacto sobre a Gestão de Segurança, inclusive no transporte das mercadorias ao longo da Cadeia Logística.

Dessa forma, este artigo tem o objetivo de repassar alguns itens da norma e assim desafiar os gestores a se mobilizarem e formarem um comitê para elaborar uma norma específica de Segurança Empresarial/Patrimonial; ou, ao menos estimulá-los a considerar que a NBR ISO 28000 atende as necessidades e proporem uma revisão direcionada.

A alta administração deve autorizar e validar uma política de segurança corporativa, conforme o item 4.2 da norma – política de gestão de segurança.

Nota da norma: Esta política deve ser detalhada pra uso interno, oferecendo informações e instruções suficientes para conduzir o sistema de gestão de segurança (partes confidenciais) e disponibilizar uma versão resumida (parte não confidencial) contendo objetivos gerais para distribuição a seus participantes e partes interessadas.

A figura ao lado foi retirada da NR ISO 28000.

O item 4.3.1 – avaliação do risco de segurança, estabelece que a organização deve manter procedimentos para a identificação e avaliação permanente das ameaças e riscos, bem como a identificação e implementação das medidas de controle de gestão necessárias para a mitigação de tais riscos.

O item 4.4.1, autoridade e responsabilidade, é o padrão de mercado, e estabelece que a organização deve manter uma estrutura de funções, responsabilidades e autoridades, compatível com a sua política, objetivos, metas e programas de gestão de segurança.

A alta administração deve oferecer evidências do seu comprometimento com o desenvolvimento e implementação do sistema de gestão de segurança (processos) e continuamente melhorar a sua eficácia.

O conhecimento não ficou de fora e no item 4.4.2 a norma estabelece que a organização deve assegurar que os responsáveis pelo projeto, operação e administração dos equipamentos de segurança e processos estejam adequadamente capacitados no que tange à formação, treinamento e/ou experiência.

A comunicação é tratada no item 4.4.3 estabelecendo as garantias de repasse das informações aos empregados e terceiros e outras pares interessadas.

Resumidamente relaciono abaixo outros itens:

• Objetivos da Gestão de segurança, item 4.3.3,
• Metas da Gestão de Segurança, item 4.3.4,
• Documentação – Manter um sistema de gestão da documentação, item 4.4.4,
• Controle de documentos e dados – A organização deve estabelecer e manter procedimentos para controlar todos os documentos, dados e informações requeridas na seção 4 da norma, item 4.4.5,
• Controle operacional, item 4.4.6,
• Respostas às emergências – Implementar e manter planos e procedimentos apropriados para pronta resposta a incidentes e situações de emergências, item 4.4.7.

Como outras normas, a NBR ISO 28000 também aborda a questão da mensuração e monitoração do desempenho, bem como as falhas relacionadas à segurança, incidentes, não conformidade e ações corretivas e preventivas.

Os controle e registros não ficam de fora, devendo ser legíveis e rastreáveis, e a auditoria deve prever um cronograma com intervalos planejados.

O último item da norma – 4.6 – Análise da administração e melhoria contínua, estabelece que esta avaliação seja em intervalos planejados, assegurando a conformidade e eficácia, incluindo oportunidades de melhoria.

Entendo que a implantação dessa norma trará muitos benefícios, não só para a segurança da cadeia logística, mas para toda a empresa, como por exemplo, alinhar com o setor de compras um procedimento com requisitos para avaliação de fornecedores, considerando as certificações pertinentes e gestão de segurança patrimonial, evidenciando a segurança dos processos com vistas à continuidade do negócio, isto é, devemos integrar também a NBR ISO 15999 nesse processo.

Uma empresa com processos seguros deve evidenciar esta condição ao mercado. Este diferencial é o desafio da gestão de segurança empresarial com a alta administração, onde fica claro que somente terceirizar a vigilância patrimonial com base em procedimentos de acesso não é administrar a segurança.

Portanto, para se tornar uma empresa segura é necessário muito trabalho, dedicação, integração e comprometimento; afinal, segurança patrimonial é dever do empregador, direito dos colaboradores e responsabilidade de todos.

Teanes Carlos Santos Silva, gestor de Segurança Empresarial.
teanes@transportabrasil.com.br

Publicada a ABNT NBR ISO 28000 sobre Segurança da Cadeia Logística - 07/11/2009

Publicada a ABNT NBR ISO 28000 sobre Segurança da Cadeia Logística

O tema Cadeia Logística Segura tem Sido uma das principais bandeiras do PROCOMEX Ao longo dos anos, tanto sem sentido de chamar atenção para um relevância e urgência do tema, quanto para esclarecer alguns equívocos em sua interpretação muito comuns no Brasil.

Neste sentido, por sugestão e fazer contato PROCOMEX Através do GT 4 - Cadeia Logística Segura, foi criado em Junho de 2008 No âmbito da ABNT - Associação Brasileira de Normas Técnicas - uma Comissão de Estudo Especial de Gestão de Segurança para uma Cadeia Logística - ABNT/CEE-97, sob uma coordenação do Comandante da Marinha Luis Fernando Resano.

A comissão vem trabalhando na validação da técnica tradução da ISO 28000 e suas complementares 280001, 28002, 28003 e 20858.

O primeiro fruto deste trabalho foi A publicação no dia último 24 da ABNT NBR ISO 28000 após o trabalho de tradução, validação técnica e consulta pública estar Concluído. A partir do dia 24,07, a norma já estará vigente.

Esta norma tem o objetivo de especificar os requisitos para um Sistema de Gestão de segurança, incluindo Aqueles Aspectos Fundamentais Garantem que a da segurança Cadeia Logística. A Gestão de Segurança está vinculada uma muitos outros aspectos da administração do negócio. Esses aspectos Incluem todas as atividades ou controladas influenciadas por Organizações que impactam na segurança da cadeia logística. Esses Outros aspectos Devem Ser Considerados Diretamente, onde e quando tiverem impacto sobre a Gestão de Segurança, inclusive no transporte dessas mercadorias ao longo da Cadeia Logística.

No momento, uma tradução da norma ISO 28000 já foi concluída, para Disponibilizada na web E em consulta pública em breve será lançada como norma. O mesmo processo está em andamento com a ISO 28001 e, posteriormente, com as demais normas
.

Macaé Offshore News - Sotreq inaugura nova filial em Macaé (RJ) em agosto

Sotreq inaugura nova filial em Macaé (RJ) em agosto

N E W S L E T T E R sexta-feira, 25 de julho de 2014    Indústria Naval e Offshore > 24/7/2014 15:50:00   Sotreq inaugura nova filial em Macaé (RJ) em agosto Empresa de São Paulo, expositora da Marintec South America - 11ª Navalshore, estima crescimento de 14% para o ano e amplia representação no Rio de Janeiro Veja edições anteriores Empresas e Negócios > 24/7/2014 09:49:45   Lucro da Repsol bate estimativas com força surpreendente em refino A margem de refino da Repsol, uma medida de lucratividade no setor, subiu para 3,10 dólares por barril. Política e Economia > 24/7/2014 13:41:51   Economia brasileira deve crescer 1,3% em 2014 e 2% em 2015, revê FMI Entre os grandes emergentes, o Brasil só deverá ter um desempenho superior ao projetado para a Rússia, um país envolvido num conflito com a Ucrânia e que tem sido alvo de sanções econômicas Internacionais > 24/7/2014 15:41:01   Petroleiras temem superoferta no mercado americano Uma das respostas vem sendo a de que as refinarias americanas invistam no aumento da capacidade Empresas e Negócios > 24/7/2014 10:07:08   Leilão para vender ativos da antiga OGX fracassa Principal e único interessado em comprar parte da operação da Paraíba Gás Natural (ex-OGX Maranhão) não compareceu no pregão Energias renováveis > 24/7/2014 15:51:52   Térmicas serão acionadas mesmo sem estiagem As usinas só deverão ser desativadas nos anos em que a hidrologia for superior à média. Empresas e Negócios > 24/7/2014 15:46:55   ANP nega novo prazo para bloco da Petrobras Apesar da notificação a companhia ainda não se decidiu pela devolução do bloco Internacionais > 24/7/2014 16:11:47   Xisto dos EUA reduz ameaça de nova crise no petróleo Com o fortalecimento da oferta de petróleo bruto da América do Norte, os analistas previram que os preços despencariam e inaugurariam uma nova era de combustível barato. Empresas e Negócios > 24/7/2014 13:45:57   Leilão da antiga OGX, de Eike, termina sem lances Companhia que iria dar um lance mínimo de R$ 200 milhões não compareceu ao pregão MacaéOffshore   Edição 75 PT Capa  Desafios e oportunidades na segurança   Com novas operações offshore, acidentes aumentam e exigem novas soluções para controle Entrevista  Oswaldo Pedrosa Presidente da PPSA garante que cumprirá índices de conteúdo local e não discutirá legislação SMS  Passaporte para o sucesso Certificações são cada vez mais exigidas de profissionais do setor de óleo e gás Tecnologia  Guerra fria no ciberespaço Espionagem eletrônica americana demonstra a fragilidade nas redes da Petrobras e coloca empresas de O&G em alerta Empresas & Negócios  Mais por menos Petrobras enxuga investimentos em 7% até 2018 e pode aumentar produção em 7,5% em 2014, com menos paradas e mais unidades