GRC


De acordo com padrões internacionais, risco é o efeito da incerteza sobre os objetivos de uma organização. Por isso, a essência da Gestão de Risco é apoiar a empresa a conviver com a incerteza e não, necessariamente, eliminá-la, pois existe chances de o efeito ser positivo.
Selecionamos sete textos para auxiliar você na gestão de risco da sua organização. E para se aprofundar mais no assunto, sugerimos o nosso curso “Gestão de Risco – Aprendizado com base em casos históricos”.

DICA DE LEITURA


Esta semana, a dica de leitura aborda o tema riscos. A obra de Osias Brito mostra que os riscos operacionais estão associados a erros humanos, a processos inadequados, a sistemas e modelos de decisão frágeis.
O livro “Gestão de Riscos – Uma abordagem orientada a riscos operacionais” explica que assumir riscos faz parte das atividades organizacionais e, por isso, é necessário que o conhecimento seja aliado à gestão sistemática e metodológica dos riscos.
Como a organização em que você trabalha está gerindo esses riscos? Conte-nos nos comentários abaixo.
E para auxiliar na gestão de riscos da sua organização, a FNQ realiza o curso Inteligência de Risco, em que você aprende a identificar e a avaliar os riscos aos quais a sua organização está exposta e a implementar um sistema inteligente de gestão, com base no MEG.


GESTÃO DE RISCOS / CASO TITANIC


Toda e qualquer organização apresenta dois tipos de cultura: aquela pretendida pela alta administração e a real, praticada em campo. Essa última é composta de valores explícitos e implícitos, associados ao comportamento das pessoas.
A cultura organizacional real está para o desempenho de uma organização assim como oterroir está para o vinho. De acordo com os especialistas, o terroir influencia muito a qualidade do produto final, caracterizando-a como única, não copiável, sendo o argumento para a existência dos produtos de denominação de origem controlada (bordeaux, alentejo, etc.). 
A analogia cai como uma luva para o mundo organizacional. A combinação da cultura e do estilo de gestão com outros fatores que caracterizam o output de uma organização é única, praticamente impossível de ser replicada, o que torna o estudo do sucesso ou do fracasso empresarial ainda mais fascinante, obrigando-nos a ter cautela na aplicação de fórmulas excessivamente simplistas de prognóstico do futuro de uma empresa. Todavia, mesmo sendo cada caso um caso, eu sou um dos sujeitos que acreditam piamente que é possível traçar linhas gerais de análise para nortear uma reflexão sensata sobre como uma determinada organização é conduzida.
A cultura depende fortemente das pessoas e dos legados da organização – como as coisas foram feitas no passado e o que deu certo ou errado. Como é feita de valores arraigados a seres humanos, demora-se muito para promover mudanças.
Sempre fui fascinado por entender como a cultura organizacional e o modelo de gestão influenciam o desempenho de uma empresa. Em 1992, larguei um bom emprego em uma excelente multinacional, para me dedicar à consultoria em gestão e ao estudo de casos. Agreguei-me, naquele mesmo ano, à Fundação Nacional da Qualidade (FNQ) – junto à qual milito até hoje, – e venho, desde então, ajudando a moldar o modelo que é hoje a principal referência no Brasil para excelência da gestão.
A busca sem fim por um modelo quali-quantitativo, que nos permita julgar se uma organização é bem administrada, tem sido muito recompensadora, embora possa ser, em determinadas circunstâncias, frustrante. Não há dúvidas de que cultura e modelo de gestão são a plataforma de sustentação do sucesso empresarial. Entretanto, a frustração decorre do fato de que a maioria dos executivos lhes atribui menor importância em comparação a outros fatores, pois não são as causas imediatas, tangíveis e óbvias do sucesso (ou do fracasso). Por isso, é comum que se dê menor senso de urgência à cultura e à gestão. Desde que tive essa percepção, passei a estudar os conectores da cultura e da gestão com o desempenho organizacional, para poder convencer executivos a atropelar essa inércia.
O estudo analítico da história é uma ferramenta poderosa para aprendizado, apoiando o refinamento dos modelos existentes sobre o que determina o desempenho empresarial e de como os fatores críticos se inter-relacionam. 
Em especial, o aprendizado de casos históricos é fundamental para o processo  de Gestão de Risco, pois boa parte dele gira em torno da projeção de eventos que nunca aconteceram em uma determinada organização. Em outras palavras, para o processo ser eficaz, ele é obrigado a aprender com eventos históricos ocorridos em outras empresas.
Aqui é que entra o caso Titanic. Você deve estar se perguntando: mas por que cargas d’água o Titanic seria um bom tema para aprender sobre cultura de risco? Bem, para começar, o Titanic é um caso fartamente documentado, havendo diversos livros dedicados a explorar a conexão do Titanic com gestão empresarial e análise de risco. É a história mais famosa de tragédia plenamente evitável em época de paz, ou seja, sem intenção de dolo. É também um exemplo óbvio de que o uso de técnicas básicas de prevenção – simulação de contingências, treinamento, maior envolvimento do pessoal de operação, integração de informações, etc. – seriam suficientes para mitigar significativamente, ou até mesmo eliminar, o drama humano.
Imagino que você conheça a história do Titanic e provavelmente tenha assistido ao blockbusterde James Cameron, recordista absoluto de bilheteria da história do cinema. Pergunte a alguém a causa do naufrágio e você ouvirá uma das respostas abaixo.
• O Titanic raspou em um iceberg de forma desafortunada. O iceberg rasgou o casco de bombordo da proa até a popa.
• O capitão Edward John Smith foi negligente em relação aos alertas de iceberg na rota.
• Havia uma crença generalizada de que o navio era “inafundável”.
• O navio estava singrando o Atlântico em velocidade acima da que seria prudente para as condições de navegação.
• O navio tinha problemas estruturais desconhecidos à época, em função da tecnologia de construção naval.
As respostas acima são todas corretas e realmente explicam o acidente sob um ponto de vista estritamente técnico. Elas têm a ver com o fato de o Titanic ser uma embarcação inovadora e com a estratégia usada pela White Star Line, sua proprietária, para disputar a supremacia no setor com a Cunard, sua principal concorrente. 
A esmagadora maioria dos milhares de livros e filmes produzidos sobre o Titanic aborda as coisas, digamos, interessantes da história: o acidente, a vida dos passageiros famosos e anônimos, o contraste entre as classes sociais, os dramas do capitão e do projetista do navio, etc., mas não a causa-raiz: o contexto cultural que permitiu, e até incentivou que o capitão do navio assumisse sozinho riscos excessivos, inimagináveis, quando os analisamos à luz dos protocolos atuais de navegação.
O Titanic é um ícone de fim e de início de duas eras: em 1912, a revolução industrial inglesa chegara ao seu ápice junto com o Império Britânico e grandes corporações começavam a controlar o mundo. Pela primeira vez, o conceito de que uma empresa precisava prestar contas a todas as partes interessadas ganhou chão, pois o principal executivo de uma grande corporação foi cobrado ferozmente pela opinião pública – a imprensa e o povo nas ruas, não a rainha ou o arcebispo – por impactos sociais causados por um ato falho de sua organização.
Empresas de transporte marítimo ainda têm estruturas organizacionais das áreas operacionais baseadas na hierarquia militar, em especial nas embarcações. E não é só a estrutura organizacional que é similar: a cultura também, mesmo que não se trate de organizações voltadas para a defesa. Não é à toa que os acidentes do Costa Concordia e do Exxon Valdez têm em comum com o Titanic justamente o contexto cultural e um protagonista autocrático, ou seja, o capitão. Se isso ainda ocorre em 2014, imagine como era em 1912, com velhos lobos do mar forjados em combate, herdeiros da tradição naval do século anterior.
Vários elementos da cultura saudável de risco não estavam a bordo do Titanic:
• O posicionamento claro da alta administração em relação a quais riscos eram aceitáveis e quais eram inaceitáveis, posicionamento esse que deveria ser disseminado para todos.
• Manutenção de fluxo ágil de informações sobre risco para cima e para baixo na hierarquia, sem medo de consequências.
• Encorajamento de whistle blowing, ou seja, possuir canais para as pessoas reportarem eventos e incidentes que evidenciem descolamento em relação ao posicionamento da alta administração.
• Questionamento constante dos métodos decisórios da organização, para obter um padrão de alerta.
Como já vimos, o acidente do Titanic ocorreu em uma situação rotineira de navegação no Ártico. Imagino que muitas pessoas no nível de comando intermediário da tripulação tenham ficado preocupadas com a postura blasé do capitão, que determinou a manutenção normal do curso e foi dormir, sem gerar qualquer plano especial de alerta aos perigos evidentes. Imagino, também, que eles devem ter pensado: “o que se há de fazer? Sempre foi assim...”. Infelizmente, eles não puderam comprovar isso em seus depoimentos, porque morreram no acidente.


COMO ESTÁ A CULTURA DE RISCOS DE SUA ORGANIZAÇÃO ?


Qualquer organização já estabelecida tem uma cultura de risco instalada. Então, a primeira coisa a fazer para mudá-la é tomar o pulso dela. 
Defina os elementos culturais desejáveis e identifique os potencialmente adversos junto à alta administração. A seguir, verifique como os colaboradores percebem esses elementos. Por exemplo: elas acham que há liberdade para relatar situações de risco sem sofrer retaliações? Elas conhecem os riscos inerentes ao negócio? Elas sabem qual é o grau de autonomia que se espera delas? Elas acham que os líderes estão preparados para lidar com riscos?
Diversas metodologias estão à disposição para medir os elementos culturais de risco e avaliar como anda a cultura de risco da organização, tais como:
• pesquisa específica de cultura de risco (pode ser na forma de survey ou por meio de entrevistas);
• incorporação de questões sobre percepção da gestão de risco na pesquisa de clima ou na pesquisa de valores;
• criação de grupos focais interfuncionais;
• estudo do comportamento das pessoas, com base na análise do histórico de desvios, incidentes e outras manifestações reais de risco que a organização experimentou.
Como segundo passo, deve-se diagnosticar se a organização possui bolsões de cultura inconsistente e identificar as causas dessa discrepância, tais como: estrutura local excessivamente autocrática, acomodação em zona de conforto, ausência de sistemas locais para sensibilização e estímulo, etc.
Por fim, e sempre com o aval da alta administração, na terceira fase, você deve tentar interferir nos elementos culturais que descolaram do que se pretende como cultura de risco da organização. Essa ação é importante, contudo, não é trivial. O remédio tem de ter dose certa, não pode ser pior do que a “doença”. Mudanças culturais devem ser feitas com a devida cautela, com a compreensão da dinâmica e do equilíbrio dos sistemas envolvidos.
A linha de ação geralmente passa por:
• revisar os valores da organização e o método para sua disseminação;
• reposicionar a tolerância do sistema de liderança a determinados tipos de risco e deixar claro o novo posicionamento;
• efetuar mudanças cirúrgicas na estrutura organizacional;
• revisar a espinha dorsal da trilha educacional, que vai desde a integração de novos colaboradores até o aprimoramento dos líderes, para fortalecer o tal “estado de alerta”, ou seja, para desenvolver a sensibilidade ao risco mesmo em ambiente de rotina.
Seja qual for a etapa da gestão de risco em que a sua organização esteja colocando foco no momento, é altamente recomendável a realização de benchmarking. Gestão de risco é um processo gerencial bem praticado em vários setores empresariais no Brasil e há fartura de bons exemplos de iniciativas de ajuste da cultura de risco. 
Dica importante: não há necessidade de buscar organizações do setor em que atua. O processo gerencial de gestão de risco tem a vantagem de ser comparável ao de qualquer tipo de organização. Por exemplo, os grandes bancos brasileiros são muito competentes nessa área e têm processos já refinados de fortalecimento da cultura de risco. 
É sempre bom lembrar que benchmarking exige planejamento e preparação: defina previamente quais são os pontos-chave da visita à outra organização e envie, com antecedência, suas expectativas. 


INTELIGÊNCIA DE RISCO É UMA COMPETÊNCIA ESSENCIAL

O propósito de qualquer organização é criar valor para suas partes interessadas. A expectativa de valor a ser criado no futuro é afetada por incertezas de várias origens, tornando inviável falar em projeção de valor sem também mencionar a faixa de variação esperada dessa projeção. Risco é esse range: o efeito da incerteza nos objetivos (de criação de valor) de uma organização, conforme a definição da ISO 31.000 e do COSO, os padrões de Gestão de Risco mais empregados no Brasil e no mundo.


Valor e Risco são irmãos siameses, tal e qual média e desvio-padrão. A consequência disso é óbvia: toda e qualquer decisão tomada pela organização deveria provocar uma reavaliação do valor a ser criado e do risco a ele atrelado. Se levarmos as premissas do Modelo de Excelência da Gestão (MEG®) da FNQ em consideração, as alterações de valor e risco deveriam ser comunicadas às partes interessadas.


Gestão de Risco é o processo empregado para assegurar que tudo isso aconteça de forma estruturada, e há muitos anos as organizações contam com as diretrizes da ISO 31.000 e do COSO Framework para implantar esse processo. Aliás, praticamente todas as grandes empresas de capital aberto no mundo informam em seus relatórios públicos que têm Gestão de Risco aderente a um desses padrões ou a um de seus diversos derivados setoriais.


Até aqui, está fácil, certo? O problema é que, crise após crise, incidente grave após incidente grave, a confiança das partes interessadas no processo de Gestão de Risco esvaneceu-se. Na minha modesta opinião, essa descrença pode acabar afetando o MEG®.


Pelo menos 30% do conteúdo do MEG® são pura Gestão de Risco. É só analisar os Critérios de Excelência:

Quando atribuímos uma pontuação alta a uma organização, sob a ótica do MEG®, estamos reconhecendo sua Gestão de Risco como madura e eficaz, fato esse que deve provocar uma reflexão para os profissionais que, como eu, labutam diariamente com o MEG®.


O principal obstáculo à eficácia da Gestão de Risco convencional é que tendemos a tratá-la como uma entidade patrulheira ou fiscalizadora, assim como acontecia com a Qualidade antes dos anos 80. Essa constatação é que motivou vários autores (vide comentários sobre bibliografia, ao final do artigo) a empregar o termo Inteligência de Risco, em contraponto ao já trivializado Gestão de Risco, significando a incorporação da análise de risco em todas as decisões e em todas as projeções de valor da organização.


É fácil de falar e difícil de fazer: o desenvolvimento de uma RIO (Risk-Intelligent Organization) não é trivial, pois o termo “todas” usado acima tem o mesmo escopo empregado no MEG®,  ou seja, a Inteligência de Risco abrange todas as partes interessadas, atividades, produtos e processos na cadeia de valor estendida.


A Gestão de Risco em uma RIO possui características marcantes:


•    É orientada para o futuro: o sistema é sensível a mudanças de cenário e não confia somente em indicadores históricos, evitando a síndrome do “isso nunca aconteceu”.
•    Risco é aceito como uma coisa necessária e inevitável para que a criação de valor diferenciado seja possível. A organização é antifrágil, pois ela aprende e melhora com os próprios erros, os quais são cometidos suficientemente cedo. Também aprende, e muito, com os erros dos outros.
•    A análise de risco é realista. Não há receio ou vergonha de se assumir que há incerteza em uma decisão, e a incerteza é quantificada explicitamente na forma de risco. Risco escondido é considerado o pior tipo de risco na cultura da RIO.
•    A análise de risco está integrada e incorporada aos processos decisórios e de Change Management.
•    A Gestão de Risco é ágil e adaptativa (nimble). Os especialistas em risco não são vistos como “dr. No”, mas sim como pessoas que ajudam a tomar decisões e a projetar valor.
•    É holística: abrange todos os tipos de valor e de risco, mantendo uma linguagem comum. A Gestão de Risco não acontece somente trimestralmente em escritórios que discutem finanças corporativas; acontece continuamente, em todas as áreas da organização.
•    Promove accountability: parte da premissa de que a responsabilidade por risco é de cada gestor e de que haverá consequências, positivas ou negativas, no seu reconhecimento.



É possível e desejável que o Quociente de Inteligência de Risco (o grau em que uma determinada organização é uma RIO) seja medido, seja por um especialista ou por meio de autoavaliação. As agências de risco já inseriram em seu modus operandi esse tipo de avaliação, com o fim de enriquecer suas análises de risco, mas ainda não há um método universal aceito para medir o QIR de uma organização.


A boa notícia é que o QIR pode ser aumentado em cada etapa do processo clássico de Gestão de Risco, por meio do aprimoramento cultural e conceitual e pela inserção de ferramentas, tais como as exemplificadas na tabela a seguir.

Afirmei, no início deste artigo, que a confiança na Gestão de Risco havia deteriorado. Isso não significa que as partes interessadas a achem menos relevante – muito pelo contrário, creio que a tendência é aumentar o escrutínio sobre os tipos e a magnitude dos riscos aos quais o valor de uma organização está exposto.


Uma potencial consequência disso é que as organizações poderão ficar medrosas e supercautelosas (risk averse) além da conta, o que não seria bom, uma vez que ninguém cresce e prospera sem correr risco ou errar saudavelmente. É aí que a Inteligência de Risco revelará todo seu potencial: mostrar que a organização conhece muito bem seus riscos e que seu sistema de gestão lida com eles naturalmente.
Finalmente, uma RIO desenvolve duas competências sagradas das organizações que buscam a Excelência: a capacidade de integrar e a capacidade de aprender. As partes interessadas agradecerão e ficarão mais – bem, digamos... – interessadas na organização.



Bibliografia


Este artigo, embora contenha vários conceitos e acrônimos que eu desenvolvi, é fortemente influenciado, como não poderia deixar de sê-lo, pela literatura internacional sobre Risco. Em especial, menciono as seguintes influências relevantes e aproveito para recomendar a leitura:


Financial Darwinism – Create Value Or Self-Destruct in a World of Risk (Leo M. Tilman, 2009, publicado nos EUA pela John Wiley): influenciou a forma de definir Inteligência de Risco, em especial em como ela ajuda a buscar maior valor futuro para a organização. Esse livro explica claramente a crise financeira em que o mundo desenvolvido continua encalacrado, bem como detalha sistemáticas para avaliar o valor ajustado a risco de uma organização.
Antifragile - Things that Gain from Disorder (Nassim N. Taleb, 2012, publicado nos EUA pela Random House): criou o conceito de “sistema antifrágil”, que ajuda a explicar os erros passados que levaram a várias crises sistêmicas. Explora como o medo de errar nos torna mais frágeis.
Surviving and Thriving in Uncertainty – Creating the Risk Intelligent Enterprise(Frederick Funston e Stephen Wagner, 2010, publicado nos EUA pela John Wiley): define as principais falhas da Gestão de Risco convencional e detalha várias ferramentas para aumentar o QIR da organização. O termo “dr. No” foi emprestado desse livro.
Risk Intelligence – How to Live with Uncertainty (Dylan Evans, 2012, publicado nos EUA pela Free Press): detalha como medir e incrementar o QIR de um indivíduo com base em testes e treinamento.


GESTÃO DE RISCOS É FUNDAMENTAL PARA A GOVERNANÇA CORPORATIVA
 O ato de pensar nos riscos envolvidos nos negócios tornou-se tão estratégico quanto dar um passo à frente nos objetivos empresariais. Para sobreviver ao atual contexto econômico mundial, empresas de boa governança corporativa estão mais preocupadas com o gerenciamento de seus riscos. A gestão de riscos permite às organizações identificar, avaliar, mensurar, tratar, monitorar e revisar seus riscos e objetivos. 

Ela transforma riscos em oportunidades, criando um diferencial competitivo de mercado. Na entrevista a seguir, Heloisa Bedicks, diretora executiva do Instituto Brasileiro de Governança Corporativa (IBGC), fala sobre o assunto. 

Como funciona a gestão de riscos corporativos? 
O conselho administrativo das empresas deve identificar os possíveis riscos e pensar no que será feito para minimizá-los. Em seguida deve ser definido o apetite ao risco: se será feita a prevenção dele ou se ele será aceito, a partir daí deve pensar na forma em que o trabalho será desenvolvido, se na redução, compartilhamento ou exploração do risco. 

Quais os principais passos para desenvolver uma gestão de riscos corporativos eficiente?
Identificar, avaliar, mensurar, tratar e monitorar o risco. Num último momento, a comunicação desse risco para os stakeholders também é fundamental. 

Como os riscos podem ser identificados e quais podem ser suas naturezas? 
Para identificar deve ser feito o mapeamento de todos os riscos, que podem ser de natureza estratégica, operacional, financeira, tecnológica e ambiental. 

Qual a importância desta ferramenta em tempos de crise?
Há um risco novo, o do crédito. Se a identificação e a prevenção deste risco tivessem sido feitas, empresas de determinados setores, que precisam de recursos provenientes do mercado, não teriam tido tantos problemas. Outra situação é das empresas que se expuseram a um risco maior do que sua própria capacidade de absorção deste risco, que gerou muitos problemas com derivativos. 

Como deve ser uma boa governança de gestão de riscos corporativos? 
A participação da liderança é imprescindível. Tem de haver o envolvimento do conselho administrativo e da direção. O conselho é o guardião do gerenciamento de riscos de uma empresa. A diretoria tem de assegurar que todos os riscos estão identificados e que há um sistema de informação adequado. O conselho deve apresentar à direção uma lista com os riscos, juntamente com as medidas de prevenção ou minimização. 

A gestão de riscos é uma cultura nova no Brasil? 
Não. O que está mudando é a performance do conselho administrativo, que está melhorando muito e isso faz com que haja uma preocupação maior. Esse envolvimento e maior responsabilidade no efetivo monitoramento dos riscos por parte das lideranças estão se aperfeiçoando cada vez mais. 

Qual a importância da governança corporativa e que vantagens as empresas que a praticam usufruem direta ou indiretamente?
Governança corporativa é um sistema que melhora o relacionamento entre as diversas partes da empresa. Faz com que haja alinhamento de interesses e uma chance muito maior de sobrevivência da empresa num longo prazo.  Além disso, empresas que adotam boas práticas de governança tendem a captar recursos a um custo menor.


CURSO NA FNQ 


O curso “Inteligência de Risco – Competência essencial das organizações que buscam a excelência da FNQ” foi reformulado e, agora, passa a se chamar “Gestão de Risco – Aprendizado com base em casos históricos”. 
Com um novo foco, a capacitação tem por objetivo explorar o potencial de aprimoramento da gestão de risco nas organizações a partir da compreensão de estudos de caso, bem como o aprofundamento nas metodologias do Modelo de Excelência da Gestão® (MEG).
Para aproximar o participante do tema, a capacitação analisará casos empresariais e acidentes célebres da história, tais como: Costa Concórdia, voos Varig 254, GOL 1907 e TAM 3054, a expansão de Portugal no século XVI, Chernobyl, Titanic, entre outros. Além desses, o curso também dará atenção a casos bem sucedidos, como o desenvolvimento do iPhone, o retorno da Apollo 13 e o programa 170 da Embraer.
O treinamento capacita os participantes para:
coordenar a reestruturação da gestão de risco das organizações onde atuam, por meio da obtenção             de uma visão geral das etapas do processo e das metodologias disponíveis;
empregar linguagem adequada de risco e conhecer as normas e referencias sobre o assunto;
classificar os vários tipos de risco conforme o perfil da organização;
harmonizar a gestão de risco com outros processos gerenciais e sistemas de gestão da organização.
"Em um mundo em que há novas incertezas surgindo a cada instante, saber como tratá-las é uma competência essencial para qualquer organização e não somente a atribuição de uma área especializada que se esconde sinistramente em canto do escritório.  Em organizações que buscam a excelência, o processo (e não obrigatoriamente a área) de Gestão de Risco estará sempre incorporado aos processos decisórios, ao desenvolvimento de produtos, aos sistemas e processos da cadeia de valor e a qualquer iniciativa de mudança", explica o consultor do curso, Marco Nutini.









ISO 28000 E A GESTÃO DE SEGURANÇA PATRIMONIAL
É necessária a existência de uma norma, e, preferencialmente certificável, podendo ser facultativa, gerando diferencial e assegurando que uma determinada atividade funcione com os mínimos requisitos.
A gestão de Segurança Patrimonial/Empresarial ocorre no dia a dia das organizações, sem que estas percebam a dimensão, ou seja, em alguns casos se assemelha a uma gestão de ISO 9000.
Em algumas empresas existe a política de qualidade integrada com meio ambiente e segurança, ocorre que se trata de Safety, e ainda assim, está validada pela alta administração como se fosse Security e Safety.

No ano de 2005, em redes sociais de Security, lancei a ideia de criarmos uma norma para a segurança empresarial e, naquele momento, alguns colegas se manifestaram favoráveis, mas não passou disso.
Passado algum tempo, é evidente que não evoluímos muito nessa questão. Hoje temos a NBR ISO 31000 que trata da Gestão de riscos e diferentemente do que alguns imaginam, esta norma não rege a segurança empresarial; contudo, ela é ferramenta indispensável para o gestor de security.
Mas nem tudo está perdido. A ABNT publicou em 2009, a NBR ISO 28000, após um longo trabalho de tradução, validação técnica com ampla discussão e consulta pública.
Esta norma foi elaborada com base na metodologia do PDCA e está alinhada com a ISO 9000 e ISO 14000 em termos de processos e gestão. Tem o objetivo de especificar os requisitos mínimos para um Sistema de Gestão de Segurança da Cadeia Logística, incluindo os aspectos fundamentais.
A Gestão de Segurança está vinculada a muitos outros aspectos da administração do negócio. Esses aspectos incluem todas as atividades controladas ou influenciadas por organizações que impactam na segurança da cadeia logística. Esses outros aspectos devem ser considerados diretamente, onde e quando tiverem impacto sobre a Gestão de Segurança, inclusive no transporte das mercadorias ao longo da Cadeia Logística.
Dessa forma, este artigo tem o objetivo de repassar alguns itens da norma e assim desafiar os gestores a se mobilizarem e formarem um comitê para elaborar uma norma específica de Segurança Empresarial/Patrimonial; ou, ao menos estimulá-los a considerar que a NBR ISO 28000 atende as necessidades e proporem uma revisão direcionada.
A alta administração deve autorizar e validar uma política de segurança corporativa, conforme o item 4.2 da norma – política de gestão de segurança.
Nota da norma: Esta política deve ser detalhada pra uso interno, oferecendo informações e instruções suficientes para conduzir o sistema de gestão de segurança (partes confidenciais) e disponibilizar uma versão resumida (parte não confidencial) contendo objetivos gerais para distribuição a seus participantes e partes interessadas.
A figura ao lado foi retirada da NR ISO 28000.

O item 4.3.1 – avaliação do risco de segurança, estabelece que a organização deve manter procedimentos para a identificação e avaliação permanente das ameaças e riscos, bem como a identificação e implementação das medidas de controle de gestão necessárias para a mitigação de tais riscos.
O item 4.4.1, autoridade e responsabilidade, é o padrão de mercado, e estabelece que a organização deve manter uma estrutura de funções, responsabilidades e autoridades, compatível com a sua política, objetivos, metas e programas de gestão de segurança.
A alta administração deve oferecer evidências do seu comprometimento com o desenvolvimento e implementação do sistema de gestão de segurança (processos) e continuamente melhorar a sua eficácia.
O conhecimento não ficou de fora e no item 4.4.2 a norma estabelece que a organização deve assegurar que os responsáveis pelo projeto, operação e administração dos equipamentos de segurança e processos estejam adequadamente capacitados no que tange à formação, treinamento e/ou experiência.
A comunicação é tratada no item 4.4.3 estabelecendo as garantias de repasse das informações aos empregados e terceiros e outras pares interessadas.
Resumidamente relaciono abaixo outros itens:
  • Objetivos da Gestão de segurança, item 4.3.3,
  • Metas da Gestão de Segurança, item 4.3.4,
  • Documentação – Manter um sistema de gestão da documentação, item 4.4.4,
  • Controle de documentos e dados – A organização deve estabelecer e manter procedimentos para controlar todos os documentos, dados e informações requeridas na seção 4 da norma, item 4.4.5,
  • Controle operacional, item 4.4.6,
  • Respostas às emergências – Implementar e manter planos e procedimentos apropriados para pronta resposta a incidentes e situações de emergências, item 4.4.7.
Como outras normas, a NBR ISO 28000 também aborda a questão da mensuração e monitoração do desempenho, bem como as falhas relacionadas à segurança, incidentes, não conformidade e ações corretivas e preventivas.
Os controle e registros não ficam de fora, devendo ser legíveis e rastreáveis, e a auditoria deve prever um cronograma com intervalos planejados.
O último item da norma – 4.6 – Análise da administração e melhoria contínua, estabelece que esta avaliação seja em intervalos planejados, assegurando a conformidade e eficácia, incluindo oportunidades de melhoria.
Entendo que a implantação dessa norma trará muitos benefícios, não só para a segurança da cadeia logística, mas para toda a empresa, como por exemplo, alinhar com o setor de compras um procedimento com requisitos para avaliação de fornecedores, considerando as certificações pertinentes e gestão de segurança patrimonial, evidenciando a segurança dos processos com vistas à continuidade do negócio, isto é, devemos integrar também a NBR ISO 15999 nesse processo.
Uma empresa com processos seguros deve evidenciar esta condição ao mercado. Este diferencial é o desafio da gestão de segurança empresarial com a alta administração, onde fica claro que somente terceirizar a vigilância patrimonial com base em procedimentos de acesso não é administrar a segurança.
Portanto, para se tornar uma empresa segura é necessário muito trabalho, dedicação, integração e comprometimento; afinal, segurança patrimonial é dever do empregador, direito dos colaboradores e responsabilidade de todos.
Teanes Carlos Santos Silva, gestor de Segurança Empresarial.



Nenhum comentário:

Postar um comentário