Vous êtes sur la page 1sur 21

Implementação da ISO 31000:2018

GESTÃO DE RISCOS

Diretrizes para a Implementação da ISO 31000:2018

PRÉ-VISUALIZAÇÃO DO MANUAL

Coordenação e revisão técnica:

Francesco De Cicco Especialista em Gestão de Riscos e Segurança de Sistemas. Instrutor-Líder Certificado CT31000 - Certified ISO 31000 Lead Trainer. Diretor Executivo do QSP Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina.

Todos os direitos reservados. É expressamente proibida a reprodução total ou parcial desta publicação, sem a prévia autorização do editor. Copyright 2018 by Risk Tecnologia Editora. Fone: (11) 3704-3200.

Risk Tecnologia

Abril de 2018

Implementação da ISO 31000:2018

ÍNDICE

Introdução

05

1 Escopo e generalidades

06

1.1 Bases para a gestão de riscos

06

1.2 Benefícios da gestão de riscos

07

1.3 Aplicações da gestão de riscos

09

1.4 Governança corporativa

10

2 Panorama do processo de gestão de riscos

12

3 Comunicação e consulta

14

3.1 Generalidades

14

3.2 O que é comunicação e consulta?

14

3.3 Por que a comunicação e a consulta são importantes

15

3.4 Desenvolvimento do processo de comunicação e consulta

19

4 Escopo, contexto e critérios

21

4.1 Escopo e contexto

21

4.2 Objetivos e ambiente

21

4.3 Identificação e análise das partes interessadas

23

4.4 Critérios

24

4.5 Critérios de consequência

24

4.6 Elementos-chave

25

4.7 Documentação dessa etapa

27

5 Identificação de riscos

28

5.1 Propósito

28

5.2 Componentes de um risco

28

5.3 Processo de identificação

29

5.4 Informações para a identificação de riscos

30

5.5 Abordagens para a identificação de riscos

31

5.6 Documentação dessa etapa

31

6 Análise de riscos

32

6.1 Panorama

32

6.2 Tabelas de consequências e probabilidades

39

6.3 Nível de risco

42

Implementação da ISO 31000:2018

6.4 Incerteza

44

6.5 Análise de oportunidades

45

6.6 Métodos de análise

47

6.7 Perguntas-chave ao analisar um risco

47

6.8 Documentação da análise

48

7 Avaliação de riscos

49

7.1 Panorama

49

7.2 Tipos de critérios de avaliação

49

7.3 Avaliação a partir de análise qualitativa

50

7.4 Risco tolerável

50

7.5 Julgamento implícito nos critérios

52

7.6 Critérios de avaliação e eventos anteriores

52

8 Tratamento de riscos

54

8.1 Introdução

54

8.2 Identificação de opções

55

8.3 Avaliação de opções de tratamento

61

8.4 Seleção de opções de tratamento

64

8.5 Preparação de planos de tratamento

69

8.6 Risco residual

70

9 Monitoramento e análise crítica

71

9.1 Finalidade

71

9.2 Mudança do contexto e dos riscos

71

9.3 Garantia e monitoramento da gestão de riscos

72

9.4 Medição do desempenho da gestão de riscos

75

9.5 Análise pós-evento

76

10 Registro e relato do processo de gestão de riscos

78

10.1 Panorama

78

10.2 Declaração de conformidade e diligência

79

10.3 Cadastro de riscos

79

10.4 Plano de ação e programação do tratamento de riscos

80

10.5 Documentos de monitoramento e auditoria

80

10.6 Base de dados de incidentes e acidentes

80

10.7 Manual de gestão de riscos

81

Implementação da ISO 31000:2018

11

Estabelecimento de uma gestão de riscos eficaz

86

11.1 Política

86

11.2 Liderança e comprometimento da Alta Direção

87

11.3 Responsabilidade e responsabilização

87

11.4 Recursos e infraestrutura

87

11.5 Mudança de cultura

88

11.6 Monitoramento e análise crítica da eficácia da gestão de riscos

89

11.7 Desafio dos líderes – Integração

89

11.8 Desafio dos gerentes – Liderança

90

11.9 Desafio de todos – Melhoria contínua

90

11.10 Mensagens e perguntas-chave para os gerentes

91

Implementação da ISO 31000:2018

INTRODUÇÃO

A gestão de riscos é um processo de negócios muito importante nos setores

público e privado no mundo todo. A implementação correta e eficaz da gestão de riscos faz parte das melhores práticas de negócios, tanto no âmbito corporativo

quanto no estratégico, e é também uma maneira de buscar a melhoria das atividades operacionais.

Neste Manual e na norma ISO 31000:2018, risco é descrito como o efeito da incerteza nos objetivos. Em inglês, o uso da palavra ‘risk’ normalmente tem uma conotação negativa e entende-se risco como algo a ser minimizado ou evitado. Na definição mais genérica da ISO 31000, considera-se que as atividades envolvendo riscos podem ter tanto resultados positivos quanto negativos. Os processos descritos neste Manual da Coleção Risk Tecnologia podem ser usados para identificar e explorar oportunidades de melhorar os resultados organizacionais e de reduzir as consequências negativas.

A gestão de riscos, da maneira aqui descrita, é um processo holístico de gestão

que se aplica a todos os tipos de organização, em todos os níveis, e também a indivíduos. Os leitores devem estar cientes de que este uso do termo difere de sua forma mais restrita usada em outros setores. Por exemplo, em algumas áreas, os termos ‘gestão de riscos’ e ‘controle de riscos’ são utilizados para

descrever as formas de se lidar com os riscos identificados, para as quais empregamos aqui o termo ‘tratamento de riscos’.

Alguns outros termos adotados neste Manual também podem ter usos distintos. Por exemplo, os termos ‘análise de riscos’, ‘processo de avaliação de riscos’ e ‘avaliação de riscos’ são utilizados de maneira variada em textos sobre gestão de riscos. Eles geralmente têm definições que se sobrepõem ou que às vezes são intercambiáveis, podendo incluir a etapa de identificação de riscos. Optamos por utilizar a terminologia que serve de base para as normas internacionais (especialmente o ABNT ISO Guia 73).

Em algumas áreas, há divisões de responsabilidade entre aqueles que realizam

o processo analítico de identificação e análise de riscos e aqueles que tomam

decisões sobre a avaliação de riscos e a seleção das ações para tratar os riscos

identificados. Isso pode ser útil, uma vez que é importante que a análise de riscos seja vista como independente e seja preferencialmente realizada por especialistas técnicos, sendo os aspectos relativos a decisões quanto à avaliação de riscos e à seleção das opções de tratamento de riscos de responsabilidade dos responsáveis seniores pela tomada de decisões. Este Manual não aborda tais divisões de responsabilidade, mas elas são compatíveis com os processos nele descritos.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia

5

Implementação da ISO 31000:2018

2 PANORAMA DO PROCESSO DE GESTÃO DE

RISCOS

Este capítulo está relacionado à seção 6 (Processo) da norma ISO 31000:2018.

O processo de gestão de riscos compreende as atividades descritas nas subseções 6.1 a 6.7 da nova edição da ISO 31000 e é apresentado na figura 2.1 a seguir.

da ISO 31000 e é apresentado na figura 2.1 a seguir. Figura 2.1 - Processo de

Figura 2.1 - Processo de gestão de riscos

As diretrizes detalhadas sobre a aplicação de cada etapa do processo de gestão de riscos são apresentadas na figura 2.2 e nos capítulos a seguir.

Implementação da ISO 31000:2018

3 COMUNICAÇÃO E CONSULTA

Este capítulo está relacionado à subseção 6.2 (Comunicação e consulta) da norma ISO 31000:2018.

3.1 Generalidades

A gestão de riscos não é somente uma tarefa técnica, mas também um conjunto

de ações e decisões que acontecem em um contexto social. A comunicação e a consulta são partes integrantes do processo de gestão de riscos e deveriam sempre ser consideradas de maneira explícita. A gestão de riscos será aprimorada por meio do entendimento das perspectivas de cada uma das partes interessadas e, quando possível, por meio de sua participação ativa na tomada de decisão.

A comunicação e a consulta apropriadas buscam:

melhorar o entendimento que as pessoas têm dos riscos e do processo de gestão de riscos;

garantir que as diversas visões das partes interessadas sejam levadas em consideração; e

garantir que todos os participantes estejam cientes de seus papéis e responsabilidades.

3.2 O que é comunicação e consulta?

O conceito de 'comunicação de riscos' geralmente é definido como um processo

interativo de troca de informações e opiniões, envolvendo múltiplas mensagens sobre a natureza dos riscos e a gestão de riscos * . Isso se aplica internamente

nas organizações, departamentos ou unidades de negócio, ou externamente para as partes interessadas. A comunicação de riscos não solucionará todos os problemas nem todos os conflitos. A comunicação inadequada dos riscos pode levar à perda de confiança e/ou à má gestão de riscos.

A consulta pode ser descrita como um processo de comunicação informativa entre a organização e as partes interessadas, antes de ser tomada uma decisão ou de se definir um posicionamento em relação a uma questão específica. A consulta tem as seguintes características:

* Adaptado do National Research Council. Improving risk communication (Melhoria da comunicação de riscos). National Academy Press. Washington D.C.

Implementação da ISO 31000:2018

É

um processo e não um resultado.

Impacta uma decisão por meio da influência, em vez da força do poder.

Refere-se a contribuições para a tomada de decisão, e não necessariamente

a uma tomada de decisão em conjunto.

A comunicação e a consulta podem ser realizadas em diferentes níveis, de acordo com o que a situação exigir. Em sua forma mais simplificada:

(a) a comunicação de via única significa fornecer informações, tais como relatos anuais, boletins, atas de reuniões, etc; e

(b) a comunicação de duas vias significa compartilhar perspectivas, opiniões, posicionamentos, etc. entre as partes interessadas (stakeholders), e entre uma organização e as partes com ela envolvidas.

3.3 Por que a comunicação e a consulta são importantes

3.3.1 Generalidades

A comunicação e a consulta são intrínsecas ao processo de gestão de riscos e deveriam ser contempladas em cada etapa. Um aspecto importante do 'estabelecimento do contexto' é a identificação das partes interessadas bem como a identificação e a apreciação de suas necessidades. Pode ser desenvolvido um plano de comunicação, que especifique a finalidade ou o objetivo da comunicação, quem deveria ser consultado e por quem, quando ocorrerá e como será avaliada.

Em uma organização, a boa comunicação é essencial para o desenvolvimento de uma 'cultura' em que as dimensões positivas e negativas dos riscos são reconhecidas e avaliadas. A comunicação dos riscos ajuda a organização a estabelecer sua atitude em relação a eles.

Envolver outras pessoas, ou pelo menos olhar para as coisas de outro ponto de vista, é um ingrediente essencial e crucial em uma abordagem eficaz de gestão de riscos. O engajamento das partes interessadas torna a gestão de riscos explícita e mais fundamentada, agregando valor à organização. É particularmente importante quando as partes interessadas podem:

ter um impacto na eficácia dos tratamentos de riscos propostos;

ser afetadas por riscos de acidentes;

agregar valor na análise e avaliação dos riscos;

estar sujeitas a custos adicionais; ou

ficar restritas devido aos controles de riscos futuros.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Implementação da ISO 31000:2018

4 ESCOPO, CONTEXTO E CRITÉRIOS

Este capítulo está relacionado à subseção 6.3 (Escopo, contexto e critérios) da norma ISO 31000:2018.

4.1 Escopo e contexto

O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo e a compreensão do contexto externo e interno. Essa etapa é necessária para:

esclarecer os objetivos organizacionais;

identificar o ambiente no qual se buscam os objetivos;

especificar o escopo principal e os objetivos para a gestão de riscos, as condições limitativas e os resultados necessários;

identificar um conjunto de critérios com base nos quais os riscos serão mensurados; e

definir um conjunto de elementos principais para a estruturação do processo de avaliação de riscos.

Essa etapa visa a dar uma visão abrangente de todos os fatores que podem influenciar a capacidade da organização de alcançar os resultados esperados. O resultado dessa etapa será o relato conciso dos objetivos organizacionais e critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão de riscos, e um conjunto de elementos-chave para a estruturação da atividade de identificação de riscos. É especialmente importante que o escopo seja definido claramente, para que o restante do processo permaneça dentro dos limites desejados.

4.2 Objetivos e ambiente

Risco é o efeito da incerteza nos objetivos. Sendo assim, para garantir que todos os riscos significativos sejam identificados, é necessário conhecer os objetivos da função ou atividade da organização que está sendo examinada. Os objetivos são a essência da definição do contexto. Os critérios para o êxito organizacional são a base para medir a consecução dos objetivos e, por isso, são utilizados para identificar e mensurar os impactos e as consequências dos riscos que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis).

Implementação da ISO 31000:2018

O primeiro passo no estabelecimento do contexto é identificar os objetivos organizacionais e os ambientes externo e interno nos quais se buscam os objetivos. O segundo passo é estabelecer o escopo da atividade de gestão de riscos e as principais questões e interesses da organização, bem como a relação com a estratégia e os objetivos dos negócios da organização.

Pode-se consultar nessa etapa os documentos mais importantes, tais como o plano estratégico, planos de negócios e orçamentos, relatos anuais, análises econômicas e qualquer outra documentação pertinente referente à organização e suas finalidades. Documentos externos, tais como a legislação pertinente, também podem ser consultados. Documentos de análise estratégica, tais como análises SWOT, podem ser úteis, pois ajudam a manter o foco nos aspectos pertinentes dos ambientes externo e interno, conforme ilustra a figura 4.1, adaptada do trabalho de Rowe, Mason, Dickel e Snyder.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018. ENTRE POR AQUI PARA ADQUIRI-LO Risk Tecnologia

Risk Tecnologia

22

Implementação da ISO 31000:2018

TABELA 4.3

Elementos para a estruturação do processo de avaliação de riscos

Finalidade, objetivos, questões pertinentes

Base para a seleção dos elementos

Planejamento do negócio e direcionamento estratégico

Atividades do negócio

Restrições orçamentárias; financiamento externo

Itens orçamentários, itens de custo

Questões operacionais; adequação ao uso; valor do dinheiro

Funções do produto ou serviço fornecido

Questões técnicas e ambientais; confiabilidade; alocação de esforços técnicos e gerenciais

Componentes físicos

Aspectos ambientais; efeito do meio ambiente nos resultados (por exemplo, acesso, clima)

Localização física e atividades

Prazos e programação; aspectos de relações industriais; riscos de implementação

Atividades do negócio ou do projeto

Riscos gerais do projeto, identificados no início da etapa de planejamento; decisão de parar/continuar; estruturação comercial; estratégia geral de abordagem de compras

Fases do projeto

Questões ambientais e da comunidade; processos de aprovação; aspectos de financiamento

Partes interessadas

4.7 Documentação dessa etapa

Para uma análise mais abrangente, essa etapa deveria ser documentada para demonstrar que a gama completa de fatores ambientais e contextuais foi considerada.

Para uma atividade de nível inferior, um registro sucinto da análise pode ser suficiente.

Convém que a documentação dessa etapa identifique os seguintes itens:

(a)

escopo das atividades de gestão de riscos que serão realizadas e seus resultados esperados;

(b)

objetivos organizacionais e medidas do sucesso;

(c)

fatores importantes no ambiente interno e externo;

(d)

partes interessadas pertinentes;

(e)

principais critérios de avaliação de riscos;

(f)

documentos consultados ao se estabelecer o contexto; e

(g)

elementos-chave por meio dos quais o restante do processo será estruturado.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia

27

6 ANÁLISE DE RISCOS

Implementação da ISO 31000:2018

Este capítulo está relacionado à subseção 6.4.3 (Análise de riscos) da norma ISO 31000:2018.

6.1

Panorama

6.1.1

Generalidades

A

análise de riscos visa a promover o entendimento da natureza do risco e suas

características, incluindo o nível de risco. Além do nível absoluto de risco, a

análise ajudará a definir as prioridades e opções de tratamento (ver capítulo 8).

O

nível de risco é determinado por meio da combinação das consequências e da

probabilidade. As escalas e métodos adequados para tal combinação deveriam ser compatíveis com os critérios definidos quando o contexto for estabelecido. Para uma análise mais técnica, a natureza dos dados e a saída esperada

determinam os métodos de análise requeridos.

O

processo de análise normalmente começa com uma abordagem qualitativa

simples, que proporciona uma compreensão genérica. Quando for necessário um maior detalhamento ou uma melhor compreensão, também poderá ser necessária uma investigação mais direcionada e aprofundada. Não se pode pressupor que uma análise quantitativa seja superior a uma análise qualitativa. É melhor garantir que seja utilizada a abordagem mais adequada para a situação

em estudo.

A

análise pode ser realizada em diversos momentos, tais como no início de um

novo projeto, como parte da gestão contínua, ou como um estudo do que pode ocorrer após os riscos terem sido tratados. Normalmente, a análise verifica e

compara o nível atual de riscos com os controles existentes.

6.1.2

Base da análise

A

escolha do método de análise será influenciada pelo contexto, pelos objetivos

e

pelos recursos disponíveis. Por exemplo, no âmbito estratégico, podem ser

identificadas e analisadas categorias amplas de riscos, para fornecer um perfil dos riscos organizacionais que mostre quais são as questões importantes para

as quais precisam ser estabelecidos sistemas de gestão e tratamentos de riscos.

No âmbito de um projeto ou equipe, os gerentes precisam identificar e priorizar

os riscos específicos que afetam os objetivos que estão incumbidos de alcançar.

Risk Tecnologia

32

Implementação da ISO 31000:2018

Alguns riscos podem requerer um exame mais detalhado. As razões para uma análise detalhada, que pode ser quantitativa ou qualitativa, são:

(a)

obter mais informações sobre consequências ou probabilidades, para que a decisão sobre prioridades seja tomada com base em informações e dados e não em suposições;

(b)

melhorar o entendimento que se tem dos riscos e de suas causas, para que os planos de tratamento possam ser direcionados para as causas reais – e não superficiais - do problema;

(c)

fazer uma análise mais aprofundada, quando os critérios para a tomada de decisão a exigirem (geralmente isso ocorre quando os critérios para a tomada de decisão são expressos quantitativamente);

(d)

auxiliar as pessoas a escolherem uma entre várias opções, quando cada uma delas tiver custos e benefícios diferentes, derivadas de oportunidades e ameaças potenciais;

(e)

fazer com que as pessoas que devem operar com riscos compreendam melhor esses riscos; ou

(f)

fazer com que os riscos residuais sejam compreendidos, após terem sido aplicadas as estratégias de tratamento.

6.1.3 Análise qualitativa

A análise qualitativa é um método de análise que utiliza a descrição em vez de meios numéricos para definir o nível de risco, podendo incluir o fornecimento de informações descritivas sobre a natureza das consequências (especialmente quando há muitas consequências diferentes para partes interessadas diferentes, ou quando algumas consequências são intangíveis).

Essas informações podem ser agrupadas e sumarizadas em uma única palavra para descrever a consequência e a probabilidade, para serem utilizadas em uma tabela de classificação de riscos. Entretanto, pode ser necessário registrar as informações implícitas nas quais a classificação se baseia, para auxiliar os responsáveis pela tomada de decisão e para dar embasamento às suas conclusões.

A análise qualitativa pode ser utilizada:

(a)

quando não é necessária a precisão quantitativa;

(b)

para realizar uma avaliação inicial de riscos, antes de uma análise posterior mais detalhada;

(c)

quando o nível de risco não justifica o tempo e os recursos necessários para a realização de uma análise numérica; ou

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia

33

Implementação da ISO 31000:2018

6.2

Tabelas de consequências e probabilidades

6.2.1

Generalidades

As tabelas de consequências e probabilidades são utilizadas a fim de fornecer definições para as escalas de classificação, para que haja um entendimento comum de seu significado. As tabelas deveriam ser compatíveis com os objetivos específicos e o contexto da atividade de gestão de riscos.

Convém observar que os descritores nesses exemplos foram escolhidos de modo a não usar os mesmos termos das escalas de consequências, probabilidades e riscos, para evitar duplicação em qualquer matriz ou relato posterior.

6.2.2

Consequências

A tabela 6.2 traz uma tabela qualitativa simples de consequências, que pode ser utilizada por uma organização com critérios relacionados à segurança e saúde, meio ambiente e sucesso financeiro. Também considera os impactos políticos e financeiros dos riscos, da mesma forma que pode ser encontrada em uma análise de programas do setor público. A tabela 6.3 traz uma tabela descritiva simples.

Quando uma tabela traz tipos diferentes de consequências, ou quando o mesmo descritor é utilizado para um determinado nível, então será inferida uma equivalência entre cada consequência. Se isso não for verdadeiro, precisam ser utilizados tabelas e descritores diferentes. Quando se busca a equivalência, é preciso tomar cuidado para garantir que isso seja defensável e, quando possível, convém obter a concordância das partes interessadas.

Risk Tecnologia

39

Implementação da ISO 31000:2018

Técnicas de engenharia de segurança de sistemas, como a Análise de Árvore de Falhas, podem ser utilizadas para analisar as probabilidades em mais detalhes.

6.3 Nível de risco

A forma como o nível de risco é descrito dependerá do tipo de análise realizada.

A abordagem qualitativa somente pode descrever os riscos de maneira

qualitativa – e isso normalmente é feito com termos descritivos. Um exemplo disso é apresentado na tabela 6.6. A análise quantitativa pode, por outro lado, gerar um número, dado ou valor único ou um conjunto de dados detalhados. Quando isso ocorrer, convém tomar cuidado para garantir que as unidades de risco sejam definidas e compreendidas. Convém dar atenção especial à análise quantitativa quando estiverem sendo examinadas consequências que são intangíveis ou difíceis de quantificar, tais como efeitos no meio ambiente ou na segurança, ou a reputação da organização.

As hipóteses e seus impactos, bem como seu nível de certeza, também precisam ser definidos.

A tabela 6.6 ilustra também o processo e os descritores que podem ser

utilizados para combinar o nível das consequências com o nível de probabilidade, para determinar o nível de risco. O número de categorias de risco definidas em uma tabela como essa deveria refletir as necessidades do estudo.

Tabela 6.6

Exemplo de matriz para determinar o nível de risco

Classificação da

 

Classificação das Consequências

 

Probabilidade

I

II

III

IV

V

 

A Médio

Alto

Alto

Muito alto

Muito alto

 

B Médio

Médio

Alto

Alto

Muito alto

 

C Baixo

Médio

Alto

Alto

Alto

 

D Baixo

Baixo

Médio

Médio

Alto

 

E Baixo

Baixo

Médio

Médio

Alto

NOTA: A relação entre as consequências e a probabilidade será diferente para cada aplicação: o nível de risco atribuído a cada célula deveria refletir isso.

As categorias podem estar associadas ao nível recomendado de atenção da Alta

Direção ou à escala do tempo necessário para a resposta requerida. Por

exemplo:

(a) Risco muito alto ou alto: necessária atenção da Alta Direção e especificação de planos de ação e responsabilidades da Alta Direção.

(b) Risco médio: gestão por meio de monitoramento específico ou procedimentos de resposta e especificação das responsabilidades da Alta Direção.

Risk Tecnologia

42

Implementação da ISO 31000:2018

(c) Risco baixo: gestão por meio de procedimentos de rotina; provavelmente não requer aplicação específica de recursos.

Outro exemplo simples é mostrado na tabela 6.7.

Tabela 6.7

Exemplo – Matriz simples de nível de risco

   

Consequências

Probabilidade

Maior

Moderada

Menor

Provável

Vermelho

Vermelho

Amarelo

Possível

Vermelho

Amarelo

Verde

Improvável

Amarelo

Verde

Verde

Legenda do Tratamento de Riscos

Vermelho Ação imediata Amarelo Ação intensificada Verde Negócios normais Alta 'Problema' Faixa de
Vermelho
Ação imediata
Amarelo
Ação intensificada
Verde
Negócios normais
Alta
'Problema'
Faixa de
resultados
P
viáveis
r
?
o
b
a
b
i
'Catástrofe'
l
i
d
a
d
e
Baixa
Baixa
Alta

Consequência

FIGURA 6.4 - RISCOS COM RESULTADOS DIVERSOS

Muitos eventos de risco podem surgir de diversas maneiras, dentro de uma faixa de resultados e probabilidades associadas. Por exemplo, se um erro de processamento ocorresse em uma organização, poderia ser um problema

Risk Tecnologia

43

Aumento dos Riscos Individuais e Preocupações com a Sociedade

Regiãodos Riscos Individuais e Preocupações com a Sociedade Geralmente Intolerável ( Limite de Segurança

Geralmente

Intolerável

(Limite de

Segurança

Básico)

ALARP ou

Região

Tolerável

(Objetivo de

Segurança

Básico)

Região

Aceitável

Amplamente

Implementação da ISO 31000:2018

Aceitável Amplamente Implementação da ISO 31000:2018 Risco Insignificante O risco não pode ser justificado, a

Risco Insignificante

O risco não pode ser justificado, a não ser em circunstâncias extraordinárias.

Conduzir os riscos para a Região Aceitável Amplamente.

Risco residual tolerável, somente se não for possível nenhuma outra redução do risco.

Improvável que a redução do risco seja requerida, devido aos recursos serem provavelmente muito desproporcionais em relação à redução obtida.

FIGURA 7.1 - O PRINCÍPIO ALARP

7.5 Julgamento implícito nos critérios

Os julgamentos de valor estão implícitos em diversos critérios. Eles dependem da familiaridade do indivíduo com o risco, da confiança na eficácia dos controles de riscos existentes, bem como da percepção dos riscos e benefícios da atividade.

O mesmo risco pode parecer insignificante para uma pessoa e muito alto para outra. Portanto, os critérios deveriam tentar representar uma visão objetiva, levando em consideração as necessidades de todos que forem afetados, bem como as pessoas de fato sujeitas ao risco.

A comunicação e a consulta podem abordar esses pontos (ver capítulo 3).

7.6 Critérios de avaliação e eventos anteriores

Os critérios para definir se um determinado risco precisa ser tratado são geralmente estabelecidos recorrendo-se a eventos de atividades semelhantes ocorridos no passado, ou por meio dos antecedentes dos riscos vivenciados no dia-a-dia. Entretanto, os dados podem ser distorcidos devido a:

Risk Tecnologia

52

Implementação da ISO 31000:2018

(a)

Acidentes de grandes proporções, catástrofes ou sinistros que ocorrem uma única vez e dominam o conjunto de dados.

(b)

Um nível de riscos em queda, devido a controles aprimorados à medida que se aprende com os incidentes e acidentes e são melhorados os padrões de controle. Isso significa que critérios baseados em riscos históricos podem não se mostrar rígidos o suficiente para controlar a situação atual.

(c)

As mudanças ocorridas nas atividades ou nas circunstâncias agora cobertas em relação à situação passada. Por exemplo, o risco geral proveniente de uma amostra de atividades pode ter sido diferente no passado.

A

definição de critérios de avaliação com base em estimativas de riscos

históricos apresenta os seguintes problemas:

Um risco pode precisar ser tratado em diversas circunstâncias, mas não em outras.

Um risco pode ter sido “aceito” no passado, porém poderá não ser “aceitável” atualmente, utilizando-se os métodos de análise vigentes e levando-se em consideração o atual nível de tolerância da sociedade.

Os antecedentes dos riscos são diferentes em situações distintas (por exemplo, em países diferentes), levantando a dúvida se os critérios de

aplicados

avaliação

deveriam

mesmo

ser

ajustados

à

situação

e

não

globalmente.

Como consequência de problemas como esses, julgamentos de cunho político

ou econômico podem ser utilizados adicionalmente aos dados disponíveis sobre

riscos.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia

53

Implementação da ISO 31000:2018

11 ESTABELECIMENTO DE UMA GESTÃO DE RISCOS EFICAZ

Este capítulo está relacionado à seção 5 (Estrutura) da norma ISO 31000:2018.

NOTA: Para as organizações interessadas em implementar como Estrutura um Sistema de Gestão de Riscos (SGR) baseado na ISO 31000:2018 e nas diretrizes centrais deste Manual, recomenda-se a adoção da norma de requisitos QSP 31000, a qual também pode ser utilizada para fins de auditoria de terceira parte. Mais informações podem ser obtidas pelo e-mail: qsp@qsp.org.br.

11.1 Política

Convém que a gestão de riscos seja integrada à filosofia de gestão da organização. Convém que a Alta Direção e os executivos seniores sejam os responsáveis pelo estabelecimento da política de gestão de riscos. A política é um documento sucinto, de nível superior, que aprova uma abordagem para a gestão de riscos e também cria as ligações com outras estratégias da organização. Convém que a política de gestão de riscos seja incorporada às demais políticas de gestão da organização.

Alguns exemplos de informações que podem ser incluídas na política de uma organização são:

(a)

os objetivos e a base para a gestão de riscos;

(b)

as relações entre a política e os planos estratégico e operacional da organização;

(c)

a extensão ou gama de riscos que precisam ser gerenciados;

(d)

diretrizes sobre o que deve ser considerado risco aceitável;

(e)

autoridades, responsabilidades e responsabilizações;

(f)

disponibilidade dos recursos necessários;

(g)

a maneira pela qual os objetivos conflitantes são tratados;

(h)

medição e relato no âmbito dos indicadores de desempenho da organização;

(i)

o suporte e conhecimento disponíveis para auxiliar os responsáveis pela gestão de riscos;

(j)

o nível de documentação requerido; e

(k)

os requisitos para monitorar e analisar criticamente o desempenho organizacional em relação à política.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia

86

Implementação da ISO 31000:2018

consistentemente o processo for aplicado e quanto maior a maturidade da prática da gestão de riscos, maiores serão os benefícios, conforme descritos no item 1.2 deste Manual.

11.10 Mensagens e perguntas-chave para os gerentes

Os gerentes deveriam consistentemente sinalizar que:

(a)

a gestão de riscos é dever de todos;

(b)

a gestão de riscos é parte integrante dos negócios, não um trabalho extra ou uma carga adicional; e

(c)

o processo de gestão de riscos é lógico e sistemático, e deveria se tornar a prática habitual.

As mensagens-chave incluem:

(i)

Há riscos a serem gerenciados em todas as atividades.

(ii)

Todos são responsáveis – e deveriam prestar contas (responsabilização) - por gerenciar os riscos de suas atividades.

(iii)

As pessoas deveriam ser estimuladas e apoiadas pelos seus líderes a gerenciar riscos.

(iv)

A ISO 31000:2018 fornece uma estrutura e abordagem sistemática para a tomada de decisão sobre como melhor gerenciar os riscos.

(v)

Deveriam ser considerados os requisitos legais e os ambientes político, social e econômico ao gerenciar riscos.

(vi)

As ações para gerenciar riscos deveriam ser integradas aos (e não separada dos) planejamentos e processos operacionais existentes em todos os níveis.

(vii)

A gestão de riscos eficaz depende de informação com qualidade.

As principais perguntas que os gerentes deveriam fazer incluem:

(1)

Os objetivos da gestão de riscos estão alinhados com os objetivos de desempenho e com os valores organizacionais?

(2)

Os resultados da gestão de riscos podem ser medidos nesses termos?

(3)

Você pode determinar se a gestão de riscos tem agregado valor para a organização?

(4)

Os programas de gestão de riscos refletem a realidade do ambiente em que você opera?

(5)

Você repassa informações sobre a gestão de riscos, de forma clara e concisa, para avaliação pela Alta Direção e gerências, como apropriado?

Risk Tecnologia

91