Uma das maiores dificuldades em se desenvolver qualquer norma ou diretriz é obter representação de uma ampla gama de organizações interessadas e pertinentes, visto que as normas são produzidas por consenso. Isso é importante principalmente quando tentamos produzir uma norma de gestão - sem falar na gestão de riscos ligada à governança corporativa.

Com exceção do comitê técnico conjunto da Austrália/Nova Zelândia, deveríamos perguntar: onde se encontram os usuários da gestão de riscos em relação ao debate contínuo sobre normas para governança corporativa, gestão de riscos e controles internos? Lastimavelmente ausentes, seria a resposta. Em muitos casos, isso se deve à falta de vontade das associações de se envolverem no desenvolvimento de normas, pois temem que o documento resultante seja deficiente e elas sejam vistas como suas patrocinadoras. Isso ocorre geralmente devido à ignorância quanto à forma como as normas são desenvolvidas e aprovadas ou à crença de que as normas seriam o único receptáculo de conhecimento sobre gestão de riscos.

A perspectiva da Austrália sempre foi que os usuários da gestão de riscos devem estar ativamente envolvidos com todas as outras partes interessadas, a fim de assegurar que o produto final faça a gestão de riscos melhorar e progredir em toda a organização. Lamentavelmente, não é isso que tem acontecido no mundo; os profissionais da área de segurança têm tomado essa iniciativa de forma tendenciosa, comprometendo o conceito de gestão de riscos defendido na norma AS/NZS 4360. O sucesso e a ampla aceitação da AS/NZS 4360 por parte das organizações de todo o mundo, além da sua ampla adoção na Austrália, é um testamento à sabedoria dessa abordagem genérica e holística. Em várias ocasiões, procurou-se uma reação pró-ativa semelhante da Federation of European Risk Management Associations com relação ao Guide 73 (sobre Terminologia da Gestão de Riscos), bem como o apoio simultâneo de seus membros aos organismos nacionais de normalização, como um alerta aos profissionais da área de segurança para que não adotem em suas normas uma filosofia de aversão aos riscos em vez de incentivarem a gestão de riscos. Até o momento, ninguém seguiu com seriedade o exemplo da Austrália.

Ausência Evidente

Conseqüentemente, é evidente a ausência dos usuários da gestão de riscos como representantes de organismos nacionais de normalização no grupo de trabalho da ISO, responsável pela terminologia de gestão de riscos, sendo a maioria dos membros profissionais da área de segurança.

Um dos manifestos sucessos em termos de normas de gestão de riscos, a AS/NZS 4360, está passando atualmente pelos estágios finais de um processo de análise crítica, após cinco anos da publicação de sua 1º edição, tendo já sido submetida a uma pesquisa de opinião pública e uma posterior discussão no comitê técnico.

A pesquisa de opinião revelou que o conteúdo e a direção geral da norma são considerados muito úteis para auxiliar no desenvolvimento de uma boa cultura de gestão de riscos em organizações de qualquer porte.

O Comitê Técnico Conjunto da Austrália/Nova Zelândia estabeleceu um grupo de trabalho para preparar um projeto preliminar que incorpore as sugestões para serem analisadas por todo o comitê. Um dos resultados das deliberações desse grupo de trabalho foi a decisão de remover as notas informativas da norma e incorporar algumas das informações no próprio corpo da norma. O material restante, juntamente com outras informações, está sendo incorporado em um manual intitulado Risk Management Guidelines - A Companion to AS/NZS 4360:2004, que será publicado simultaneamente com a AS/NZS 4360 revisada, nos próximos meses.

Tornando a norma um simples guia genérico, sem apêndices, espera-se que um certo grau de harmonização, ou até mesmo consenso, seja alcançado com relação a normas de gestão de riscos existentes em outras partes do globo. O uso de um manual em conjunto com a norma permite que uma ampla variedade de opções sejam examinadas, podendo ser personalizadas especificamente para as necessidades da legislação e práticas locais.

Coerência entre definições

Um outro desafio foi produzir coerência entre as definições usadas na AS/NZS 4360 e as definições contidas no ISO/IEC Guide 73, Risk Management - Vocabulary. Um considerável grau de alinhamento entre as definições já foi conseguido. Contudo, ainda existem algumas definições sobre as quais não se chegou a um consenso, sendo a definição de "gestão de riscos" o caso mais notável. Nesse aspecto, o comitê da Austrália/Nova Zelândia decidiu permanecer com a definição existente usada na AS/NZS 4360, que reconhece o fato de que a gestão de riscos envolve um componente cultural, bem como um processo e uma estrutura, caso seus benefícios sejam totalmente percebidos.

Como parte do amplo processo de consulta para garantir que a norma final reflita a melhor prática atual, essa fase de opinião pública busca receber informações de indivíduos e organizações de toda a Austrália, bem como do exterior. Essa também é uma oportunidade de reunir informações para a participação australiana na iminente análise crítica do ISO/IEC Guide 73, Risk Management - Vocabulary. Devido à ampla aceitação da atual norma AS/NZS 4360:1999 em muitos países externos à região da Austrália/Nova Zelândia, várias organizações internacionais, interessadas em gestão de riscos, estão sendo convidadas a submeter suas opiniões. Infelizmente, muitas das organizações contatadas têm preferido não incentivar seus membros a participarem, devido à desaprovação da liderança com relação às normas em geral e, em alguns casos, à AS/NZS 4360 particularmente. Também têm sido realizadas discussões com os comitês técnicos da Associação Canadense de Normalização e da Associação Japonesa de Normalização, tendo como objetivo conseguir uma maior harmonização entre as normas de gestão de riscos e a AS/NZS 4360. A Associação Cingapuriana de Normalização também foi convidada para a análise crítica do projeto, como parte de seu programa de desenvolvimento de uma norma para a gestão de riscos.

Unicamente com a participação ativa e bem-intencionada de todas as organizações interessadas na gestão de riscos, como parte integrante de uma boa governança corporativa, é que poderemos ver o desenvolvimento de uma norma internacional para gestão de riscos que seja pertinente e útil. Até que isso aconteça, a única alternativa é a análise crítica e a atualização periódicas do ISO/IEC Guide 73, para, no mínimo, promover e desenvolver uma linguagem comum para aqueles que vêm buscando abordar a gestão de riscos em normas, diretrizes e legislações em todo o mundo.