Académique Documents
Professionnel Documents
Culture Documents
ISO 31000
Portuguesa 2012
Gestão do risco
Princípios e linhas de orientação
Management du risque
Principes et lignes directrices
Risk management
Principles and guidelines
o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
ICS HOMOLOGAÇÃO
Im
CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da ISO 31000:2009 CT 180 (APQ)
EDIÇÃO
agosto de 2012
CÓDIGO DE PREÇO
X008
IPQ reprodução proibida
em branco
ão o e
pr lec
oib tró
ida nic
o
NP
ISO 31000
2012
p. 3 de 31
Sumário Página
Introdução................................................................................................................................................... 6
1 Objetivo e campo de aplicação ................................................................................................................ 9
2 Termos e definições................................................................................................................................. 9
3 Princípios................................................................................................................................................. 14
4 Estrutura .................................................................................................................................................. 16
o
ida nic
4.1 Generalidades ..................................................................................................................................... 16
oib tró
4.2 Mandato e compromisso .................................................................................................................... 17
pr lec
4.3 Conceção da estrutura para gerir o risco ......................................................................................... 17
ão o e
4.3.3 Responsabilização............................................................................................................................ 18
re doc
p. 4 de 31
o
5.4.4 Avaliação do Risco........................................................................................................................... 26
ida nic
5.5 Tratamento do Risco .......................................................................................................................... 26
oib tró
5.5.1 Generalidades ..................................................................................................................................
pr lec 26
5.5.2 Seleção de opções de tratamento do risco...................................................................................... 27
ão o e
Bibliografia................................................................................................................................................. 31
© sã o
Q
es
pr
Im
NP
ISO 31000
2012
p. 5 de 31
Preâmbulo nacional
A presente Norma é idêntica à versão da ISO 31000:2009, “Risk management – Principles and guidelines”.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos análogos. A ISO não deve ser considerada responsável por não ter
identificado tais direitos de propriedade intelectual nem por não ter avisado da sua existência.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete de gestão técnica da ISO relativo à Gestão do
Risco.
Esta Norma contém cor. A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta
Norma.
o
ida nic
A presente Norma foi preparada pela Comissão Técnica de Normalização CT 180 “Gestão do risco”, cuja
oib tró
coordenação é assegurada pelo Organismo de Normalização Sectorial, Associação Portuguesa para a
Qualidade (ONS/APQ). pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im
NP
ISO 31000
2012
p. 6 de 31
Introdução
As organizações de todos os tipos e dimensões enfrentam fatores e influências, internos e externos, que
tornam incerto se, e quando, atingirão os seus objetivos. O efeito que esta incerteza tem nos objetivos de uma
organização designa-se por “risco”.
Todas as atividades de uma organização envolvem risco. As organizações gerem o risco mediante a sua
identificação e análise, após o que avaliam a necessidade da sua alteração, tratando-o de forma a satisfazer os
seus critérios de risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que estão a alterá-lo, de forma a assegurarem que não é
necessário um tratamento de risco suplementar. Esta Norma descreve detalhadamente este processo
sistemático e lógico.
o
ida nic
Apesar de todas as organizações gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
oib tró
princípios que deverão ser cumpridos de modo a tornar eficaz a gestão do risco. Esta Norma recomenda que
as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo é
pr lec
integrar o processo para gerir o risco na governação, estratégia e planeamento, gestão, processos de reporte,
políticas, valores e cultura.
ão o e
A gestão do risco pode ser aplicada a uma organização na sua globalidade, nas suas diversas áreas e níveis, a
uç ent
Se bem que a prática da gestão do risco tenha vindo a ser desenvolvida ao longo do tempo e em vários
sectores de modo a responder a necessidades diversas, a adoção de processos consistentes numa estrutura
re doc
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od
toda a organização. A abordagem genérica descrita nesta Norma fornece os princípios e as linhas de
IP de
orientação para a gestão de qualquer tipo de risco de modo sistemático, transparente e credível, qualquer que
seja o âmbito e o contexto.
© sã o
Q
Cada sector específico ou aplicação particular da gestão do risco implicam necessidades, públicos, perceções
e critérios próprios. Por esta razão uma característica essencial desta Norma é a inclusão do “estabelecimento
es
contexto vai permitir apreender os objetivos da organização, o ambiente em que procura atingi-los, as suas
Im
partes interessadas e a diversidade dos critérios de risco – que na sua globalidade ajudarão a identificar e
apreciar a natureza e complexidade dos seus riscos.
As relações entre os princípios para a gestão do risco, a estrutura onde este ocorre e o processo de gestão do
risco descritos nesta Norma estão representados na Figura 1.
A implementação e manutenção da gestão do risco de acordo com esta Norma permitem a uma organização,
por exemplo:
− aumentar a verosimilhança de atingir os seus objetivos;
− encorajar a gestão proativa;
− estar ciente da necessidade de identificar e tratar os riscos em toda a organização;
− a identificação das oportunidades e ameaças;
− cumprir as obrigações legais e regulamentares e normas internacionais aplicáveis;
− melhorar os relatos obrigatórios e voluntários;
− melhorar a governação;
NP
ISO 31000
2012
p. 7 de 31
o
− minimizar as perdas;
ida nic
− melhorar a aprendizagem organizacional, e
− melhorar a resiliência organizacional.
oib tró
pr lec
Esta Norma Internacional pretende responder às necessidades de uma grande diversidade de partes
ão o e
interessadas, incluindo:
uç ent
b) as pessoas encarregadas de assegurar que o risco é gerido eficazmente na organização como um todo, ou
numa área, projeto ou atividade específicos;
re doc
d) os que elaboram normas, guias, procedimentos e regras de boas práticas, que definem, total ou
IP de
parcialmente, como deverá ser gerido o risco no contexto específico destes documentos.
© sã o
As práticas e processos atuais da gestão de muitas organizações incluem componentes de gestão do risco,
Q
tendo muitas organizações já adotado um processo formal de gestão do risco, para determinados tipos de
es
risco ou circunstâncias particulares. Nestes casos, uma organização pode decidir realizar uma revisão crítica
pr
Nesta Norma os termos ou expressões “gestão do risco” e “gerir o risco” são ambos utilizados. Em geral a
“gestão do risco” refere-se à arquitetura (princípios, estrutura e processo) para gerir os riscos com eficácia,
enquanto que “gerir o risco” se refere à aplicação dessa arquitetura a riscos particulares.
NP
2012
p. 8 de 31
ISO 31000
a) Cria valor
pr lec
i) Transparente e participada Avaliação do risco (5.4.4)
oib tró
Monitorização
ida nic
j) Dinâmica, iterativa e e revisão da o
reativa à mudança estrutura (4.5)
Princípios
(secção 3) Estrutura Processo
(secção 4) (secção 5)
p. 9 de 31
A presente Norma pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de
atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e
ativos.
o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
ida nic
consequências sejam positivas ou negativas.
oib tró
Apesar da presente Norma fornecer linhas de orientação gerais, não se destina a promover a uniformidade da
gestão do risco nas organizações. A conceção e a implementação dos planos e estruturas de gestão do risco
pr lec
necessitarão de ter em conta as diversas necessidades de uma organização específica, dos seus objetivos,
ão o e
contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ativos e práticas específicas
utilizadas.
uç ent
Pretende-se que esta Norma seja utilizada na harmonização de processos da gestão do risco em normas
pr u m
existentes e futuras. A presente Norma permite uma abordagem comum de apoio às normas relativas a riscos
e/ou sectores específicos, não as substituindo.
re doc
od
2 Termos e definições
© sã o
Q
2.1 risco
pr
p. 10 de 31
o
ida nic
2.4 política da gestão do risco
oib tró
Declaração das intenções gerais e da orientação de uma organização em relação à gestão do risco (2.2).
[Guia ISO 73:2009, definição 2.1.2]
pr lec
ão o e
Programa incluído na estrutura da gestão do risco (2.2) que especifica a abordagem, os componentes da
od
NOTA 1: Os elementos de gestão incluem tipicamente os procedimentos, as práticas, a atribuição de responsabilidades, a sequência
e a calendarização das atividades.
© sã o
Q
NOTA 2: O plano da gestão do risco poderá ser aplicado a um produto, processo ou projeto específicos, a parte ou à totalidade de
uma organização.
es
p. 11 de 31
o
2.11 contexto interno
ida nic
Ambiente interno no qual a organização procura atingir os seus objetivos.
oib tró
NOTA: O contexto interno pode incluir:
− a governação, a estrutura organizacional, as funções e a responsabilização;
pr lec
− as políticas, os objetivos e as estratégias implementadas para os atingir;
ão o e
− as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
− os sistemas de informação, os fluxos de informação e processos de tomada de decisão (formais e informais);
uç ent
− a cultura da organização;
− as normas, linhas de orientação e modelos adotados pela organização;
re doc
od
Processos contínuos e iterativos que uma organização conduz de forma a fornecer, partilhar ou obter
es
informações, e para se envolver em diálogo com as partes interessadas (2.13), no que respeita à gestão do
risco (2.1).
pr
Im
NOTA 1: A informação pode estar relacionada com a existência, natureza, forma, verosimilhança (2.19), significância, avaliação,
aceitabilidade, tratamento ou outros aspetos da gestão do risco.
NOTA 2: A consulta é um processo de comunicação informada nos dois sentidos entre uma organização e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma decisão ou ser definida uma orientação sobre esse assunto. A
consulta é:
− um processo que causa impacto na decisão mais pela influência do que pelo poder, e;
− um contributo para a tomada de decisão, não uma tomada de decisão conjunta.
p. 12 de 31
o
(2.1).
ida nic
NOTA: Uma fonte do risco pode ser tangível ou intangível.
oib tró
[Guia ISO 73:2009, definição 3.5.1.2] pr lec
2.17 evento
ão o e
NOTA 1: Um evento pode consistir numa ou mais ocorrências, e pode ter várias causas.
NOTE 2: Um evento pode consistir em algo que não ocorra.
pr u m
NOTE 3: Um evento pode algumas vezes ser referido como um “incidente” ou “acidente”.
re doc
NOTE 4: Um evento sem consequências (2.18) pode também ser referido como “quase acidente”, “incidente” ou “quase sucesso”.
od
2.18 consequência
© sã o
Q
2.19 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gestão do risco, a palavra verosimilhança é utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemáticos [como uma probabilidade (2.19) ou uma frequência num determinado período de
tempo].
NOTA 2: O termo inglês “likelihood” (verosimilhança) não tem uma equivalência direta em algumas línguas; em vez disso, é
frequentemente utilizado como termo equivalente “probability” (probabilidade). No entanto, em inglês, o termo “probability” está
muitas vezes limitado à sua interpretação matemática. Por consequência, na terminologia da gestão do risco, o termo “likelihood” é
utilizado com a finalidade de que deverá ter a mesma interpretação lata que o termo “probability” tem, em muitas outras línguas
que não o inglês.
p. 13 de 31
o
NOTA 2: A análise do risco inclui a estimação do risco.
ida nic
[Guia ISO 73:2009, definição 3.6.1]
oib tró
2.22 critérios do risco pr lec
Termos de referência em relação aos quais a significância de um risco (2.1) é avaliada.
ão o e
NOTA 1: Os critérios do risco são baseados nos objetivos da organização e nos contextos externo (2.10) e interno (2.11).
NOTA 2: Os critérios do risco podem resultar de normas, leis, políticas e de outros requisitos.
uç ent
p. 14 de 31
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, política, dispositivo, prática ou outra ação que modifique o risco.
NOTA 2: O controlo poderá nem sempre produzir o efeito modificador pretendido ou assumido.
o
2.27 risco residual
ida nic
Risco (2.1) que subsiste após o tratamento do risco (2.25).
oib tró
NOTA 1: Um risco residual pode incluir um risco não identificado.
NOTA 2: Um risco residual pode também ser designado como “risco retido”.
pr lec
[Guia ISO 73:2009, definição 3.8.1.6]
ão o e
2.28 monitorização
uç ent
NOTA: A monitorização pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo de gestão do risco (2.8), ao
re doc
2.29 revisão
© sã o
Atividade levada a cabo para determinar a adaptação, adequação e a eficácia, da matéria visada para atingir
Q
os objetivos estabelecidos.
es
NOTA: A revisão pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo de gestão do risco (2.8), ao risco ou ao
pr
3 Princípios
Para que a gestão do risco seja eficaz, uma organização deverá, a todos os níveis, atuar em conformidade
com os princípios abaixo referidos.
a) A gestão do risco cria e protege o valor.
A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho, como por
exemplo, na saúde e segurança, security*), na conformidade legal e regulamentar, na aceitação pública, na proteção
ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das operações, na governação e reputação.
*)
“security” no original em inglês, pode entender-se fundamentalmente como “proteção e preservação das pessoas, bens e
informação quer tangível quer intangível” (nota nacional).
NP
ISO 31000
2012
p. 15 de 31
o
ida nic
A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.
oib tró
e) A gestão do risco é sistemática, estruturada e atempada.
pr lec
A abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e para
ão o e
As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como dados
históricos, experiência, retorno da informação das partes interessadas, observações, previsões e pareceres
re doc
de especialistas. No entanto, os decisores deverão informar-se e ter em conta quaisquer limitações dos
od
p. 16 de 31
4 Estrutura
4.1 Generalidades
O sucesso da gestão do risco dependerá da eficácia da estrutura de gestão em fornecer os fundamentos e as
disposições que permitem a sua integração em todos os níveis da organização. A estrutura apoia uma gestão
eficaz dos riscos no decurso da aplicação do processo de gestão do risco (ver secção 5), em diferentes níveis
e em contextos específicos da organização. A estrutura garante que a informação sobre o risco que decorre
do processo de gestão do risco é corretamente reportada e serve de base à tomada de decisão e à
responsabilização a todos os níveis da organização envolvidos.
o
Esta secção descreve as componentes necessárias da estrutura, para gerir o risco e a forma como se
ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.
oib tró
Mandato e compromisso (4.2)
pr lec
ão o e
uç ent
Recursos (4.3.5)
es
Melhoria contínua da
Implementação da gestão do risco (4.4)
estrutura (4.6)
Implementação da estrutura para gerir o
risco (4.4.1)
Implementação do processo da gestão
do risco (4.4.2)
p. 17 de 31
Esta estrutura não se destina a prescrever um sistema de gestão, mas sim a apoiar a organização, a integrar a
gestão do risco na globalidade do seu sistema de gestão. As organizações deverão, portanto, adaptar as
componentes da estrutura às suas necessidades específicas.
Se as práticas e processos de gestão existentes numa organização incluem componentes da gestão do risco,
ou se a organização já adotou um processo formal de gestão do risco para tipos de situações ou de riscos
específicos, então estes deverão ser revistos de forma crítica e apreciados face à presente Norma , incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequação e eficácia.
o
ida nic
sustentado por parte da gestão de topo da organização, bem como um planeamento estratégico e rigoroso
para conduzir a um compromisso a todos os níveis. A gestão de topo deverá:
oib tró
− definir e aprovar a política de gestão do risco;
pr lec
− assegurar que a cultura da organização e a sua política de gestão do risco estão alinhadas;
ão o e
organização;
− alinhar os objetivos da gestão do risco com os objetivos e estratégias da organização;
pr u m
p. 18 de 31
− capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
− sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− relações com as partes interessadas internas, suas perceções e seus valores;
− cultura da organização;
− normas, linhas de orientação e modelos adotados pela organização; e
− forma e extensão das relações contratuais.
o
4.3.2 Estabelecimento da política da gestão do risco
ida nic
A política da gestão do risco deverá estabelecer de forma clara os objetivos e o compromisso da organização,
oib tró
em matéria de gestão do risco e tipicamente aborda o seguinte:
pr lec
− a fundamentação da organização para gerir o risco;
ão o e
4.3.3 Responsabilização
Im
A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para gerir
o risco, incluindo implementar e manter o processo de gestão do risco e assegurar a adequação, a eficácia e a
eficiência de quaisquer controlos. Isto, poderá ser facilitado:
− identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos;
− identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para
gerir o risco;
− identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da gestão
do risco;
− estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a
um nível superior;
− assegurando níveis de reconhecimento apropriados.
p. 19 de 31
4.3.5 Recursos
A organização deverá afetar os recursos necessários à gestão do risco.
o
Deverá ser tido em conta:
ida nic
− pessoas, aptidões, experiência e competências;
oib tró
− recursos necessários a cada etapa do processo de gestão do risco;
pr lec
− processos, métodos e ferramentas da organização a serem utilizados para gerir o risco;
ão o e
− programas de formação.
re doc
modificação subsequente;
es
− a existência de relatos internos adequados, relativos à estrutura da gestão do risco, à sua eficácia e aos
pr
seus resultados;
Im
p. 20 de 31
o
Para a implementação da estrutura para gerir o risco, a organização deverá:
ida nic
− definir um calendário apropriado e uma estratégia adequada para a implementação da estrutura;
oib tró
− aplicar a política e o processo da gestão do risco aos processos organizacionais;
pr lec
− cumprir os requisitos legais e regulamentares;
ão o e
− assegurar que a tomada de decisão, incluindo o desenvolvimento e estabelecimento dos objetivos, está
uç ent
A gestão do risco deverá ser implementada, assegurando que o processo da gestão do risco descrito na
Q
Secção 5, é aplicado através de um plano de gestão do risco, a todos os níveis e funções da organização
es
p. 21 de 31
5 Processo
5.1 Generalidades
o
ida nic
− uma parte integrante da gestão;
oib tró
− integrado na cultura e práticas organizacionais;
pr lec
− feito à medida dos processos de negócio da organização.
ão o e
O processo de gestão do risco é ilustrado na Figura 3 e compreende as atividades descritas nas secções 5.2 a
uç ent
5.6.
pr u m
re doc
Comunicação e Monitorização e
Im
p. 22 de 31
o
Uma abordagem da consulta em equipa poderá:
ida nic
− ajudar a estabelecer o contexto de forma apropriada;
oib tró
− assegurar que os interesses das partes interessadas são compreendidos e considerados;
pr lec
− ajudar a garantir que os riscos são identificados de forma adequada;
ão o e
− assegurar que diferentes pontos de vista são considerados de forma apropriada na definição dos critérios
de risco e na avaliação dos riscos;
pr u m
A comunicação e consulta com as partes interessadas são importantes, uma vez que estas produzem juízos
© sã o
Q
sobre risco baseados nas suas perceções do risco. Estas perceções do risco podem variar devido a diferenças
nos valores, necessidades, pressupostos, conceitos e preocupações das partes interessadas. Dado que os seus
es
pontos de vista podem ter um impacto significativo nas decisões tomadas, as perceções das partes
pr
interessadas deverão ser identificadas, registadas e tidas em consideração no processo de tomada de decisão.
Im
5.3.1 Generalidades
Através do estabelecimento do contexto, a organização enuncia os seus objetivos, define os parâmetros
internos e externos a ter em consideração quando se gere o risco bem, como o âmbito e os critérios do risco
para as restantes partes do processo. Se bem que muitos destes parâmetros sejam similares aos considerados
na conceção da estrutura da gestão do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo da
gestão do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o âmbito do processo específico da gestão do risco.
p. 23 de 31
A compreensão do contexto externo é importante para assegurar que os objetivos e preocupações das partes
interessadas externas, são tidos em consideração aquando do desenvolvimento dos critérios do risco. O
contexto externo é baseado no contexto global da organização, mas com detalhes específicos dos exigências
legais e requisitos regulamentares, das perceções das partes interessadas e de outros aspetos específicos de
risco inerentes ao âmbito do processo da gestão do risco.
O contexto externo pode incluir, mas não se limita:
− às envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural
e competitiva, seja ao nível internacional, nacional, regional ou local;
− aos fatores chave e tendências com impacto nos objetivos da organização; e
o
− às relações com as partes interessadas externas, suas perceções e valores.
ida nic
oib tró
5.3.3 Estabelecimento do contexto interno
pr lec
O contexto interno é o ambiente interno no qual a organização procura atingir os seus objetivos.
ão o e
O processo de gestão do risco deverá estar alinhado com a cultura, os processos, a estrutura e a estratégia da
organização. O contexto interno é tudo aquilo que no seio da organização pode influenciar a forma como a
uç ent
organização irá gerir o risco. O contexto interno deverá ser estabelecido, porque:
pr u m
− as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
− as relações com as partes interessadas internas, suas perceções e valores;
− a cultura da organização;
− os sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− as normas, linhas de orientação e modelos adotados pela organização;
− a forma e extensão das relações contratuais.
p. 24 de 31
o
− a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e local;
ida nic
− a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos
oib tró
ou atividades da organização;
pr lec
− a definição das metodologias da gestão do risco;
ão o e
− a identificação, âmbito ou enquadramento dos estudos necessários, a sua extensão e objetivos, bem como
pr u m
A consideração destes e de outros fatores pertinentes, deverá assegurar que a abordagem da gestão do risco
od
adotada seja apropriada às circunstâncias, à organização e aos riscos que estão a afetar a consecução dos seus
IP de
objetivos.
© sã o
A organização deverá definir os critérios a serem utilizados para avaliar a significância do risco. Os critérios
deverão refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser impostos por, ou
pr
derivar de, exigências legais e requisitos regulamentares e outros requisitos subscritos pela organização. Os
Im
critérios do risco deverão ser consistentes com a política da gestão do risco da organização (ver 4.3.2), ser
definidos no início de qualquer processo da gestão do risco e continuamente revistos.
Na definição dos critérios do risco, os fatores a considerar deverão incluir o seguinte:
− a natureza e tipos de causas e consequências que podem ocorrer e como são medidas;
− o modo como será definida a verosimilhança;
− o intervalo de tempo associado à verosimilhança e/ou à(s) consequência(s);
− o modo como é determinado o nível do risco;
− os pontos de vista das partes interessadas;
− o nível a partir do qual o risco se torna aceitável ou tolerável;
− a consideração ou não de combinações de múltiplos riscos e, em caso afirmativo, como e quais as
combinações que deverão ser consideradas.
NP
ISO 31000
2012
p. 25 de 31
5.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
NOTA: A ISO/IEC 31010 fornece orientação sobre técnicas de apreciação do risco.
o
ida nic
retardar a consecução dos objetivos. É importante identificar os riscos associados ao facto de não se
perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta
oib tró
fase não será incluído em análise posterior.
pr lec
A identificação deverá incluir os riscos cuja fonte esteja ou não sob controlo da organização, ainda que a
fonte ou causa do risco poderão não ser evidentes. A identificação do risco deverá incluir o exame das
ão o e
ainda considerar um domínio alargado de consequências, ainda que a fonte ou a causa do risco poderão não
ser evidentes. Assim como se identifica o que possa acontecer, é também necessário considerar possíveis
pr u m
causas e cenários que mostrem quais as consequências que podem ocorrer. Todas as causas e consequências
significativas deverão ser consideradas.
re doc
od
A organização deverá utilizar técnicas e ferramentas de identificação de riscos que sejam adequadas aos seus
objetivos e às suas capacidades, assim como aos riscos que enfrenta. Na identificação dos riscos é importante
IP de
dispor de informação pertinente e atualizada. Sempre que possível deverá ser considerada informação de
base apropriada. Na identificação dos riscos deverão ser envolvidas as pessoas com o conhecimento
© sã o
Q
adequado.
es
A análise do risco implica desenvolver uma compreensão do risco. A análise do risco fornece uma entrada
Im
para a avaliação do risco e para as decisões quanto à necessidade dos riscos serem tratados, e sobre as
estratégias e métodos mais apropriados para o tratamento do risco. A análise do risco pode também fornecer
uma entrada para a tomada de decisões, onde as escolhas tenham que ser feitas e as opções envolvam
diferentes tipos e níveis de risco.
A análise do risco implica considerar as causas e fontes de risco, as suas consequências positivas e negativas
e a verosimilhança dessas consequências ocorrerem. Deverão ser identificados os fatores que afetam as
consequências e a verosimilhança. O risco é analisado, determinando as consequências e as suas
verosimilhanças e outros atributos do risco. Um evento pode ter múltiplas consequências e pode afetar
múltiplos objetivos. Os controlos existentes e a sua eficácia e eficiência, também deverão ser tidos em
consideração.
O modo como as consequências e a verosimilhança são expressas e o modo como são combinadas para
determinar um nível de risco, deverão refletir o tipo de risco, a informação disponível e o propósito para o
qual a saída da apreciação do risco é para ser utilizada. Tudo isto deverá ser consistente com os critérios do
risco. Também é importante considerar a interdependência dos diferentes riscos e suas fontes.
A confiança na determinação do nível do risco e a sua sensibilidade a condições prévias e pressupostos
deverão ser consideradas na análise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergência de opinião entre especialistas, incerteza, disponibilidade,
NP
ISO 31000
2012
p. 26 de 31
o
ida nic
5.4.4 Avaliação do Risco
oib tró
A finalidade da avaliação do risco é apoiar a tomada de decisões, tendo por base os resultados da análise do
pr lec
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementação do tratamento.
ão o e
A avaliação do risco envolve a comparação do nível de risco identificado no decorrer do processo de análise
com os critérios do risco, aquando da consideração do contexto. Com base nesta comparação a necessidade
uç ent
As decisões deverão ter em conta o contexto alargado do risco e incluir considerações sobre a tolerância dos
riscos suportados pelas partes, que não a organização que beneficia do risco. As decisões deverão ser
re doc
Em determinadas circunstâncias a avaliação do risco pode levar a uma decisão de efetuar análises adicionais.
IP de
A avaliação do risco pode também levar à decisão de não efetuar o tratamento do risco, para além de manter
os controlos existentes. Esta decisão será influenciada pela atitude da organização face ao risco e pelos
© sã o
5.5.1 Generalidades
Im
O tratamento do risco implica a seleção de uma ou mais opções para modificar os riscos e a implementação
dessas opções.
Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cíclico que inclui:
− apreciar um tratamento do risco;
− decidir se os níveis do risco residual são toleráveis;
− se não forem toleráveis, gerar um novo tratamento do risco;
− apreciar a eficácia desse tratamento.
As opções de tratamento do risco não têm que ser mutuamente exclusivas ou apropriadas em todas as
circunstâncias. As opções podem incluir o seguinte:
a) evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
NP
ISO 31000
2012
p. 27 de 31
o
implementação com os benefícios resultantes, tendo em conta os requisitos legais, regulamentares e outros
ida nic
tais como a responsabilidade social e a proteção do ambiente natural. As decisões deverão também ter em
conta os riscos cujo tratamento não é facilmente justificável por motivos económicos, por exemplo, riscos
oib tró
graves (elevada consequência negativa) mas raros (baixa verosimilhança).
pr lec
Diversas opções de tratamento poderão ser consideradas e aplicadas individualmente ou de forma
ão o e
Ao selecionar as opções de tratamento do risco, a organização deverá considerar os valores e perceções das
pr u m
partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as opções
de tratamento do risco possam ter impacto no risco de outras áreas da organização ou das partes interessadas,
re doc
todas deverão ser envolvidas na decisão. Embora igualmente eficazes, alguns tratamentos do risco poderão
od
ser mais aceitáveis para algumas partes interessadas do que para outras.
IP de
O tratamento do risco pode por si só introduzir riscos. A falha ou a ineficácia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorização deverá ser uma parte integrante do plano de
es
O tratamento do risco pode também introduzir riscos secundários que precisam de ser apreciados, tratados,
Im
monitorizados e revistos. Estes riscos secundários deverão ser incorporados no mesmo plano de tratamento
do risco original e não tratados como novos riscos. A ligação entre os dois riscos deverá ser identificada e
mantida.
p. 28 de 31
Os planos de tratamento deverão ser integrados com os processos de gestão da organização e discutidos com
as partes interessadas apropriadas.
Os decisores e outras partes interessadas deverão estar cientes da natureza e dimensão do risco residual após
o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e, onde
apropriado, tratamento posterior.
o
As responsabilidades pela monitorização e revisão deverão estar claramente definidas.
ida nic
Os processos de monitorização e revisão da organização deverão abranger todos os aspetos do processo de
oib tró
gestão do risco com o objetivo de: pr lec
− assegurar que os controlos são eficazes e eficientes, quer na conceção, quer na operação;
ão o e
− detetar alterações no contexto externo e interno, incluindo alterações aos critérios do risco e ao próprio
re doc
risco, que podem requerer a revisão dos tratamentos do risco e das prioridades;
od
O progresso na implementação dos planos de tratamento do risco fornece uma medida do desempenho. Os
© sã o
resultados podem ser incorporados na gestão global do desempenho da organização, na sua medição e nas
Q
conforme apropriado, e deverão ser usados também, como uma entrada para a revisão da estrutura da gestão
Im
As atividades de gestão do risco deverão ser rastreáveis. No processo de gestão do risco, os registos
fornecem a base para melhoria dos métodos e das ferramentas, bem como do processo na sua globalidade.
As decisões relativas à criação de registos deverão ter em conta:
− as necessidades de aprendizagem contínua da organização;
− os benefícios da reutilização da informação para efeitos de gestão;
− os custos e os esforços envolvidos na criação e manutenção dos registos;
− as necessidades legais, regulamentares e operacionais de registos;
− o método de acesso, a facilidade de consulta e os meios de armazenamento;
− o período de retenção;
− a sensibilidade da informação.
NP
ISO 31000
2012
p. 29 de 31
Anexo A
(informativo)
A.1 Generalidades
Todas as organizações deverão procurar atingir um nível apropriado do desempenho da sua estrutura de
o
gestão do risco em linha com a criticidade das decisões que terão de ser tomadas. A lista dos atributos abaixo
ida nic
apresentada, representa um alto nível de desempenho ao gerir o risco. Para apoiar as organizações na
oib tró
medição do seu próprio desempenho relativamente a estes critérios, são fornecidos alguns indicadores
tangíveis para cada atributo. pr lec
ão o e
A.2.1 A organização tem uma compreensão atual, correta e abrangente dos seus riscos.
pr u m
A.3 Atributos
IP de
Isto pode ser indicado pela existência de objetivos de desempenho explícitos, relativamente aos quais são
Im
p. 30 de 31
o
ida nic
Tal pode ser indicado pelos registos das reuniões e decisões, evidenciando que tiveram lugar discussões
explícitas sobre o risco. Adicionalmente, deverá ser possível ver que todas as componentes da gestão do
oib tró
risco estão representadas nos processos chave de tomada de decisão na organização, por exemplo, em
pr lec
decisões para atribuição de capital, para projetos importantes e para a reestruturação ou mudanças da
organização. Por estas razões, uma gestão do risco consistente é vista dentro da organização como a base
ão o e
A gestão do risco reforçada inclui comunicações continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gestão do risco, como parte da boa
re doc
governação.
od
Isto pode ser indicado pela comunicação com as partes interessadas como uma componente integrante e
IP de
essencial da gestão do risco. A comunicação é corretamente vista como um processo de dois sentidos, de tal
modo que decisões adequadamente informadas, possam ser tomadas quanto ao nível do risco e à necessidade
© sã o
Q
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
pr
da gestão do risco, contribui substancialmente para uma governação eficaz no seio da organização.
Im
p. 31 de 31
Bibliografia
o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im