Norma PT

Norma NP
ISO 31000
Portuguesa 2012
Gesto do risco
Princpios e linhas de orientao
Management du risque
Principes et lignes directrices
Risk management
Principles and guidelines
o
ida nic
oib tr
pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
ICS HOMOLOGAO
03.100.01 Termo de Homologao n. 200/2012, de 2012-07-26
Im
CORRESPONDNCIA ELABORAO
Verso portuguesa da ISO 31000:2009 CT 180 (APQ)
EDIO
agosto de 2012
CDIGO DE PREO
X008
IPQ reproduo proibida
Rua Antnio Gio, 2

2829-513 CAPARICA PORTUGAL
Tel. + 351-212 948 100 Fax + 351-212 948 101

E-mail: ipq@mail.ipq.pt Internet: www.ipq.pt
Im
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
em branco
o o e
pr lec
oib tr
ida nic
o
NP
ISO 31000
2012
p. 3 de 31
Sumrio Pgina
Introduo................................................................................................................................................... 6
1 Objetivo e campo de aplicao ................................................................................................................ 9
2 Termos e definies................................................................................................................................. 9
3 Princpios................................................................................................................................................. 14
4 Estrutura .................................................................................................................................................. 16
o
4.1 Generalidades ..................................................................................................................................... 16
ida nic
4.2 Mandato e compromisso .................................................................................................................... 17
oib tr
pr lec
4.3 Conceo da estrutura para gerir o risco ......................................................................................... 17
o o e
4.3.1 Compreenso da organizao e do seu contexto ........................................................................... 17

u ent
4.3.2 Estabelecimento da poltica da gesto do risco ............................................................................. 18

pr u m
4.3.3 Responsabilizao............................................................................................................................ 18
re doc
4.3.4 Integrao nos processos organizacionais ..................................................................................... 18

od
4.3.5 Recursos ........................................................................................................................................... 19

IP de
4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos....................................... 19

s o
Q
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos ...................................... 19

es
4.4 Implementao da gesto do risco .................................................................................................... 20

pr
4.4.1 Implementao da estrutura para gerir o risco ............................................................................ 20

Im
4.4.2 Implementao do processo da gesto do risco ............................................................................ 20

4.5 Monitorizao e reviso da estrutura ............................................................................................... 20
4.6 Melhoria contnua da estrutura ........................................................................................................ 21
5 Processo................................................................................................................................................... 21
5.1 Generalidades ..................................................................................................................................... 21
5.2 Comunicao e consulta ..................................................................................................................... 22
5.3 Estabelecimento do contexto ............................................................................................................. 22
5.3.1 Generalidades .................................................................................................................................. 22
5.3.2 Estabelecimento do contexto externo............................................................................................. 22
5.3.3 Estabelecimento do contexto interno ............................................................................................. 23
NP
ISO 31000
2012
p. 4 de 31
5.3.4 Estabelecimento do contexto do processo da gesto do risco ...................................................... 23

5.3.5 Definio dos critrios do risco ...................................................................................................... 24
5.4 Apreciao do Risco ........................................................................................................................... 25
5.4.1 Generalidades .................................................................................................................................. 25
5.4.2 Identificao do Risco ..................................................................................................................... 25
5.4.3 Anlise do Risco ............................................................................................................................... 25
5.4.4 Avaliao do Risco........................................................................................................................... 26
o
ida nic
5.5 Tratamento do Risco .......................................................................................................................... 26
oib tr
5.5.1 Generalidades ..................................................................................................................................
pr lec 26
5.5.2 Seleo de opes de tratamento do risco...................................................................................... 27
o o e
5.5.3 Preparao e implementao de planos de tratamento do risco ................................................. 27

u ent
5.6 Monitorizao e reviso ..................................................................................................................... 28

pr u m
5.7 Registo do processo de gesto do risco ............................................................................................. 28

re doc
od
Anexo A (informativo) Atributos da gesto do risco reforado................................................................ 29

IP de
Bibliografia................................................................................................................................................. 31
s o
Q
es
pr
Im
NP
ISO 31000
2012
p. 5 de 31
Prembulo nacional
A presente Norma idntica verso da ISO 31000:2009, Risk management Principles and guidelines.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos anlogos. A ISO no deve ser considerada responsvel por no ter
identificado tais direitos de propriedade intelectual nem por no ter avisado da sua existncia.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete de gesto tcnica da ISO relativo Gesto do
Risco.
Esta Norma contm cor. A impresso pode no reproduzir as cores apresentadas na verso eletrnica desta
Norma.
o
ida nic
A presente Norma foi preparada pela Comisso Tcnica de Normalizao CT 180 Gesto do risco, cuja
coordenao assegurada pelo Organismo de Normalizao Sectorial, Associao Portuguesa para a
oib tr
Qualidade (ONS/APQ). pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
Im
NP
ISO 31000
2012
p. 6 de 31
Introduo
As organizaes de todos os tipos e dimenses enfrentam fatores e influncias, internos e externos, que
tornam incerto se, e quando, atingiro os seus objetivos. O efeito que esta incerteza tem nos objetivos de uma
organizao designa-se por risco.
Todas as atividades de uma organizao envolvem risco. As organizaes gerem o risco mediante a sua
identificao e anlise, aps o que avaliam a necessidade da sua alterao, tratando-o de forma a satisfazer os
seus critrios de risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que esto a alter-lo, de forma a assegurarem que no
necessrio um tratamento de risco suplementar. Esta Norma descreve detalhadamente este processo
sistemtico e lgico.
o
ida nic
Apesar de todas as organizaes gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princpios que devero ser cumpridos de modo a tornar eficaz a gesto do risco. Esta Norma recomenda que
oib tr
as organizaes desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo
pr lec
integrar o processo para gerir o risco na governao, estratgia e planeamento, gesto, processos de reporte,
polticas, valores e cultura.
o o e
A gesto do risco pode ser aplicada a uma organizao na sua globalidade, nas suas diversas reas e nveis, a
u ent
qualquer momento, bem como a funes, projetos e atividades especficos.

pr u m
Se bem que a prtica da gesto do risco tenha vindo a ser desenvolvida ao longo do tempo e em vrios
sectores de modo a responder a necessidades diversas, a adoo de processos consistentes numa estrutura
re doc
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od
toda a organizao. A abordagem genrica descrita nesta Norma fornece os princpios e as linhas de
orientao para a gesto de qualquer tipo de risco de modo sistemtico, transparente e credvel, qualquer que
IP de
seja o mbito e o contexto.

s o
Q
Cada sector especfico ou aplicao particular da gesto do risco implicam necessidades, pblicos, percees
e critrios prprios. Por esta razo uma caracterstica essencial desta Norma a incluso do estabelecimento
es
do contexto como a atividade inicial do processo genrico de gesto do risco. O estabelecimento do

pr
contexto vai permitir apreender os objetivos da organizao, o ambiente em que procura atingi-los, as suas
Im
partes interessadas e a diversidade dos critrios de risco que na sua globalidade ajudaro a identificar e
apreciar a natureza e complexidade dos seus riscos.
As relaes entre os princpios para a gesto do risco, a estrutura onde este ocorre e o processo de gesto do
risco descritos nesta Norma esto representados na Figura 1.
A implementao e manuteno da gesto do risco de acordo com esta Norma permitem a uma organizao,
por exemplo:
aumentar a verosimilhana de atingir os seus objetivos;
encorajar a gesto proativa;
estar ciente da necessidade de identificar e tratar os riscos em toda a organizao;
a identificao das oportunidades e ameaas;
cumprir as obrigaes legais e regulamentares e normas internacionais aplicveis;
melhorar os relatos obrigatrios e voluntrios;
melhorar a governao;
NP
ISO 31000
2012
p. 7 de 31
aumentar a confiana das partes interessadas e a credibilidade da organizao;

estabelecer uma base fivel para tomada de decises e planeamento;
melhorar os controlos;
afetar e utilizar os recursos no tratamento do risco de forma eficaz;
melhorar a eficcia e a eficincia operacionais;
reforar o desempenho no domnio da segurana e sade, bem como na proteo ambiental;
melhorar a preveno de perdas e a gesto de incidentes;
o
minimizar as perdas;
ida nic
melhorar a aprendizagem organizacional, e
melhorar a resilincia organizacional.
oib tr
pr lec
Esta Norma Internacional pretende responder s necessidades de uma grande diversidade de partes
o o e
interessadas, incluindo:
u ent
a) os responsveis pela elaborao da poltica de gesto do risco dentro da sua organizao;

b) as pessoas encarregadas de assegurar que o risco gerido eficazmente na organizao como um todo, ou
pr u m
numa rea, projeto ou atividade especficos;

re doc
c) as pessoas que necessitam de avaliar a eficcia da organizao para gerir o risco;

od
d) os que elaboram normas, guias, procedimentos e regras de boas prticas, que definem, total ou
IP de
parcialmente, como dever ser gerido o risco no contexto especfico destes documentos.
s o
As prticas e processos atuais da gesto de muitas organizaes incluem componentes de gesto do risco,
Q
tendo muitas organizaes j adotado um processo formal de gesto do risco, para determinados tipos de
es
risco ou circunstncias particulares. Nestes casos, uma organizao pode decidir realizar uma reviso crtica
dos seus processos e prticas existentes luz desta Norma.
pr
Im
Nesta Norma os termos ou expresses gesto do risco e gerir o risco so ambos utilizados. Em geral a
gesto do risco refere-se arquitetura (princpios, estrutura e processo) para gerir os riscos com eficcia,
enquanto que gerir o risco se refere aplicao dessa arquitetura a riscos particulares.
NP
2012
p. 8 de 31
ISO 31000
a) Cria valor
b) Parte integrante de todos Mandato e

os processos organizacionais compromisso
(4.2)
Estabelecimento do contexto
c) Parte da tomada de Im (5.3)
deciso pr
d) Considera explicitamente Apreciao do risco (5.4)
es
a incerteza Conceo da estrutura
s o para gerir o risco
e) Sistemtica, estruturada e IP de (4.3) Identificao do risco (5.4.2)
atempada Q
f) Baseia-se na melhor
re doc
informao disponvel Melhoria
Implementao
pr u m
contnua da
da gesto do risco Anlise do risco (5.4.3)
od
estrutura
g) Feita medida (4.4)
(4.6)
u ent
h) Tem em conta fatores
o o e
humanos e culturais
Comunicao e consulta (5.2)

Monitorizao e reviso (5.6)
pr lec
i) Transparente e participada Avaliao do risco (5.4.4)
oib tr
Monitorizao
ida nic
j) Dinmica, iterativa e e reviso da o
reativa mudana estrutura (4.5)
k) Facilita a melhoria Tratamento do risco (5.5)

contnua e a melhoria da
organizao
Princpios
(seco 3) Estrutura Processo
(seco 4) (seco 5)
Figura 1 Relaes entre os princpios, a estrutura e o processo da gesto do risco

NP
ISO 31000
2012
p. 9 de 31
1 Objetivo e campo de aplicao

Esta Norma fornece princpios e linhas de orientao gerais sobre a gesto do risco.
A presente Norma pode ser utilizada por qualquer empresa pblica, privada ou comunitria, associao,
grupo ou indivduo. Por esta razo a presente Norma no especfica de qualquer indstria ou setor.
NOTA: Por convenincia, todos os utilizadores da presente Norma so referidos pelo termo genrico de organizao.
A presente Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de
atividades, incluindo estratgias e decises, operaes, processos, funes, projetos, produtos, servios e
ativos.
o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
ida nic
consequncias sejam positivas ou negativas.
oib tr
Apesar da presente Norma fornecer linhas de orientao gerais, no se destina a promover a uniformidade da
gesto do risco nas organizaes. A conceo e a implementao dos planos e estruturas de gesto do risco
pr lec
necessitaro de ter em conta as diversas necessidades de uma organizao especfica, dos seus objetivos,
o o e
contexto, estrutura, operaes, processos, funes, projetos, produtos, servios, ativos e prticas especficas
utilizadas.
u ent
Pretende-se que esta Norma seja utilizada na harmonizao de processos da gesto do risco em normas
pr u m
existentes e futuras. A presente Norma permite uma abordagem comum de apoio s normas relativas a riscos
e/ou sectores especficos, no as substituindo.
re doc
A presente Norma no se destina a fins de certificao.

od
IP de
2 Termos e definies
s o
Para os fins da presente Norma aplicam-se os seguintes termos e definies:

Q
es
2.1 risco
pr
Efeito da incerteza na consecuo dos objetivos.

Im
NOTA 1: Um efeito um desvio, positivo ou negativo, relativamente ao esperado.

NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de sade e segurana, ambientais, entre outros) e podem ser
aplicados a diferentes nveis (estratgico, em toda a organizao, de projeto, de produto e de processo).
NOTA 3: O risco frequentemente caracterizado pela referncia aos eventos (2.17) potenciais e consequncias (2.18), ou
combinao de ambos.
NOTA 4: O risco frequentemente expresso como a combinao das consequncias de um dado evento (incluindo alterao das
circunstncias) e a respetiva probabilidade (2.19) de ocorrncia.
NOTA 5: A incerteza o estado, ainda que parcial, de deficincia de informao relacionado com a compreenso ou conhecimento
de um evento, sua consequncia ou probabilidade.
[Guia ISO 73:2009, definio 1.1]
2.2 gesto do risco

Atividades coordenadas para dirigir e controlar uma organizao no que respeita ao risco (2.1).
NP
ISO 31000
2012
p. 10 de 31
2.3 estrutura da gesto do risco

Conjunto de elementos que fornecem os fundamentos e disposies organizacionais, para conceber,
implementar, monitorizar (2.28), rever e melhorar continuamente a gesto do risco (2.2), em toda a
organizao.
NOTA 1: Os fundamentos incluem a poltica, os objetivos, o mandato e o compromisso para gerir o risco (2.1).
NOTA 2: As disposies organizacionais incluem os planos, as relaes, a responsabilizao, os recursos, os processos e as
atividades.
NOTA 3: A estrutura da gesto do risco parte integrante das polticas estratgicas e operacionais globais e das prticas da
organizao.
[Guia ISO 73:2009, definio 2.1.1]
o
ida nic
2.4 poltica da gesto do risco
oib tr
Declarao das intenes gerais e da orientao de uma organizao em relao gesto do risco (2.2).
pr lec
o o e
2.5 atitude face ao risco

Abordagem da organizao para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco (2.1).
u ent
[Guia ISO 73:2009, definio 3.7.1.1]

pr u m
2.6 plano da gesto do risco

re doc
Programa includo na estrutura da gesto do risco (2.2) que especifica a abordagem, os componentes da
od
gesto e os recursos a aplicar gesto do risco (2.1).

IP de
NOTA 1: Os elementos de gesto incluem tipicamente os procedimentos, as prticas, a atribuio de responsabilidades, a sequncia
e a calendarizao das atividades.
s o
Q
NOTA 2: O plano da gesto do risco poder ser aplicado a um produto, processo ou projeto especficos, a parte ou totalidade de
uma organizao.
es

pr
Im
2.7 dono do risco

Pessoa ou entidade com a responsabilizao e com a autoridade para gerir o risco (2.1).
2.8 processo da gesto do risco

Aplicao sistemtica de polticas, procedimentos e prticas de gesto s atividades de comunicao,
consulta, estabelecimento do contexto e identificao, anlise, avaliao, tratamento, monitorizao (2.28) e
reviso do risco (2.1).
2.9 estabelecimento do contexto

Definio dos parmetros externos e internos a ter em considerao quando se gere o risco e se define o
mbito e o critrio do risco (2.22), para a poltica de gesto do risco (2.4).
NP
ISO 31000
2012
p. 11 de 31
2.10 contexto externo

Ambiente externo no qual a organizao procura atingir os seus objetivos.
NOTA: O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulamentar, financeiro, tecnolgico, econmico, natural e concorrencial, a nvel
internacional, nacional, regional ou local;
os fatores chave e tendncias com impacto nos objetivos da organizao; e
as relaes com as partes interessadas (2.13) externas, as suas percees e valores.
2.11 contexto interno
o
ida nic
Ambiente interno no qual a organizao procura atingir os seus objetivos.
oib tr
NOTA: O contexto interno pode incluir:
a governao, a estrutura organizacional, as funes e a responsabilizao;
pr lec
as polticas, os objetivos e as estratgias implementadas para os atingir;
o o e
as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
u ent
os sistemas de informao, os fluxos de informao e processos de tomada de deciso (formais e informais);

as relaes com as partes interessadas internas, as suas percees e valores;
pr u m
a cultura da organizao;
re doc
as normas, linhas de orientao e modelos adotados pela organizao;

od
a forma e extenso das relaes contratuais.

IP de

s o
2.12 comunicao e consulta

Q
Processos contnuos e iterativos que uma organizao conduz de forma a fornecer, partilhar ou obter
es
informaes, e para se envolver em dilogo com as partes interessadas (2.13), no que respeita gesto do
risco (2.1).
pr
Im
NOTA 1: A informao pode estar relacionada com a existncia, natureza, forma, verosimilhana (2.19), significncia, avaliao,
aceitabilidade, tratamento ou outros aspetos da gesto do risco.
NOTA 2: A consulta um processo de comunicao informada nos dois sentidos entre uma organizao e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma deciso ou ser definida uma orientao sobre esse assunto. A
consulta :
um processo que causa impacto na deciso mais pela influncia do que pelo poder, e;
um contributo para a tomada de deciso, no uma tomada de deciso conjunta.
2.13 partes interessadas

Pessoa ou organizao que pode afetar, ser afetada ou sentir-se afetada por uma deciso ou atividade.
NOTA: Quem exerce o poder de deciso pode ser uma parte interessada.
2.14 apreciao do risco

Processo global de identificao do risco (2.15), de anlise do risco (2.21) e de avaliao do risco (2.24).
NP
ISO 31000
2012
p. 12 de 31
2.15 identificao do risco

Processo de pesquisa, de reconhecimento e de descrio dos riscos (2.1).
NOTA 1: A identificao do risco envolve a identificao das fontes do risco (2.16), dos eventos (2.17), respetivas causas e
potenciais consequncias (2.18).
NOTA 2: A identificao do risco pode recorrer a dados histricos, a anlises tericas, a opinies informadas e de especialistas e
ter em considerao as necessidades das partes interessadas (2.13).
2.16 fonte do risco

O elemento que, por si s ou em combinao com outros, tem o potencial intrnseco de originar um risco
o
(2.1).
ida nic
NOTA: Uma fonte do risco pode ser tangvel ou intangvel.
oib tr
[Guia ISO 73:2009, definio 3.5.1.2] pr lec
2.17 evento
o o e
Ocorrncia ou alterao de um conjunto particular de circunstncias.

u ent
NOTA 1: Um evento pode consistir numa ou mais ocorrncias, e pode ter vrias causas.
NOTE 2: Um evento pode consistir em algo que no ocorra.
pr u m
NOTE 3: Um evento pode algumas vezes ser referido como um incidente ou acidente.
re doc
NOTE 4: Um evento sem consequncias (2.18) pode tambm ser referido como quase acidente, incidente ou quase sucesso.
od

IP de
2.18 consequncia
s o
Resultado de um evento (2.17) que afeta objetivos.

Q
es
NOTA 1: Um evento pode levar a um conjunto de consequncias.

NOTA 2: Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
pr
Im
NOTA 3: As consequncias pode ser expressas qualitativa ou quantitativamente.

NOTA 4: As consequncias iniciais pode intensificar-se atravs de reaes em cadeia.
2.19 verosimilhana
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gesto do risco, a palavra verosimilhana utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemticos [como uma probabilidade (2.19) ou uma frequncia num determinado perodo de
tempo].
NOTA 2: O termo ingls likelihood (verosimilhana) no tem uma equivalncia direta em algumas lnguas; em vez disso,
frequentemente utilizado como termo equivalente probability (probabilidade). No entanto, em ingls, o termo probability est
muitas vezes limitado sua interpretao matemtica. Por consequncia, na terminologia da gesto do risco, o termo likelihood
utilizado com a finalidade de que dever ter a mesma interpretao lata que o termo probability tem, em muitas outras lnguas
que no o ingls.

NP
ISO 31000
2012
p. 13 de 31
2.20 perfil do risco

Descrio de um qualquer conjunto de riscos (2.1).
NOTA: O conjunto de riscos pode incluir os riscos que digam respeito a toda a organizao, a parte da organizao ou ao que
estiver definido.
2.21 anlise do risco

Processo destinado a compreender a natureza do risco (2.1) e a determinar o nvel do risco (2.23).
NOTA 1: A anlise do risco fornece a base para a avaliao do risco (2.24) e as decises sobre o tratamento do risco (2.25).
o
NOTA 2: A anlise do risco inclui a estimao do risco.
ida nic
oib tr
2.22 critrios do risco pr lec
Termos de referncia em relao aos quais a significncia de um risco (2.1) avaliada.
o o e
NOTA 1: Os critrios do risco so baseados nos objetivos da organizao e nos contextos externo (2.10) e interno (2.11).
NOTA 2: Os critrios do risco podem resultar de normas, leis, polticas e de outros requisitos.
u ent

pr u m
2.23 nvel do risco

re doc
Magnitude de um risco (2.1) ou combinao de riscos, expressa em termos da combinao de consequncias

od
(2.18) e respetivas verosimilhanas (2.19).

IP de

s o
2.24 avaliao do risco

Q
Processo de comparao dos resultados da anlise do risco (2.21) com os critrios do risco (2.22) para
es
determinar se o risco (2.1) e/ou a respetiva magnitude aceitvel ou tolervel.

pr
NOTA: A avaliao do risco apoia a deciso sobre o tratamento do risco (2.25).

Im
2.25 tratamento do risco

Processo para modificar o risco (2.1).
NOTA 1: O tratamento do risco pode envolver o seguinte:
evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;
assumir ou aumentar o risco de forma a perseguir uma oportunidade;
remover a fonte do risco (2.16);
alterar a verosimilhana (2.19);
alterar as consequncias (2.18);
partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
reter o risco com base em deciso informada.
NOTA 2: Os tratamentos do risco que lidam com consequncias negativas, so por vezes referidos como mitigao do risco,
eliminao do risco, preveno do risco e reduo do risco.
NP
ISO 31000
2012
p. 14 de 31
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, poltica, dispositivo, prtica ou outra ao que modifique o risco.
NOTA 2: O controlo poder nem sempre produzir o efeito modificador pretendido ou assumido.
2.27 risco residual
o
ida nic
Risco (2.1) que subsiste aps o tratamento do risco (2.25).
oib tr
NOTA 1: Um risco residual pode incluir um risco no identificado.
NOTA 2: Um risco residual pode tambm ser designado como risco retido.
pr lec
o o e
2.28 monitorizao
u ent
Verificao, superviso, observao crtica ou a determinao do estado, de modo a identificar

continuadamente alteraes do nvel de desempenho requerido ou esperado.
pr u m
NOTA: A monitorizao pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo de gesto do risco (2.8), ao
re doc
risco (2.1) ou ao controlo (2.26) do risco.

od

IP de
2.29 reviso
s o
Atividade levada a cabo para determinar a adaptao, adequao e a eficcia, da matria visada para atingir
Q
os objetivos estabelecidos.
es
NOTA: A reviso pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo de gesto do risco (2.8), ao risco ou ao
pr
controlo (2.26) de um risco.

Im
3 Princpios
Para que a gesto do risco seja eficaz, uma organizao dever, a todos os nveis, atuar em conformidade
com os princpios abaixo referidos.
a) A gesto do risco cria e protege o valor.
A gesto do risco contribui para a consecuo demonstrvel de objetivos e melhoria do desempenho, como por
exemplo, na sade e segurana, security*), na conformidade legal e regulamentar, na aceitao pblica, na proteo
ambiental, na qualidade dos produtos, na gesto dos projetos, na eficincia das operaes, na governao e reputao.
*)
security no original em ingls, pode entender-se fundamentalmente como proteo e preservao das pessoas, bens e
informao quer tangvel quer intangvel (nota nacional).
NP
ISO 31000
2012
p. 15 de 31
b) A gesto do risco parte integrante de todos os processos organizacionais.

A gesto do risco no uma atividade isolada, separada das atividades principais e dos processos de uma
organizao. A gesto do risco faz parte das responsabilidades da gesto e uma parte integrante de todos
os processos organizacionais, incluindo o planeamento estratgico e todos os processos de gesto de
projetos e de gesto da mudana.
c) A gesto do risco parte da tomada de deciso.
A gesto do risco apoia os decisores na escolha informada, na priorizao das aes e na diferenciao
entre linhas de ao alternativas.
d) A gesto do risco considera explicitamente a incerteza.
o
ida nic
A gesto do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.
oib tr
e) A gesto do risco sistemtica, estruturada e atempada.
pr lec
A abordagem sistemtica, atempada e estruturada da gesto do risco contribui para a eficincia e para
o o e
resultados consistentes, comparveis e fiveis.

u ent
f) A gesto do risco baseia-se na melhor informao disponvel.

As entradas do processo para gerir o risco baseiam-se em fontes de informao tais como dados
pr u m
histricos, experincia, retorno da informao das partes interessadas, observaes, previses e pareceres
re doc
de especialistas. No entanto, os decisores devero informar-se e ter em conta quaisquer limitaes dos
od
dados ou modelos utilizados ou a possibilidade de existncia de divergncias entre especialistas.

IP de
g) A gesto do risco feita medida.

A gesto do risco alinhada com os contextos externo e interno e com o perfil do risco da organizao.
s o
Q
h) A gesto do risco tem em conta fatores humanos e culturais.

es
A gesto do risco reconhece as competncias, percees e intenes de pessoas externas e internas

pr
organizao que possam facilitar ou impedir a consecuo dos objetivos da organizao.

Im
i) A gesto do risco transparente e participada.

O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os
nveis da organizao, assegura que a gesto do risco permanece pertinente e atualizada. O envolvimento
permite tambm, que as partes interessadas sejam devidamente representadas e que os seus pontos de
vista sejam tidos em conta na determinao dos critrios do risco.
j) A gesto do risco dinmica, iterativa e reativa mudana.
A gesto do risco deteta e responde, continuamente, mudana. medida que ocorrem eventos externos
e internos, que o contexto e o conhecimento se alteram e que tm lugar a monitorizao e a reviso,
emergem novos riscos, alguns alteram-se e outros desaparecem.
k) A gesto do risco facilita a melhoria contnua da organizao.
As organizaes devero elaborar e implementar estratgias visando melhorar a maturidade da sua gesto
do risco, assim como em todos os outros aspetos da organizao.
O Anexo A disponibiliza aconselhamento suplementar para as organizaes que desejem gerir o risco de
forma mais eficaz.
NP
ISO 31000
2012
p. 16 de 31
4 Estrutura
4.1 Generalidades
O sucesso da gesto do risco depender da eficcia da estrutura de gesto em fornecer os fundamentos e as
disposies que permitem a sua integrao em todos os nveis da organizao. A estrutura apoia uma gesto
eficaz dos riscos no decurso da aplicao do processo de gesto do risco (ver seco 5), em diferentes nveis
e em contextos especficos da organizao. A estrutura garante que a informao sobre o risco que decorre
do processo de gesto do risco corretamente reportada e serve de base tomada de deciso e
responsabilizao a todos os nveis da organizao envolvidos.
o
Esta seco descreve as componentes necessrias da estrutura, para gerir o risco e a forma como se
ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.
oib tr
Mandato e compromisso (4.2)
pr lec
o o e
u ent
Conceo da estrutura para gerir o risco (4.3)

pr u m
Compreenso da organizao e do seu contexto (4.3.1)

re doc
Estabelecimento da poltica de gesto do risco (4.3.2)

od
Responsabilizao (4.3.3)
IP de
Integrao nos processos organizacionais (4.3.4)

s o
Recursos (4.3.5)
Q
Estabelecimento de mecanismos de comunicao e de relato

es
internos (4.3.6)
pr
Im
Estabelecimento de mecanismos de comunicao e de relato

externos (4.3.7)
Melhoria contnua da
Implementao da gesto do risco (4.4)
estrutura (4.6)
Implementao da estrutura para gerir o
risco (4.4.1)
Implementao do processo da gesto
do risco (4.4.2)
Monitorizao e reviso da estrutura (4.5)
Figura 2 Relaes entre as componentes da estrutura para gerir o risco

NP
ISO 31000
2012
p. 17 de 31
Esta estrutura no se destina a prescrever um sistema de gesto, mas sim a apoiar a organizao, a integrar a
gesto do risco na globalidade do seu sistema de gesto. As organizaes devero, portanto, adaptar as
componentes da estrutura s suas necessidades especficas.
Se as prticas e processos de gesto existentes numa organizao incluem componentes da gesto do risco,
ou se a organizao j adotou um processo formal de gesto do risco para tipos de situaes ou de riscos
especficos, ento estes devero ser revistos de forma crtica e apreciados face presente Norma , incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequao e eficcia.
4.2 Mandato e compromisso

A introduo da gesto do risco e assegurar a sua contnua eficcia requerem um compromisso forte e
o
sustentado por parte da gesto de topo da organizao, bem como um planeamento estratgico e rigoroso
ida nic
para conduzir a um compromisso a todos os nveis. A gesto de topo dever:
oib tr
definir e aprovar a poltica de gesto do risco;
pr lec
assegurar que a cultura da organizao e a sua poltica de gesto do risco esto alinhadas;
o o e
determinar indicadores de desempenho da gesto do risco coerentes com os indicadores de desempenho da

organizao;
u ent
alinhar os objetivos da gesto do risco com os objetivos e estratgias da organizao;

pr u m
assegurar a conformidade legal e regulamentar;

re doc
od
atribuir responsabilizaes e responsabilidades aos nveis apropriados da organizao;

IP de
assegurar que os recursos necessrios so alocados gesto do risco;

comunicar as vantagens da gesto do risco a todas as partes interessadas;
s o
Q
assegurar que a estrutura para gerir o risco se mantm apropriada.

es
pr
4.3 Conceo da estrutura para gerir o risco

Im
4.3.1 Compreenso da organizao e do seu contexto

Antes de iniciar a conceo e implementao da estrutura para gerir o risco, importante avaliar e
compreender o contexto interno e externo da organizao, dado que podem influenciar significativamente a
conceo da estrutura.
A avaliao do contexto externo de uma organizao poder incluir, nomeadamente:
a) envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural e
competitiva, quer ao nvel internacional, nacional, regional ou local;
b) fatores chave e tendncias que tenham impacto sobre os objetivos da organizao; e
c) relaes com as partes interessadas externas, suas percees e seus valores.
A avaliao do contexto interno de uma organizao poder incluir, nomeadamente:
governao, estrutura organizacional, funes e responsabilizaes;
polticas, objetivos e as estratgias implementadas para os alcanar;
NP
ISO 31000
2012
p. 18 de 31
capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, suas percees e seus valores;
cultura da organizao;
normas, linhas de orientao e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.
o
4.3.2 Estabelecimento da poltica da gesto do risco
ida nic
A poltica da gesto do risco dever estabelecer de forma clara os objetivos e o compromisso da organizao,
oib tr
em matria de gesto do risco e tipicamente aborda o seguinte:
pr lec
a fundamentao da organizao para gerir o risco;
o o e
ligaes entre os objetivos e as polticas da organizao e a poltica da gesto do risco;

u ent
responsabilizaes e responsabilidades para gerir o risco;

a forma como se lida com os conflitos de interesses;
pr u m
compromisso em disponibilizar os recursos necessrios para apoiar as pessoas responsabilizveis e

re doc
responsveis por gerir o risco;

od
a forma como o desempenho da gesto do risco ser medido e relatado; e

IP de
o compromisso para rever e melhorar a poltica e a estrutura da gesto do risco, periodicamente e em

s o
resposta a um evento ou alterao de circunstncias.

Q
A poltica de gesto do risco dever ser comunicada de forma apropriada.

es
pr
4.3.3 Responsabilizao
Im
A organizao dever assegurar que existe responsabilizao, autoridade e competncia apropriada para gerir
o risco, incluindo implementar e manter o processo de gesto do risco e assegurar a adequao, a eficcia e a
eficincia de quaisquer controlos. Isto, poder ser facilitado:
identificando os donos do risco que tm a responsabilizao e a autoridade para gerir riscos;
identificando quem responsabilizvel pela definio, implementao e manuteno da estrutura para
gerir o risco;
identificando outras responsabilidades de pessoas a todos os nveis da organizao no processo da gesto
do risco;
estabelecendo a medio do desempenho e processos de reporte interno e/ou externo e de transmisso a
um nvel superior;
assegurando nveis de reconhecimento apropriados.
4.3.4 Integrao nos processos organizacionais

A gesto do risco dever ser integrada em todos os processos e prticas da organizao, de modo a ser
pertinente, eficaz e eficiente. O processo de gesto do risco dever tornar-se parte e no ser separado desses
NP
ISO 31000
2012
p. 19 de 31
processos organizacionais. Em particular, a gesto do risco dever ser integrada no desenvolvimento da

poltica, no planeamento estratgico e do negcio e na sua reviso, e nos processos de gesto da mudana.
Dever existir um plano de gesto do risco para toda a organizao de modo a assegurar que a poltica da
gesto do risco implementada e que a gesto do risco integrada em todos os processos e prticas da
organizao. O plano de gesto do risco poder ser integrado noutros planos organizacionais, como por
exemplo o plano estratgico.
4.3.5 Recursos
A organizao dever afetar os recursos necessrios gesto do risco.
o
Dever ser tido em conta:
ida nic
pessoas, aptides, experincia e competncias;
oib tr
recursos necessrios a cada etapa do processo de gesto do risco;
pr lec
processos, mtodos e ferramentas da organizao a serem utilizados para gerir o risco;
o o e
processos e procedimentos documentados;

u ent
sistemas de gesto da informao e do conhecimento;

pr u m
programas de formao.
re doc
4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos

od
A organizao dever estabelecer e implementar mecanismos de comunicao e de relato internos para

IP de
apoiar e encorajar a responsabilizao e a apropriao do risco. Estes mecanismos devero assegurar:

s o
a comunicao apropriada dos componentes chave da estrutura da gesto do risco e de qualquer

Q
modificao subsequente;
es
a existncia de relatos internos adequados, relativos estrutura da gesto do risco, sua eficcia e aos
pr
seus resultados;
Im
a disponibilidade de informao pertinente, resultante da aplicao da gesto do risco, nos nveis e no

tempo apropriados;
a existncia de processos de consulta das partes interessadas internas.
Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaes
relativas ao risco, provenientes de diversas fontes, e poder ter necessidade de considerar a sensibilidade da
informao.
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos

A organizao dever elaborar e implementar um plano, quanto ao modo como comunicar com as partes
interessadas externas. Tal dever ter em considerao:
o envolvimento das partes interessadas externas apropriadas e a garantia de uma troca eficaz de
informao;
os relatos externos para cumprimento dos requisitos legais, regulamentares e da governao;
providenciar o retorno e o relato da comunicao e consulta;
NP
ISO 31000
2012
p. 20 de 31
utilizar a comunicao para criar confiana na organizao;

comunicar com as partes interessadas na ocorrncia de uma crise ou contingncia.
Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaes
relativas ao risco, provenientes de diversas fontes, que podero ter necessidade de considerar a sensibilidade
da informao.
4.4 Implementao da gesto do risco
4.4.1 Implementao da estrutura para gerir o risco
o
Para a implementao da estrutura para gerir o risco, a organizao dever:
ida nic
definir um calendrio apropriado e uma estratgia adequada para a implementao da estrutura;
oib tr
aplicar a poltica e o processo da gesto do risco aos processos organizacionais;
pr lec
cumprir os requisitos legais e regulamentares;
o o e
assegurar que a tomada de deciso, incluindo o desenvolvimento e estabelecimento dos objetivos, est
u ent
alinhada com os resultados dos processos da gesto do risco;

pr u m
realizar sesses de informao e de formao;

comunicar e consultar com as partes interessadas,, de modo a assegurar que a sua estrutura de gesto do
re doc
od
risco se mantm apropriada.

IP de
4.4.2 Implementao do processo da gesto do risco

s o
A gesto do risco dever ser implementada, assegurando que o processo da gesto do risco descrito na
Q
Seco 5, aplicado atravs de um plano de gesto do risco, a todos os nveis e funes da organizao
es
envolvidos, como parte das suas prticas e processos.

pr
4.5 Monitorizao e reviso da estrutura

Im
De modo a assegurar que a gesto do risco eficaz e continua a apoiar o desempenho organizacional, a
organizao dever:
medir o desempenho da gesto do risco face a indicadores revistos periodicamente, quanto sua
adequao;
medir periodicamente o progresso e os desvios em relao ao plano de gesto do risco;
rever periodicamente se a estrutura, a poltica e o plano de gesto do risco continuam apropriados face ao
contexto interno e externo da organizao;
elaborar relatrios sobre o risco, o progresso do plano de gesto do risco e como a poltica de gesto do
risco seguida;
rever a eficcia da estrutura da gesto do risco.
NP
ISO 31000
2012
p. 21 de 31
4.6 Melhoria contnua da estrutura

As decises sobre o modo como a estrutura, a poltica e o plano da gesto do risco devero ser melhorados,
podem ser tomadas com base nos resultados da monitorizao e das revises. Estas decises devero
conduzir a melhorias da gesto do risco e da cultura da gesto do risco da organizao.
5 Processo
5.1 Generalidades
O processo de gesto do risco dever ser:
o
ida nic
uma parte integrante da gesto;
oib tr
integrado na cultura e prticas organizacionais;
pr lec
feito medida dos processos de negcio da organizao.
o o e
O processo de gesto do risco ilustrado na Figura 3 e compreende as atividades descritas nas seces 5.2 a
u ent
5.6.
pr u m
re doc
Estabelecimento do contexto (5.3)

od
IP de
Apreciao do risco (5.4)

s o
Q
Identificao do risco (5.4.2)

es
pr
Comunicao e Monitorizao e
Im
consulta (5.2) reviso (5.6)

Anlise do risco (5.4.3)
Avaliao do risco (5.4.4)
Tratamento do risco (5.5)
Figura 3 Processo de gesto do risco

NP
ISO 31000
2012
p. 22 de 31
5.2 Comunicao e consulta

A comunicao com e a consulta s partes interessadas, internas e externas, devero ocorrer durante todas as
fases do processo da gesto do risco.
Desta forma, os planos para comunicao e consulta devero ser desenvolvidos numa fase inicial do
processo. Estes planos devero abordar as questes relacionadas com o prprio risco, as suas causas, as suas
consequncias (se conhecidas) e as medidas que esto a ser tomadas para o tratar. Uma eficaz comunicao e
consulta, interna e externa, dever ter lugar de forma a assegurar que os responsveis pela implementao do
processo da gesto do risco e as partes interessadas compreendem os fundamentos das decises tomadas, e as
razes pelas quais so necessrias aes especficas.
o
Uma abordagem da consulta em equipa poder:
ida nic
ajudar a estabelecer o contexto de forma apropriada;
oib tr
assegurar que os interesses das partes interessadas so compreendidos e considerados;
pr lec
ajudar a garantir que os riscos so identificados de forma adequada;
o o e
reunir diferentes reas de especializao para analisar riscos;

u ent
assegurar que diferentes pontos de vista so considerados de forma apropriada na definio dos critrios
de risco e na avaliao dos riscos;
pr u m
garantir a adeso e o apoio a um plano de tratamento do risco;

re doc
od
potenciar a gesto apropriada da mudana durante o processo de gesto do risco;

IP de
desenvolver um plano adequado de comunicao e consulta interna e externa.

A comunicao e consulta com as partes interessadas so importantes, uma vez que estas produzem juzos
s o
Q
sobre risco baseados nas suas percees do risco. Estas percees do risco podem variar devido a diferenas
nos valores, necessidades, pressupostos, conceitos e preocupaes das partes interessadas. Dado que os seus
es
pontos de vista podem ter um impacto significativo nas decises tomadas, as percees das partes
pr
interessadas devero ser identificadas, registadas e tidas em considerao no processo de tomada de deciso.
Im
A comunicao e a consulta devero facilitar trocas de informao verdadeira, pertinente, precisa e

compreensvel, respeitando os aspetos de confidencialidade e de integridade pessoal.
5.3 Estabelecimento do contexto
5.3.1 Generalidades
Atravs do estabelecimento do contexto, a organizao enuncia os seus objetivos, define os parmetros
internos e externos a ter em considerao quando se gere o risco bem, como o mbito e os critrios do risco
para as restantes partes do processo. Se bem que muitos destes parmetros sejam similares aos considerados
na conceo da estrutura da gesto do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo da
gesto do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o mbito do processo especfico da gesto do risco.
5.3.2 Estabelecimento do contexto externo

O contexto externo o ambiente externo no qual a organizao procura atingir os seus objetivos.
NP
ISO 31000
2012
p. 23 de 31
A compreenso do contexto externo importante para assegurar que os objetivos e preocupaes das partes
interessadas externas, so tidos em considerao aquando do desenvolvimento dos critrios do risco. O
contexto externo baseado no contexto global da organizao, mas com detalhes especficos dos exigncias
legais e requisitos regulamentares, das percees das partes interessadas e de outros aspetos especficos de
risco inerentes ao mbito do processo da gesto do risco.
O contexto externo pode incluir, mas no se limita:
s envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural
e competitiva, seja ao nvel internacional, nacional, regional ou local;
aos fatores chave e tendncias com impacto nos objetivos da organizao; e
o
ida nic
s relaes com as partes interessadas externas, suas percees e valores.
oib tr
5.3.3 Estabelecimento do contexto interno
pr lec
O contexto interno o ambiente interno no qual a organizao procura atingir os seus objetivos.
o o e
O processo de gesto do risco dever estar alinhado com a cultura, os processos, a estrutura e a estratgia da
organizao. O contexto interno tudo aquilo que no seio da organizao pode influenciar a forma como a
u ent
organizao ir gerir o risco. O contexto interno dever ser estabelecido, porque:

pr u m
a) a gesto do risco ocorre no contexto dos objetivos da organizao;

b) os objetivos e os critrios de um projeto, processo ou atividade especficos devero ser considerados
re doc
luz dos objetivos da organizao como um todo;

od
c) algumas organizaes falham no reconhecimento de oportunidades para atingir os seus objetivos

IP de
estratgicos, de um projeto ou negcio e tal afeta a continuidade do compromisso, da credibilidade, da

s o
confiana e do valor da organizao.

Q
necessrio compreender o contexto interno, o que, sem limitar, pode incluir:

es
a governao, estrutura organizacional, funes e responsabilizaes;

pr
as polticas, objetivos e as estratgias implementadas para os atingir;

Im
as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
as relaes com as partes interessadas internas, suas percees e valores;
a cultura da organizao;
os sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
as normas, linhas de orientao e modelos adotados pela organizao;
a forma e extenso das relaes contratuais.
5.3.4 Estabelecimento do contexto do processo da gesto do risco
Devero ser estabelecidos os objetivos, as estratgias, o mbito e os parmetros das atividades da

organizao, ou das partes da organizao, onde o processo da gesto do risco est a ser aplicado. A gesto
do risco dever ser desenvolvida com absoluta necessidade de justificar os recursos utilizados na sua
NP
ISO 31000
2012
p. 24 de 31
implementao. Devero ser tambm especificados os recursos requeridos, as responsabilidades e

autoridades e os registos a manter.
O contexto do processo da gesto do risco ir variar de acordo com as necessidades da organizao. Pode,
nomeadamente, incluir:
a definio das metas e objetivos das atividades da gesto do risco;
a definio das responsabilidades relativas ao processo da gesto do risco;
a definio do mbito, bem como, a profundidade e a amplitude das atividades da gesto do risco a serem
desenvolvidas, compreendendo incluses e excluses especficas;
o
a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e local;
ida nic
a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos
oib tr
ou atividades da organizao;
pr lec
a definio das metodologias da gesto do risco;
o o e
a definio da forma como o desempenho e eficcia so avaliados na gesto do risco;

u ent
a identificao e a especificao das decises que tm que ser tomadas; e

a identificao, mbito ou enquadramento dos estudos necessrios, a sua extenso e objetivos, bem como
pr u m
os recursos necessrios para tais estudos.

re doc
A considerao destes e de outros fatores pertinentes, dever assegurar que a abordagem da gesto do risco
od
adotada seja apropriada s circunstncias, organizao e aos riscos que esto a afetar a consecuo dos seus
IP de
objetivos.
s o
5.3.5 Definio dos critrios do risco

Q
es
A organizao dever definir os critrios a serem utilizados para avaliar a significncia do risco. Os critrios
devero refletir os valores, objetivos e recursos da organizao. Alguns critrios podem ser impostos por, ou
pr
derivar de, exigncias legais e requisitos regulamentares e outros requisitos subscritos pela organizao. Os
Im
critrios do risco devero ser consistentes com a poltica da gesto do risco da organizao (ver 4.3.2), ser
definidos no incio de qualquer processo da gesto do risco e continuamente revistos.
Na definio dos critrios do risco, os fatores a considerar devero incluir o seguinte:
a natureza e tipos de causas e consequncias que podem ocorrer e como so medidas;
o modo como ser definida a verosimilhana;
o intervalo de tempo associado verosimilhana e/ou (s) consequncia(s);
o modo como determinado o nvel do risco;
os pontos de vista das partes interessadas;
o nvel a partir do qual o risco se torna aceitvel ou tolervel;
a considerao ou no de combinaes de mltiplos riscos e, em caso afirmativo, como e quais as
combinaes que devero ser consideradas.
NP
ISO 31000
2012
p. 25 de 31
5.4 Apreciao do Risco
5.4.1 Generalidades
A apreciao do risco o processo global de identificao do risco, anlise do risco e avaliao do risco.
NOTA: A ISO/IEC 31010 fornece orientao sobre tcnicas de apreciao do risco.
5.4.2 Identificao do Risco

A organizao dever identificar fontes do risco, reas de impacto, eventos (incluindo alteraes das
circunstncias), respetivas causas e potenciais consequncias. O objetivo desta etapa gerar uma lista
abrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou
o
ida nic
retardar a consecuo dos objetivos. importante identificar os riscos associados ao facto de no se
perseguir uma oportunidade. A identificao abrangente crtica, pois um risco que no identificado nesta
oib tr
fase no ser includo em anlise posterior.
pr lec
A identificao dever incluir os riscos cuja fonte esteja ou no sob controlo da organizao, ainda que a
fonte ou causa do risco podero no ser evidentes. A identificao do risco dever incluir o exame das
o o e
reaes em cadeia, incluindo os efeitos em cascata e cumulativos, de consequncias particulares. Dever

ainda considerar um domnio alargado de consequncias, ainda que a fonte ou a causa do risco podero no
u ent
ser evidentes. Assim como se identifica o que possa acontecer, tambm necessrio considerar possveis
pr u m
causas e cenrios que mostrem quais as consequncias que podem ocorrer. Todas as causas e consequncias
significativas devero ser consideradas.
re doc
od
A organizao dever utilizar tcnicas e ferramentas de identificao de riscos que sejam adequadas aos seus
objetivos e s suas capacidades, assim como aos riscos que enfrenta. Na identificao dos riscos importante
IP de
dispor de informao pertinente e atualizada. Sempre que possvel dever ser considerada informao de
base apropriada. Na identificao dos riscos devero ser envolvidas as pessoas com o conhecimento
s o
Q
adequado.
es
5.4.3 Anlise do Risco

pr
A anlise do risco implica desenvolver uma compreenso do risco. A anlise do risco fornece uma entrada
Im
para a avaliao do risco e para as decises quanto necessidade dos riscos serem tratados, e sobre as
estratgias e mtodos mais apropriados para o tratamento do risco. A anlise do risco pode tambm fornecer
uma entrada para a tomada de decises, onde as escolhas tenham que ser feitas e as opes envolvam
diferentes tipos e nveis de risco.
A anlise do risco implica considerar as causas e fontes de risco, as suas consequncias positivas e negativas
e a verosimilhana dessas consequncias ocorrerem. Devero ser identificados os fatores que afetam as
consequncias e a verosimilhana. O risco analisado, determinando as consequncias e as suas
verosimilhanas e outros atributos do risco. Um evento pode ter mltiplas consequncias e pode afetar
mltiplos objetivos. Os controlos existentes e a sua eficcia e eficincia, tambm devero ser tidos em
considerao.
O modo como as consequncias e a verosimilhana so expressas e o modo como so combinadas para
determinar um nvel de risco, devero refletir o tipo de risco, a informao disponvel e o propsito para o
qual a sada da apreciao do risco para ser utilizada. Tudo isto dever ser consistente com os critrios do
risco. Tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
A confiana na determinao do nvel do risco e a sua sensibilidade a condies prvias e pressupostos
devero ser consideradas na anlise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergncia de opinio entre especialistas, incerteza, disponibilidade,
NP
ISO 31000
2012
p. 26 de 31
qualidade, quantidade e da continuada pertinncia da informao ou limitaes na modelao, devero ser

declarados e podem ser realados.
A anlise do risco pode ser efetuada com graus de detalhe variveis, dependendo do risco, da finalidade da
anlise e da informao, dos dados e recursos disponveis. A anlise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinao destas, dependendo das circunstncias.
As consequncias e a sua verosimilhana podem ser determinadas pela modelao dos resultados de um
evento ou conjunto de eventos, por extrapolao a partir de estudos experimentais ou a partir de dados
disponveis. As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Nalguns
casos requerido mais do que um valor numrico ou descritor para especificar as consequncias e a sua
verosimilhana para diferentes tempos, locais, grupos ou situaes.
o
ida nic
5.4.4 Avaliao do Risco
oib tr
A finalidade da avaliao do risco apoiar a tomada de decises, tendo por base os resultados da anlise do
pr lec
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementao do tratamento.
A avaliao do risco envolve a comparao do nvel de risco identificado no decorrer do processo de anlise
o o e
com os critrios do risco, aquando da considerao do contexto. Com base nesta comparao a necessidade
u ent
de tratamento pode ser considerada.

As decises devero ter em conta o contexto alargado do risco e incluir consideraes sobre a tolerncia dos
pr u m
riscos suportados pelas partes, que no a organizao que beneficia do risco. As decises devero ser
re doc
tomadas de acordo com as exigncias legais, regulamentares e outros requisitos.

od
Em determinadas circunstncias a avaliao do risco pode levar a uma deciso de efetuar anlises adicionais.
IP de
A avaliao do risco pode tambm levar deciso de no efetuar o tratamento do risco, para alm de manter
os controlos existentes. Esta deciso ser influenciada pela atitude da organizao face ao risco e pelos
s o
critrios do risco que foram estabelecidos.

Q
es
5.5 Tratamento do Risco

pr
5.5.1 Generalidades
Im
O tratamento do risco implica a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes.
Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cclico que inclui:
apreciar um tratamento do risco;
decidir se os nveis do risco residual so tolerveis;
se no forem tolerveis, gerar um novo tratamento do risco;
apreciar a eficcia desse tratamento.
As opes de tratamento do risco no tm que ser mutuamente exclusivas ou apropriadas em todas as
circunstncias. As opes podem incluir o seguinte:
a) evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
NP
ISO 31000
2012
p. 27 de 31
c) remover a fonte do risco;

d) alterar a verosimilhana;
e) alterar as consequncias;
f) partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
g) reter o risco com base em deciso informada.
5.5.2 Seleo de opes de tratamento do risco

A seleo da opo de tratamento do risco mais apropriada implica comparar os custos e os esforos da sua
implementao com os benefcios resultantes, tendo em conta os requisitos legais, regulamentares e outros
o
ida nic
tais como a responsabilidade social e a proteo do ambiente natural. As decises devero tambm ter em
conta os riscos cujo tratamento no facilmente justificvel por motivos econmicos, por exemplo, riscos
oib tr
graves (elevada consequncia negativa) mas raros (baixa verosimilhana).
pr lec
Diversas opes de tratamento podero ser consideradas e aplicadas individualmente ou de forma
combinada. A organizao normalmente poder beneficiar da adoo de uma combinao de opes de
o o e
tratamento.
u ent
Ao selecionar as opes de tratamento do risco, a organizao dever considerar os valores e percees das
partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as opes
pr u m
de tratamento do risco possam ter impacto no risco de outras reas da organizao ou das partes interessadas,
re doc
todas devero ser envolvidas na deciso. Embora igualmente eficazes, alguns tratamentos do risco podero
od
ser mais aceitveis para algumas partes interessadas do que para outras.
IP de
O plano de tratamento dever claramente identificar a ordem de prioridade de implementao dos

tratamentos individuais do risco.
s o
Q
O tratamento do risco pode por si s introduzir riscos. A falha ou a ineficcia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorizao dever ser uma parte integrante do plano de
es
tratamento do risco, de forma a garantir que as medidas permaneam eficazes.

pr
O tratamento do risco pode tambm introduzir riscos secundrios que precisam de ser apreciados, tratados,
Im
monitorizados e revistos. Estes riscos secundrios devero ser incorporados no mesmo plano de tratamento
do risco original e no tratados como novos riscos. A ligao entre os dois riscos dever ser identificada e
mantida.
5.5.3 Preparao e implementao de planos de tratamento do risco

O objetivo dos planos de tratamento do risco documentar a forma como as opes de tratamento escolhidas
sero implementadas. A informao fornecida nos planos de tratamento dever incluir:
as razes para a seleo das opes de tratamento, incluindo os benefcios que se espera obter;
os que so responsabilizados pela aprovao do plano e os responsveis pela implementao do plano;
as aes propostas;
os requisitos de recursos incluindo contingncias;
as medidas do desempenho e constrangimentos;
os requisitos de relato e monitorizao;
a calendarizao e o cronograma.
NP
ISO 31000
2012
p. 28 de 31
Os planos de tratamento devero ser integrados com os processos de gesto da organizao e discutidos com
as partes interessadas apropriadas.
Os decisores e outras partes interessadas devero estar cientes da natureza e dimenso do risco residual aps
o tratamento do risco. O risco residual dever ser documentado e sujeito a monitorizao, reviso e, onde
apropriado, tratamento posterior.
5.6 Monitorizao e reviso

A monitorizao e a reviso devero ser uma parte planeada do processo de gesto do risco e envolver
verificao ou vigilncia regular. Pode ser peridica ou ad hoc.
o
As responsabilidades pela monitorizao e reviso devero estar claramente definidas.
ida nic
Os processos de monitorizao e reviso da organizao devero abranger todos os aspetos do processo de
oib tr
gesto do risco com o objetivo de: pr lec
assegurar que os controlos so eficazes e eficientes, quer na conceo, quer na operao;
o o e
obter informao adicional para melhorar a apreciao do risco;

u ent
analisar e aprender com os eventos (incluindo os quase-acidentes), mudanas, tendncias, sucessos e

falhas;
pr u m
detetar alteraes no contexto externo e interno, incluindo alteraes aos critrios do risco e ao prprio
re doc
risco, que podem requerer a reviso dos tratamentos do risco e das prioridades;
od
identificar os riscos emergentes.

IP de
O progresso na implementao dos planos de tratamento do risco fornece uma medida do desempenho. Os
s o
resultados podem ser incorporados na gesto global do desempenho da organizao, na sua medio e nas
Q
atividades de reporte externo e interno.

es
Os resultados da monitorizao e reviso devero ser registados e reportados externa e internamente

pr
conforme apropriado, e devero ser usados tambm, como uma entrada para a reviso da estrutura da gesto
do risco (ver 4.5).
Im
5.7 Registo do processo de gesto do risco
As atividades de gesto do risco devero ser rastreveis. No processo de gesto do risco, os registos
fornecem a base para melhoria dos mtodos e das ferramentas, bem como do processo na sua globalidade.
As decises relativas criao de registos devero ter em conta:
as necessidades de aprendizagem contnua da organizao;
os benefcios da reutilizao da informao para efeitos de gesto;
os custos e os esforos envolvidos na criao e manuteno dos registos;
as necessidades legais, regulamentares e operacionais de registos;
o mtodo de acesso, a facilidade de consulta e os meios de armazenamento;
o perodo de reteno;
a sensibilidade da informao.
NP
ISO 31000
2012
p. 29 de 31
Anexo A
(informativo)
Atributos da gesto do risco reforado
A.1 Generalidades
Todas as organizaes devero procurar atingir um nvel apropriado do desempenho da sua estrutura de
o
gesto do risco em linha com a criticidade das decises que tero de ser tomadas. A lista dos atributos abaixo
ida nic
apresentada, representa um alto nvel de desempenho ao gerir o risco. Para apoiar as organizaes na
medio do seu prprio desempenho relativamente a estes critrios, so fornecidos alguns indicadores
oib tr
tangveis para cada atributo. pr lec
o o e
A.2 Resultados chave

u ent
A.2.1 A organizao tem uma compreenso atual, correta e abrangente dos seus riscos.
pr u m
A.2.2 Os riscos da organizao esto dentro dos seus critrios do risco.

re doc
od
A.3 Atributos
IP de
A.3.1 Melhoria contnua

s o
Q
A nfase colocada na melhoria contnua da gesto do risco atravs do estabelecimento de objetivos do

desempenho organizacional, da medio, da reviso e da subsequente modificao dos processos, sistemas,
es
recursos, capacidades e competncias.

pr
Isto pode ser indicado pela existncia de objetivos de desempenho explcitos, relativamente aos quais so
Im
medidos os desempenhos da organizao e do gestor. O desempenho da organizao pode ser publicado e

comunicado. Habitualmente, existir pelo menos uma reviso anual do desempenho e a subsequente reviso
dos processos e o estabelecimento de objetivos do desempenho, revistos para o perodo seguinte.
A avaliao de desempenho da gesto do risco uma parte integrante da avaliao do desempenho global da
organizao e do sistema de avaliao para departamentos e indivduos.
A.3.2 Responsabilizao total pelos riscos

A gesto do risco reforada inclui uma responsabilizao abrangente, completamente definida e
integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivduos designados
aceitam integralmente a responsabilizao, possuem competncias apropriadas e dispem dos recursos
adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente
acerca dos riscos e respetiva gesto s partes interessadas externas e internas.
Tal pode ser indicado pelo facto de todos os membros de uma organizao estarem totalmente cientes dos
riscos, controlos e tarefas pelos quais so responsveis. Usualmente, tal estar registado nas descries de
funo/cargo, bases de dados ou sistemas de informao. A definio das funes na gesto do risco,
NP
ISO 31000
2012
p. 30 de 31
responsabilizao e responsabilidades devero fazer parte de todos os programas de acolhimento e integrao

de uma organizao.
A organizao assegura que aqueles que so responsabilizados esto aptos para cumprir a sua funo
atribuindo-lhes autoridade, tempo, formao e treino, recursos e competncias suficientes para assumirem a
sua responsabilizao.
A.3.3 Aplicao da gesto do risco em todas as tomadas de deciso

Todas as tomadas de deciso no seio da organizao, qualquer que seja o respetivo nvel de importncia e
significncia, envolvem consideraes explcitas do risco e a aplicao da gesto do risco a um nvel
adequado.
o
ida nic
Tal pode ser indicado pelos registos das reunies e decises, evidenciando que tiveram lugar discusses
explcitas sobre o risco. Adicionalmente, dever ser possvel ver que todas as componentes da gesto do
oib tr
risco esto representadas nos processos chave de tomada de deciso na organizao, por exemplo, em
pr lec
decises para atribuio de capital, para projetos importantes e para a reestruturao ou mudanas da
organizao. Por estas razes, uma gesto do risco consistente vista dentro da organizao como a base
o o e
para a governao eficaz.

u ent
A.3.4 Comunicaes continuadas

pr u m
A gesto do risco reforada inclui comunicaes continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gesto do risco, como parte da boa
re doc
governao.
od
Isto pode ser indicado pela comunicao com as partes interessadas como uma componente integrante e
IP de
essencial da gesto do risco. A comunicao corretamente vista como um processo de dois sentidos, de tal
modo que decises adequadamente informadas, possam ser tomadas quanto ao nvel do risco e necessidade
s o
Q
de tratamento do risco face a critrios do risco adequadamente estabelecidos e abrangentes.

es
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
da gesto do risco, contribui substancialmente para uma governao eficaz no seio da organizao.
pr
Im
A.3.5 Integrao total na estrutura de governao da organizao

A gesto do risco vista como central nos processos de gesto da organizao, de tal forma que os riscos so
considerados em termos do efeito da incerteza na consecuo dos objetivos. A estrutura e o processo de
governao so baseados na gesto do risco. A gesto do risco eficaz considerada pelos gestores, como
sendo essencial para a consecuo dos objetivos da organizao.
Isto , indicado atravs da linguagem dos gestores e dos documentos relevantes da organizao usando o
termo incerteza associado aos riscos. Este atributo tambm normalmente refletido nas declaraes de
poltica da organizao, particularmente nas relacionadas com a gesto do risco. Normalmente, este atributo
ser verificado atravs de entrevistas com os gestores e atravs da evidncia das suas aes e declaraes.
NP
ISO 31000
2012
p. 31 de 31
Bibliografia
[1] Guia ISO 73:2009 Risk management Vocabulary

[2] ISO/IEC 31010 Risk management Risk assessment techniques
o
ida nic
oib tr
pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
Im

Norma PT

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Norma PT

Transféré par

Droits d'auteur :

Formats disponibles

Norma NP

Rua Antnio Gio, 2

Tel. + 351-212 948 100 Fax + 351-212 948 101

4.3.1 Compreenso da organizao e do seu contexto ........................................................................... 17

4.3.2 Estabelecimento da poltica da gesto do risco ............................................................................. 18

4.3.4 Integrao nos processos organizacionais ..................................................................................... 18

4.3.5 Recursos ........................................................................................................................................... 19

4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos....................................... 19

4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos ...................................... 19

4.4 Implementao da gesto do risco .................................................................................................... 20

4.4.1 Implementao da estrutura para gerir o risco ............................................................................ 20

4.4.2 Implementao do processo da gesto do risco ............................................................................ 20

5.3.4 Estabelecimento do contexto do processo da gesto do risco ...................................................... 23

5.5.3 Preparao e implementao de planos de tratamento do risco ................................................. 27

5.6 Monitorizao e reviso ..................................................................................................................... 28

5.7 Registo do processo de gesto do risco ............................................................................................. 28

Anexo A (informativo) Atributos da gesto do risco reforado................................................................ 29

qualquer momento, bem como a funes, projetos e atividades especficos.

seja o mbito e o contexto.

do contexto como a atividade inicial do processo genrico de gesto do risco. O estabelecimento do

aumentar a confiana das partes interessadas e a credibilidade da organizao;

a) os responsveis pela elaborao da poltica de gesto do risco dentro da sua organizao;

numa rea, projeto ou atividade especficos;

c) as pessoas que necessitam de avaliar a eficcia da organizao para gerir o risco;

b) Parte integrante de todos Mandato e

Comunicao e consulta (5.2)

k) Facilita a melhoria Tratamento do risco (5.5)

Figura 1 Relaes entre os princpios, a estrutura e o processo da gesto do risco

1 Objetivo e campo de aplicao

A presente Norma no se destina a fins de certificao.

Para os fins da presente Norma aplicam-se os seguintes termos e definies:

Efeito da incerteza na consecuo dos objetivos.

NOTA 1: Um efeito um desvio, positivo ou negativo, relativamente ao esperado.

[Guia ISO 73:2009, definio 1.1]

2.2 gesto do risco

2.3 estrutura da gesto do risco

[Guia ISO 73:2009, definio 2.1.1]

2.5 atitude face ao risco

[Guia ISO 73:2009, definio 3.7.1.1]

2.6 plano da gesto do risco

gesto e os recursos a aplicar gesto do risco (2.1).

[Guia ISO 73:2009, definio 2.1.3]

2.7 dono do risco

2.8 processo da gesto do risco

2.9 estabelecimento do contexto

2.10 contexto externo

[Guia ISO 73:2009, definio 3.3.1.1]

2.11 contexto interno

os sistemas de informao, os fluxos de informao e processos de tomada de deciso (formais e informais);

as normas, linhas de orientao e modelos adotados pela organizao;

a forma e extenso das relaes contratuais.

[Guia ISO 73:2009, definio 3.3.1.2]

2.12 comunicao e consulta

[Guia ISO 73:2009, definio 3.2.1]

2.13 partes interessadas

[Guia ISO 73:2009, definio 3.2.1.1]

2.14 apreciao do risco

2.15 identificao do risco

[Guia ISO 73:2009, definio 3.5.1]

2.16 fonte do risco

Ocorrncia ou alterao de um conjunto particular de circunstncias.

[Guia ISO 73:2009, definio 3.5.1.3]

Resultado de um evento (2.17) que afeta objetivos.

NOTA 1: Um evento pode levar a um conjunto de consequncias.