ISO 31000 na Prática: Como Estruturar o Processo de Gestão de Riscos em uma EFPC
A ISO 31000 não é uma norma certificável. E talvez seja por isso que é tantas vezes tratada como referência opcional, citada em política e ignorada na operação. Quem trabalha com gestão de riscos em EFPC sabe: o problema raramente está em desconhecer o framework. Está em traduzir o framework em rotina.
A norma define sete etapas conectadas. Estabelecer contexto, identificar riscos, analisar, avaliar, tratar, monitorar e comunicar. Em texto, parece linear. Na prática, é um ciclo que precisa estar simultaneamente vivo em todas as áreas da entidade.
Estabelecer contexto é o passo que mais entidades pulam. É o exercício de definir o ambiente interno e externo em que a entidade opera, os objetivos que ela persegue, os interessados afetados pelas decisões e os critérios que vão guiar o que é considerado risco aceitável. Sem essa base, todo o resto fica genérico. A entidade gera matriz de risco igual à de qualquer outra, com itens que poderiam ser de qualquer setor.
Identificar riscos vai além de listar o que pode dar errado. Exige metodologia para enxergar o que ainda não aconteceu na entidade mas é estatisticamente relevante no setor, e o que aconteceu em outras entidades e poderia se repetir. Workshop com gestores, análise de eventos passados, benchmarking setorial, revisão de processos críticos. Cada técnica capta um tipo diferente de risco. Usar uma só é o equivalente a fazer diagnóstico médico só com pressão arterial.
Analisar é onde a entidade atribui probabilidade e impacto a cada risco identificado. Aqui aparece a tensão entre análise qualitativa e quantitativa. Em EFPC, a maior parte das análises é qualitativa, baseada em escalas (baixo, médio, alto). Não é problema. O problema é quando a escala é aplicada sem critério explícito do que diferencia um nível do outro.
Avaliar é comparar o risco analisado com o apetite ao risco definido pelo Conselho. É aqui que a entidade decide o que precisa de tratamento, o que pode ser aceito como está, e o que precisa de monitoramento contínuo mesmo sem ação imediata. Sem apetite formalmente definido, essa etapa colapsa. Vira opinião.
Tratar é onde se decide a resposta: evitar, mitigar, transferir ou aceitar. Cada resposta tem custo, prazo e responsável. Sem isso, plano de tratamento vira intenção. E intenção não passa em auditoria.
Monitorar é o que mantém o ciclo vivo. Riscos mudam. Controles perdem eficácia. Indicadores precisam ser acompanhados em frequência compatível com a velocidade do risco. Risco de liquidez exige monitoramento diário. Risco estratégico exige revisão trimestral. Aplicar a mesma cadência para tudo é desperdiçar capacidade.
Comunicar é a etapa que conecta tudo. Não é relatório anual. É o fluxo permanente de informação entre as áreas operacionais, a gestão executiva, o Conselho Deliberativo e os órgãos de controle. Quando a comunicação é falha, riscos identificados na ponta não chegam à decisão. E decisões tomadas no topo não consideram a realidade do operacional.
A ISO 31000 funciona quando esses sete passos formam um ciclo, não uma sequência. E formam um ciclo quando há clareza de papéis, periodicidade definida e indicadores que dizem se cada etapa está, de fato, acontecendo.
Esta é a quinta publicação da série sobre Gestão de Riscos em EFPCs. Na próxima semana: o Modelo das Três Linhas do IIA e como ele estabelece a divisão de responsabilidades que sustenta o processo da ISO 31000.
