Todas as organizações são influenciadas por fatores internos e externos que tornam incertos se elas poderão ou não atingir seus objetivos e em que grau ele serão atingidos.

O risco é o efeito da incerteza nos objetivos.

A desatenção de um colaborador pode interromper uma linha de produção por dias e gerar prejuízos financeiros ou ainda catastroficamente causar um acidente fatal.

Um contrato com um grande cliente pode estar prestes a ser cancelado e sua organização poderá ficar sem disponibilidade no caixa para manter o programa de investimentos.

Uma organização gerencia o risco fazendo a identificação dos riscos, analisando os riscos e em seguida avaliando se os riscos precisam ser ou não tratados, de modo que atenda aos critérios de risco.

A introdução da ISO 31000 afirma que foi estabelecida para criar um processo sistemático e lógico para gestão dos riscos.

A ISO 31000 recomenda que organizações que desejam gerenciar riscos eficazmente desenvolvam uma estrutura (item 4 da norma) que será integrada a estrutura de gestão da organização. Nós comentaremos ao longo dos itens da ISO 31000 como detalhar essa estrutura.

A gestão de riscos pode ser aplicada a toda uma organização, suas várias áreas, bem como funções, atividades e projetos.

Podem ser gerenciados os riscos de um projeto, por exemplo, a construção de um novo estádio de futebol. Também podem ser gerenciados os riscos de um determinado processo ou atividade, ou ainda de um produto ou serviço.

Diferentes empresas têm riscos e necessidades particulares. No Brasil, por exemplo, no caso da Mineração, existe uma norma regulamentadora, NR – 22, específica para empresas nesse segmento, com seus requisitos e obrigações próprias. É importante que ao gerenciar riscos em cada empresa, as leis e regulamentos aplicáveis sejam identificados.

Em todos os casos a ISO 31000 vai convidar as empresas a analisarem seu contexto externo e interno e definirem critérios de riscos em acordo com a legislação aplicável.