ISO 31000:2018 – 6.2 Comunicação e consulta: o item sobre engajamento no processo de riscos

Imagem de dois computadores com a imagem do forlogic risks. Essa imagem é utilizada no artigo sobre engajamento no processo de riscos para o Blog da Qualidade.

Já falei uma vez aqui sobre o processo de gestão de riscos na ISO 31000:2009, e comentei um pouco sobre cada um dos itens deste requisito. Hoje quero destacar um assunto no qual vejo poucas discussões, mas que, na minha opinião, está diretamente ligado ao engajamento no processo de gestão de riscos. O requisito 6.2 – Comunicação e consulta.

Obviamente, nos primeiros impactos da crise do Corona vírus, houve um trabalho com identificação de riscos e medidas de contenção imediatos.

Entretanto, a ISO 31000:2018 traz um processo estruturado que nos ajuda a direcionar as atividades que tratam riscos na empresa. Esse processo pode fortalecer a organização tornando ela mais protagonista para sair da crise. 

O processo de gestão de riscos

Logo no requisito 6.1, a primeira coisa que nos chama atenção é a figura que ilustra o processo de gestão de riscos:

processo-de-riscos-iso-31000

E de cara, não vemos tanta diferença assim com a figura anterior que representava o processo na versão 2009. Temos o “Estabelecer contexto”, que agora é “Escopo, contexto e critério” e a inclusão do item: “Registro e relato”. 

A gente gosta de falar sobre processo: identificação, análise, avaliação, tratamento de riscos, enfim. Estudamos tanto estes itens, trabalhamos neles e, no fim, reclamamos que o trabalho não é disseminado na organização. Isso porque falta engajamento das pessoas. 

Pode ser que essa falta de engajamento venha de não trabalhar muito bem o requisito 6.2 – Comunicação e consulta.

Propósito da comunicação e consulta

A primeira frase do requisito já determina seu propósito, então não ficarei inventando. A norma diz assim:

O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais ações específicas são requeridas.

A questão é bem simples. Não vai adiantar fazer esse trabalho se as partes interessadas não entendem e nem interagem. A gestão de riscos nos habilita tomarmos ações preventivas. Portanto, essas decisões devem nos preparar para ameaças e oportunidades que estão por vir.

É uma forma estruturada de olhar o passado e presente, organizando informações que possibilitam uma tomada de decisão mais apropriada para o futuro. Desta forma, possibilitamos o alcance dos nossos objetivos e resultados esperados.

Para fazer isso, precisamos das partes interessadas e elas também precisam de nós. Por isso, esse requisito é essencial para o sucesso do processo, ou seja, o alcance do resultado.

Diferença entre Comunicação e consulta

Por mais que sejam postos juntos, neste item temos uma distinção clara entre comunicação e consulta. Portanto, enquanto a comunicação trata a conscientização e clareza do que é o risco, a consulta significa o acesso a informação para tomar decisões. As duas, de certa forma, envolvem qualidade da informação e por isso tem uma relação muito estreita.

Veja o que a norma fala:

A comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta envolve obter retorno e informação para auxiliar a tomada de decisão. 

Aqui, nós devemos nos preocupar com a cultura que está sendo construída, pensando em riscos, e também com a forma que lidamos com as informações do risco. Isto envolve a descrição do risco, análises, incidências, ações de tratamento, eficácia dessas ações, enfim, todo processo.

Se olharmos para a figura do processo de riscos, podemos perceber que esse é um eixo que percorre por todo o processo. Assim, não é algo que deve acontecer apenas na identificação de riscos ou nas ações de tratamento, mas em todas as fases!

Significa que todo mundo precisa saber tudo sobre todos os riscos? Não necessariamente. Este é um requisito que está voltado às partes interessadas. Quem for parte afetada, sim, deve saber.

Cuidados com a troca de informações sobre riscos

Estamos falando da importância da informação ser fluida e acessível, mas isso não significa que qualquer informação deve ser circulada. Veja o que a ISO 31000:2018 diz:

Convém que uma coordenação estreita entre as duas facilite a troca de informações factuais, oportunas, pertinentes, precisas e compreensíveis, levando em consideração a confidencialidade e integridade da informação, bem como os direitos de privacidade dos indivíduos.

 

Começou a ficar difícil, né?

O primeiro ponto é que essa troca de informações deve ser coordenada! O que significa isso?

Coordenar, segundo o dicionário, significa organizar-se de forma metódica, estruturar, ordenar, tornar harmonioso. Calma, não é nada novo. Só quero chamar a atenção que isso é um PROCESSO. Sendo assim, temos que ter os lugares certos para colocar as informações. Precisa estar claro para equipe quais os lugares adequados onde as informações devem estar, e como o acesso à essas informações deve ser feito, incluindo partes interessadas internas e externas.

E estou destacando esse ponto porque, talvez até aqui, por conta da crise e tudo mais, você tenha levado essa troca de informações do “jeito que deu”. Entretanto, para que funcione de acordo com o propósito, você precisará organizar essas informações de maneira mais estruturada. Se precisa de ajuda, o ForLogic Risks pode ser uma solução.

Outra questão que quero destacar é as características com a troca de informação. Ela deve ser:

  • Factual: baseado em um fatos e evidências, e não achismos.
  • Oportuna: no momento adequado, apropriado. Não é pra ser precoce e muito menos demorado para entregar ou receber uma informação.
  • Pertinente: não é qualquer informação, tem que ser relevante! Vem de encontro à finalidade que se destina.
  • Precisas: não podem vir cheias de ambiguidade ou preconceitos, devem ser exatas.
  • Compreensível: que dê para entender por aqueles que usarão as informações.

É comum que, a princípio, cheguem informações que não tem todos esses cuidados, mas lembre-se, esse é o trabalho: orientar, coordenar, melhorar o processo e a consciência das pessoas envolvidas dia a após dia.

O último ponto: levando em consideração a confidencialidade, integridade e privacidade dos indivíduos.

Poderia resumir isso à segurança da informação! O Davidson explica isso no post Controle de documentos: os três pilares da segurança da informação. Por mais que ele aborda sobre gestão de documentos, o conceito vale para qualquer tipo de informação.

Objetivos do item 6.2

Para finalizar o item, a norma descreve 4 objetivos que a Comunicação e Consulta tem:

— reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos; 

— assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se definirem critérios de risco e ao se avaliarem riscos; 

— fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão; 

— construir um senso de inclusão e propriedade entre os afetados pelo risco

Eu, particularmente, gosto muito desses objetivos porque eles estão muito ligados ao engajamento. E sinceramente, acho que é o mais desafiador pois trabalha com o comportamento humano.

O primeiro e o segundo, sobre a multidisciplinaridade e diversidade de opiniões, é sobre colocar no time gente que talvez você nunca tenha conversado. Desta forma, é provável que essas pessoas tenham pontos de vista completamente diferente do seu. Isso deve acionar em nós a curiosidade, o “modo aprendizado” que pergunta: “o que ele está vendo que eu não estou?”.

É tão embaraçoso isso, porque em uma reunião, geralmente nós estamos preocupados em explicar o nosso ponto de vista! Estamos ansiosos para mostrar o que estamos vendo e como isso é relevante para discussão. 

Neste momento, o caminho é inverso, mas é um exercício e tanto para tornar a conversa produtiva. Assim, também garantimos que o grupo tome uma decisão melhor do que cada pessoa individualmente, se tivesse que decidir sozinha.

“Procure primeiro entender, depois ser compreendido.” (Stephen Covey)

Obviamente, a preocupação com as informações percorrem por todo o requisito, mas o último objetivo fala sobre senso de inclusão e propriedade. Eu poderia resumir essa frase em uma palavra: engajamento.

O que devemos nos perguntar é como as pessoas podem se sentir parte desse trabalho?

Gestão de riscos não é um processo da Qualidade

Talvez, chegando aqui você pense “meu Deus, é muito trabalho como vou fazer isso?”. Pois é, você pode até abraçar o desafio de puxar esse trabalho aí na sua organização, e eu acho memorável. Entretanto, você não pode, e não vai conseguir, fazer isso sozinho. Pelo menos não de verdade, para gerar os resultados que ajudem a sua empresa.

Logo no requisito 6.1 da ISO 31000, a norma diz que o processo de gestão de riscos é parte da gestão e tomada de decisão. Desta forma, não pode ser tratado como algo separado na organização.

Gestão de riscos não é um processo da qualidade, é parte da gestão e provê informações para tomada de decisão. Na verdade, processos da qualidade nem existem, mas esse é um assunto para polemizar em outro post, rs.

Eu acredito sim que você, leitor do Blog da Qualidade, pode ser um protagonista na sua organização e trabalhar melhor os itens de Comunicação e Consulta na sua organização.

Tenho certeza que isso vai colaborar para a qualidade da cultura na sua empresa, mas não é um trabalho para o super-homem ou a mulher maravilha. É um trabalho de agricultor! Por isso, é necessário cultivar, todos os dias, melhorando a cada passo, vivendo excelência. 

Esse posicionamento contribui para que a sua empresa, não só passe por essa crise, mas também se torne mais preparada para qualquer momento adverso que possa acontecer.

Vamos juntos, vai dar certo.

Imagem do banner da nova página sobre gestão de riscos.

whatsapp

Receba as melhores notícias do dia por WhatsApp.

Clique aqui e confira nossos grupos!