A necessidade de algum tipo de orientação sobre a aplicação da gestão de riscos já é reconhecida há algum tempo, dado o fato de que mais de 60 comitês técnicos e grupos de trabalho da ISO ou IEC abordam essa questão de uma forma ou de outra. O Guide 73 finalmente oferece uma base comum para a inclusão da gestão de riscos nas Normas Internacionais, muito semelhante à forma como o Guide 51 aborda a Segurança.

Embora o grupo de trabalho tenha se limitado a abordar especificamente a questão da terminologia, o guia oferece também alguns conceitos que indicam como abordar a gestão de riscos.

Além do trabalho dos comitês técnicos e grupos de trabalho da ISO/IEC, os organismos nacionais de normalização da Austrália (com a AS/NZS 4360), do Canadá (com a CAN/CSA-Q850) e do Japão (com a JIS Q 2001) também produziram normas que abordam a gestão de riscos.

Em setembro de 2002, três organizações do Reino Unido usuárias da gestão de riscos produziram uma norma para gestão de riscos, que foi incorporada no Guide 73. Esse documento foi traduzido recentemente para várias línguas européias por ter sido adotado pela Federação das Associações Européias de Gestão de Riscos (Federation of European Risk Management Associations).

A União Européia também tem procurado enfrentar a questão da gestão de riscos, mas, apesar de várias reuniões, não há nada previsto. Um dos relatórios da Comissão Européia concluiu com toda razão que, conforme a gestão de riscos for ganhando estatura e reconhecimento como uma parte integrante da governança corporativa e das boas práticas de gestão, deixando de ser mais um outro nome para a compra de seguros, será inevitável uma crescente demanda de normas e diretrizes que possibilitem às organizações demonstrar níveis definidos de profissionalismo e responsabilidade.

Uma necessidade óbvia

Com tudo o que dissemos anteriormente, pode parecer óbvia a necessidade de algum tipo de norma ou diretriz sobre gestão de riscos. Embora ainda seja preciso resolver se deve ser uma norma da ISO/IEC ou uma norma que reflita um tipo de consenso internacional, dadas as exigências de melhoria em termos de governança corporativa, gestão de riscos e controles aplicados em todo o mundo, essa é uma necessidade bastante real e imediata.

Em 1999, o comitê técnico conjunto formado pelos organismos de normalização da Austrália e da Nova Zelândia, nomeado Risk Management (Gestão de Riscos), identificou a necessidade de abordar a relação entre a gestão de riscos e a governança corporativa, visando à publicação de um guia ou manual. No decorrer do trabalho, uma tarefa que inicialmente parecia simples, o comitê foi surpreendido com uma demanda mundial de processos e procedimentos eficazes de governança corporativa, após uma série de colapsos e fraudes de empresas em 2000 e 2001. O organismo de normalização da Austrália respondeu a essa necessidade com a formação de um comitê técnico, que produziu o conjunto de normas sobre governança corporativa AS 8000:2003, publicado em julho de 2003.

Os conceitos e processos delineados nos planos para garantia da gestão de riscos e dos controles, contidos no manual australiano, são corroborados pelas práticas-padrão de gestão já utilizadas por todas as organizações. Por essa razão, não é necessário empregar recursos extras ou desenvolver outra infra-estrutura, mas apenas refinar e alinhar as práticas de gestão atuais.