Norma NP

ISO 31000

Portuguesa 2012

Gestão do risco
Princípios e linhas de orientação

Management du risque
Principes et lignes directrices

Risk management
Principles and guidelines

o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr

ICS HOMOLOGAÇÃO
Im

03.100.01 Termo de Homologação n.º 200/2012, de 2012-07-26

CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da ISO 31000:2009 CT 180 (APQ)

EDIÇÃO
agosto de 2012

CÓDIGO DE PREÇO
X008
 IPQ reprodução proibida

Rua António Gião, 2

2829-513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 948 101

E-mail: ipq@mail.ipq.pt Internet: www.ipq.pt
 Im
pr
es
© sã o
IP de
Q
re doc
pr u m
od
uç ent

em branco
ão o e
pr lec
oib tró
ida nic
o
 NP
ISO 31000
2012

p. 3 de 31

Sumário Página

Introdução................................................................................................................................................... 6
1 Objetivo e campo de aplicação ................................................................................................................ 9
2 Termos e definições................................................................................................................................. 9
3 Princípios................................................................................................................................................. 14
4 Estrutura .................................................................................................................................................. 16

o
ida nic
4.1 Generalidades ..................................................................................................................................... 16

oib tró
4.2 Mandato e compromisso .................................................................................................................... 17
pr lec
4.3 Conceção da estrutura para gerir o risco ......................................................................................... 17
ão o e

4.3.1 Compreensão da organização e do seu contexto ........................................................................... 17

uç ent

4.3.2 Estabelecimento da política da gestão do risco ............................................................................. 18

pr u m

4.3.3 Responsabilização............................................................................................................................ 18
re doc

4.3.4 Integração nos processos organizacionais ..................................................................................... 18

od

4.3.5 Recursos ........................................................................................................................................... 19

IP de

4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos....................................... 19

© sã o
Q

4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos ...................................... 19

es

4.4 Implementação da gestão do risco .................................................................................................... 20

pr
Im

4.4.1 Implementação da estrutura para gerir o risco ............................................................................ 20

4.4.2 Implementação do processo da gestão do risco ............................................................................ 20
4.5 Monitorização e revisão da estrutura ............................................................................................... 20
4.6 Melhoria contínua da estrutura ........................................................................................................ 21
5 Processo................................................................................................................................................... 21
5.1 Generalidades ..................................................................................................................................... 21
5.2 Comunicação e consulta ..................................................................................................................... 22
5.3 Estabelecimento do contexto ............................................................................................................. 22
5.3.1 Generalidades .................................................................................................................................. 22
5.3.2 Estabelecimento do contexto externo............................................................................................. 22
5.3.3 Estabelecimento do contexto interno ............................................................................................. 23
NP
ISO 31000
2012

p. 4 de 31

5.3.4 Estabelecimento do contexto do processo da gestão do risco ...................................................... 23

5.3.5 Definição dos critérios do risco ...................................................................................................... 24
5.4 Apreciação do Risco ........................................................................................................................... 25
5.4.1 Generalidades .................................................................................................................................. 25
5.4.2 Identificação do Risco ..................................................................................................................... 25
5.4.3 Análise do Risco ............................................................................................................................... 25

o
5.4.4 Avaliação do Risco........................................................................................................................... 26

ida nic
5.5 Tratamento do Risco .......................................................................................................................... 26

oib tró
5.5.1 Generalidades ..................................................................................................................................
pr lec 26
5.5.2 Seleção de opções de tratamento do risco...................................................................................... 27
ão o e

5.5.3 Preparação e implementação de planos de tratamento do risco ................................................. 27

uç ent

5.6 Monitorização e revisão ..................................................................................................................... 28

pr u m

5.7 Registo do processo de gestão do risco ............................................................................................. 28

re doc
od

Anexo A (informativo) Atributos da gestão do risco reforçado................................................................ 29

IP de

Bibliografia................................................................................................................................................. 31
© sã o
Q
es
pr
Im
 NP
ISO 31000
2012

p. 5 de 31

Preâmbulo nacional
A presente Norma é idêntica à versão da ISO 31000:2009, “Risk management – Principles and guidelines”.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos análogos. A ISO não deve ser considerada responsável por não ter
identificado tais direitos de propriedade intelectual nem por não ter avisado da sua existência.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete de gestão técnica da ISO relativo à Gestão do
Risco.
Esta Norma contém cor. A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta
Norma.

o
ida nic
A presente Norma foi preparada pela Comissão Técnica de Normalização CT 180 “Gestão do risco”, cuja

oib tró
coordenação é assegurada pelo Organismo de Normalização Sectorial, Associação Portuguesa para a
Qualidade (ONS/APQ). pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im
NP
ISO 31000
2012

p. 6 de 31

Introdução
As organizações de todos os tipos e dimensões enfrentam fatores e influências, internos e externos, que
tornam incerto se, e quando, atingirão os seus objetivos. O efeito que esta incerteza tem nos objetivos de uma
organização designa-se por “risco”.
Todas as atividades de uma organização envolvem risco. As organizações gerem o risco mediante a sua
identificação e análise, após o que avaliam a necessidade da sua alteração, tratando-o de forma a satisfazer os
seus critérios de risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que estão a alterá-lo, de forma a assegurarem que não é
necessário um tratamento de risco suplementar. Esta Norma descreve detalhadamente este processo
sistemático e lógico.

o
ida nic
Apesar de todas as organizações gerirem o risco de alguma forma, esta Norma estabelece um conjunto de

oib tró
princípios que deverão ser cumpridos de modo a tornar eficaz a gestão do risco. Esta Norma recomenda que
as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo é
pr lec
integrar o processo para gerir o risco na governação, estratégia e planeamento, gestão, processos de reporte,
políticas, valores e cultura.
ão o e

A gestão do risco pode ser aplicada a uma organização na sua globalidade, nas suas diversas áreas e níveis, a
uç ent

qualquer momento, bem como a funções, projetos e atividades específicos.

pr u m

Se bem que a prática da gestão do risco tenha vindo a ser desenvolvida ao longo do tempo e em vários
sectores de modo a responder a necessidades diversas, a adoção de processos consistentes numa estrutura
re doc

abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od

toda a organização. A abordagem genérica descrita nesta Norma fornece os princípios e as linhas de
IP de

orientação para a gestão de qualquer tipo de risco de modo sistemático, transparente e credível, qualquer que
seja o âmbito e o contexto.
© sã o
Q

Cada sector específico ou aplicação particular da gestão do risco implicam necessidades, públicos, perceções
e critérios próprios. Por esta razão uma característica essencial desta Norma é a inclusão do “estabelecimento
es

do contexto” como a atividade inicial do processo genérico de gestão do risco. O estabelecimento do

pr

contexto vai permitir apreender os objetivos da organização, o ambiente em que procura atingi-los, as suas
Im

partes interessadas e a diversidade dos critérios de risco – que na sua globalidade ajudarão a identificar e
apreciar a natureza e complexidade dos seus riscos.
As relações entre os princípios para a gestão do risco, a estrutura onde este ocorre e o processo de gestão do
risco descritos nesta Norma estão representados na Figura 1.
A implementação e manutenção da gestão do risco de acordo com esta Norma permitem a uma organização,
por exemplo:
− aumentar a verosimilhança de atingir os seus objetivos;
− encorajar a gestão proativa;
− estar ciente da necessidade de identificar e tratar os riscos em toda a organização;
− a identificação das oportunidades e ameaças;
− cumprir as obrigações legais e regulamentares e normas internacionais aplicáveis;
− melhorar os relatos obrigatórios e voluntários;
− melhorar a governação;
 NP
ISO 31000
2012

p. 7 de 31

− aumentar a confiança das partes interessadas e a credibilidade da organização;

− estabelecer uma base fiável para tomada de decisões e planeamento;
− melhorar os controlos;
− afetar e utilizar os recursos no tratamento do risco de forma eficaz;
− melhorar a eficácia e a eficiência operacionais;
− reforçar o desempenho no domínio da segurança e saúde, bem como na proteção ambiental;
− melhorar a prevenção de perdas e a gestão de incidentes;

o
− minimizar as perdas;

ida nic
− melhorar a aprendizagem organizacional, e
− melhorar a resiliência organizacional.
oib tró
pr lec
Esta Norma Internacional pretende responder às necessidades de uma grande diversidade de partes
ão o e

interessadas, incluindo:
uç ent

a) os responsáveis pela elaboração da política de gestão do risco dentro da sua organização;

pr u m

b) as pessoas encarregadas de assegurar que o risco é gerido eficazmente na organização como um todo, ou
numa área, projeto ou atividade específicos;
re doc

c) as pessoas que necessitam de avaliar a eficácia da organização para gerir o risco;

od

d) os que elaboram normas, guias, procedimentos e regras de boas práticas, que definem, total ou
IP de

parcialmente, como deverá ser gerido o risco no contexto específico destes documentos.
© sã o

As práticas e processos atuais da gestão de muitas organizações incluem componentes de gestão do risco,
Q

tendo muitas organizações já adotado um processo formal de gestão do risco, para determinados tipos de
es

risco ou circunstâncias particulares. Nestes casos, uma organização pode decidir realizar uma revisão crítica
pr

dos seus processos e práticas existentes à luz desta Norma.

Im

Nesta Norma os termos ou expressões “gestão do risco” e “gerir o risco” são ambos utilizados. Em geral a
“gestão do risco” refere-se à arquitetura (princípios, estrutura e processo) para gerir os riscos com eficácia,
enquanto que “gerir o risco” se refere à aplicação dessa arquitetura a riscos particulares.
 NP

2012

p. 8 de 31
ISO 31000

a) Cria valor

b) Parte integrante de todos Mandato e

os processos organizacionais compromisso
(4.2)
Estabelecimento do contexto
c) Parte da tomada de Im (5.3)
decisão pr
d) Considera explicitamente Apreciação do risco (5.4)
es
a incerteza Conceção da estrutura
© sã o para gerir o risco
e) Sistemática, estruturada e IP de (4.3) Identificação do risco (5.4.2)
atempada Q
f) Baseia-se na melhor
re doc
informação disponível Melhoria
Implementação
pr u m
contínua da
da gestão do risco Análise do risco (5.4.3)
od
estrutura
g) Feita à medida (4.4)
(4.6)
uç ent
h) Tem em conta fatores
ão o e
humanos e culturais

Comunicação e consulta (5.2)

Monitorização e revisão (5.6)

pr lec
i) Transparente e participada Avaliação do risco (5.4.4)
oib tró
Monitorização
ida nic
j) Dinâmica, iterativa e e revisão da o
reativa à mudança estrutura (4.5)

k) Facilita a melhoria Tratamento do risco (5.5)

contínua e a melhoria da
organização

Princípios
(secção 3) Estrutura Processo
(secção 4) (secção 5)

Figura 1 – Relações entre os princípios, a estrutura e o processo da gestão do risco

 NP
ISO 31000
2012

p. 9 de 31

1 Objetivo e campo de aplicação

Esta Norma fornece princípios e linhas de orientação gerais sobre a gestão do risco.
A presente Norma pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação,
grupo ou indivíduo. Por esta razão a presente Norma não é específica de qualquer indústria ou setor.
NOTA: Por conveniência, todos os utilizadores da presente Norma são referidos pelo termo genérico de “organização”.

A presente Norma pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de
atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e
ativos.

o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as

ida nic
consequências sejam positivas ou negativas.

oib tró
Apesar da presente Norma fornecer linhas de orientação gerais, não se destina a promover a uniformidade da
gestão do risco nas organizações. A conceção e a implementação dos planos e estruturas de gestão do risco
pr lec
necessitarão de ter em conta as diversas necessidades de uma organização específica, dos seus objetivos,
ão o e

contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ativos e práticas específicas
utilizadas.
uç ent

Pretende-se que esta Norma seja utilizada na harmonização de processos da gestão do risco em normas
pr u m

existentes e futuras. A presente Norma permite uma abordagem comum de apoio às normas relativas a riscos
e/ou sectores específicos, não as substituindo.
re doc
od

A presente Norma não se destina a fins de certificação.

IP de

2 Termos e definições
© sã o
Q

Para os fins da presente Norma aplicam-se os seguintes termos e definições:

es

2.1 risco
pr

Efeito da incerteza na consecução dos objetivos.

Im

NOTA 1: Um efeito é um desvio, positivo ou negativo, relativamente ao esperado.

NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de saúde e segurança, ambientais, entre outros) e podem ser
aplicados a diferentes níveis (estratégico, em toda a organização, de projeto, de produto e de processo).
NOTA 3: O risco é frequentemente caracterizado pela referência aos eventos (2.17) potenciais e consequências (2.18), ou à
combinação de ambos.
NOTA 4: O risco é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das
circunstâncias) e a respetiva probabilidade (2.19) de ocorrência.
NOTA 5: A incerteza é o estado, ainda que parcial, de deficiência de informação relacionado com a compreensão ou conhecimento
de um evento, sua consequência ou probabilidade.

[Guia ISO 73:2009, definição 1.1]

2.2 gestão do risco

Atividades coordenadas para dirigir e controlar uma organização no que respeita ao risco (2.1).
[Guia ISO 73:2009, definição 2.1]
NP
ISO 31000
2012

p. 10 de 31

2.3 estrutura da gestão do risco

Conjunto de elementos que fornecem os fundamentos e disposições organizacionais, para conceber,
implementar, monitorizar (2.28), rever e melhorar continuamente a gestão do risco (2.2), em toda a
organização.
NOTA 1: Os fundamentos incluem a política, os objetivos, o mandato e o compromisso para gerir o risco (2.1).
NOTA 2: As disposições organizacionais incluem os planos, as relações, a responsabilização, os recursos, os processos e as
atividades.
NOTA 3: A estrutura da gestão do risco é parte integrante das políticas estratégicas e operacionais globais e das práticas da
organização.

[Guia ISO 73:2009, definição 2.1.1]

o
ida nic
2.4 política da gestão do risco

oib tró
Declaração das intenções gerais e da orientação de uma organização em relação à gestão do risco (2.2).
[Guia ISO 73:2009, definição 2.1.2]
pr lec
ão o e

2.5 atitude face ao risco

Abordagem da organização para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco (2.1).
uç ent

[Guia ISO 73:2009, definição 3.7.1.1]

pr u m

2.6 plano da gestão do risco

re doc

Programa incluído na estrutura da gestão do risco (2.2) que especifica a abordagem, os componentes da
od

gestão e os recursos a aplicar à gestão do risco (2.1).

IP de

NOTA 1: Os elementos de gestão incluem tipicamente os procedimentos, as práticas, a atribuição de responsabilidades, a sequência
e a calendarização das atividades.
© sã o
Q

NOTA 2: O plano da gestão do risco poderá ser aplicado a um produto, processo ou projeto específicos, a parte ou à totalidade de
uma organização.
es

[Guia ISO 73:2009, definição 2.1.3]

pr
Im

2.7 dono do risco

Pessoa ou entidade com a responsabilização e com a autoridade para gerir o risco (2.1).
[Guia ISO 73:2009, definição 3.5.1.5]

2.8 processo da gestão do risco

Aplicação sistemática de políticas, procedimentos e práticas de gestão às atividades de comunicação,
consulta, estabelecimento do contexto e identificação, análise, avaliação, tratamento, monitorização (2.28) e
revisão do risco (2.1).
[Guia ISO 73:2009, definição 3.1]

2.9 estabelecimento do contexto

Definição dos parâmetros externos e internos a ter em consideração quando se gere o risco e se define o
âmbito e o critério do risco (2.22), para a política de gestão do risco (2.4).
[Guia ISO 73:2009, definição 3.3.1]
 NP
ISO 31000
2012

p. 11 de 31

2.10 contexto externo

Ambiente externo no qual a organização procura atingir os seus objetivos.
NOTA: O contexto externo pode incluir:
− o ambiente cultural, social, político, legal, regulamentar, financeiro, tecnológico, económico, natural e concorrencial, a nível
internacional, nacional, regional ou local;
− os fatores chave e tendências com impacto nos objetivos da organização; e
− as relações com as partes interessadas (2.13) externas, as suas perceções e valores.

[Guia ISO 73:2009, definição 3.3.1.1]

o
2.11 contexto interno

ida nic
Ambiente interno no qual a organização procura atingir os seus objetivos.

oib tró
NOTA: O contexto interno pode incluir:
− a governação, a estrutura organizacional, as funções e a responsabilização;
pr lec
− as políticas, os objetivos e as estratégias implementadas para os atingir;
ão o e

− as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
− os sistemas de informação, os fluxos de informação e processos de tomada de decisão (formais e informais);
uç ent

− as relações com as partes interessadas internas, as suas perceções e valores;

pr u m

− a cultura da organização;
− as normas, linhas de orientação e modelos adotados pela organização;
re doc
od

− a forma e extensão das relações contratuais.

IP de

[Guia ISO 73:2009, definição 3.3.1.2]

© sã o

2.12 comunicação e consulta

Q

Processos contínuos e iterativos que uma organização conduz de forma a fornecer, partilhar ou obter
es

informações, e para se envolver em diálogo com as partes interessadas (2.13), no que respeita à gestão do
risco (2.1).
pr
Im

NOTA 1: A informação pode estar relacionada com a existência, natureza, forma, verosimilhança (2.19), significância, avaliação,
aceitabilidade, tratamento ou outros aspetos da gestão do risco.
NOTA 2: A consulta é um processo de comunicação informada nos dois sentidos entre uma organização e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma decisão ou ser definida uma orientação sobre esse assunto. A
consulta é:
− um processo que causa impacto na decisão mais pela influência do que pelo poder, e;
− um contributo para a tomada de decisão, não uma tomada de decisão conjunta.

[Guia ISO 73:2009, definição 3.2.1]

2.13 partes interessadas

Pessoa ou organização que pode afetar, ser afetada ou sentir-se afetada por uma decisão ou atividade.
NOTA: Quem exerce o poder de decisão pode ser uma parte interessada.

[Guia ISO 73:2009, definição 3.2.1.1]

2.14 apreciação do risco

Processo global de identificação do risco (2.15), de análise do risco (2.21) e de avaliação do risco (2.24).
[Guia ISO 73:2009, definição 3.4.1]
NP
ISO 31000
2012

p. 12 de 31

2.15 identificação do risco

Processo de pesquisa, de reconhecimento e de descrição dos riscos (2.1).
NOTA 1: A identificação do risco envolve a identificação das fontes do risco (2.16), dos eventos (2.17), respetivas causas e
potenciais consequências (2.18).
NOTA 2: A identificação do risco pode recorrer a dados históricos, a análises teóricas, a opiniões informadas e de especialistas e
ter em consideração as necessidades das partes interessadas (2.13).

[Guia ISO 73:2009, definição 3.5.1]

2.16 fonte do risco

O elemento que, por si só ou em combinação com outros, tem o potencial intrínseco de originar um risco

o
(2.1).

ida nic
NOTA: Uma fonte do risco pode ser tangível ou intangível.

oib tró
[Guia ISO 73:2009, definição 3.5.1.2] pr lec
2.17 evento
ão o e

Ocorrência ou alteração de um conjunto particular de circunstâncias.

uç ent

NOTA 1: Um evento pode consistir numa ou mais ocorrências, e pode ter várias causas.
NOTE 2: Um evento pode consistir em algo que não ocorra.
pr u m

NOTE 3: Um evento pode algumas vezes ser referido como um “incidente” ou “acidente”.
re doc

NOTE 4: Um evento sem consequências (2.18) pode também ser referido como “quase acidente”, “incidente” ou “quase sucesso”.
od

[Guia ISO 73:2009, definição 3.5.1.3]

IP de

2.18 consequência
© sã o
Q

Resultado de um evento (2.17) que afeta objetivos.

es

NOTA 1: Um evento pode levar a um conjunto de consequências.

NOTA 2: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
pr
Im

NOTA 3: As consequências pode ser expressas qualitativa ou quantitativamente.

NOTA 4: As consequências iniciais pode intensificar-se através de reações em cadeia.

[Guia ISO 73:2009, definição 3.6.1.3]

2.19 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gestão do risco, a palavra verosimilhança é utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemáticos [como uma probabilidade (2.19) ou uma frequência num determinado período de
tempo].
NOTA 2: O termo inglês “likelihood” (verosimilhança) não tem uma equivalência direta em algumas línguas; em vez disso, é
frequentemente utilizado como termo equivalente “probability” (probabilidade). No entanto, em inglês, o termo “probability” está
muitas vezes limitado à sua interpretação matemática. Por consequência, na terminologia da gestão do risco, o termo “likelihood” é
utilizado com a finalidade de que deverá ter a mesma interpretação lata que o termo “probability” tem, em muitas outras línguas
que não o inglês.

[Guia ISO 73:2009, definição 3.6.1.1]

 NP
ISO 31000
2012

p. 13 de 31

2.20 perfil do risco

Descrição de um qualquer conjunto de riscos (2.1).
NOTA: O conjunto de riscos pode incluir os riscos que digam respeito a toda a organização, a parte da organização ou ao que
estiver definido.

[Guia ISO 73:2009, definição 3.8.2.5]

2.21 análise do risco

Processo destinado a compreender a natureza do risco (2.1) e a determinar o nível do risco (2.23).
NOTA 1: A análise do risco fornece a base para a avaliação do risco (2.24) e as decisões sobre o tratamento do risco (2.25).

o
NOTA 2: A análise do risco inclui a estimação do risco.

ida nic
[Guia ISO 73:2009, definição 3.6.1]

oib tró
2.22 critérios do risco pr lec
Termos de referência em relação aos quais a significância de um risco (2.1) é avaliada.
ão o e

NOTA 1: Os critérios do risco são baseados nos objetivos da organização e nos contextos externo (2.10) e interno (2.11).
NOTA 2: Os critérios do risco podem resultar de normas, leis, políticas e de outros requisitos.
uç ent

[Guia ISO 73:2009, definição 3.3.1.3]

pr u m

2.23 nível do risco

re doc

Magnitude de um risco (2.1) ou combinação de riscos, expressa em termos da combinação de consequências

od

(2.18) e respetivas verosimilhanças (2.19).

IP de

[Guia ISO 73:2009, definição 3.6.1.8]

© sã o
Q

2.24 avaliação do risco

Processo de comparação dos resultados da análise do risco (2.21) com os critérios do risco (2.22) para
es

determinar se o risco (2.1) e/ou a respetiva magnitude é aceitável ou tolerável.

pr

NOTA: A avaliação do risco apoia a decisão sobre o tratamento do risco (2.25).

Im

[Guia ISO 73:2009, definição 3.7.1]

2.25 tratamento do risco

Processo para modificar o risco (2.1).
NOTA 1: O tratamento do risco pode envolver o seguinte:
− evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco;
− assumir ou aumentar o risco de forma a perseguir uma oportunidade;
− remover a fonte do risco (2.16);
− alterar a verosimilhança (2.19);
− alterar as consequências (2.18);
− partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
− reter o risco com base em decisão informada.
NOTA 2: Os tratamentos do risco que lidam com consequências negativas, são por vezes referidos como “mitigação do risco”,
“eliminação do risco”, “prevenção do risco” e “redução do risco”.
NP
ISO 31000
2012

p. 14 de 31

NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.

[Guia ISO 73:2009, definição 3.8.1]

2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, política, dispositivo, prática ou outra ação que modifique o risco.
NOTA 2: O controlo poderá nem sempre produzir o efeito modificador pretendido ou assumido.

[Guia ISO 73:2009, definição 3.8.1.1]

o
2.27 risco residual

ida nic
Risco (2.1) que subsiste após o tratamento do risco (2.25).

oib tró
NOTA 1: Um risco residual pode incluir um risco não identificado.
NOTA 2: Um risco residual pode também ser designado como “risco retido”.
pr lec
[Guia ISO 73:2009, definição 3.8.1.6]
ão o e

2.28 monitorização
uç ent

Verificação, supervisão, observação crítica ou a determinação do estado, de modo a identificar

continuadamente alterações do nível de desempenho requerido ou esperado.
pr u m

NOTA: A monitorização pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo de gestão do risco (2.8), ao
re doc

risco (2.1) ou ao controlo (2.26) do risco.

od

[Guia ISO 73:2009, definição 3.8.2.1]

IP de

2.29 revisão
© sã o

Atividade levada a cabo para determinar a adaptação, adequação e a eficácia, da matéria visada para atingir
Q

os objetivos estabelecidos.
es

NOTA: A revisão pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo de gestão do risco (2.8), ao risco ou ao
pr

controlo (2.26) de um risco.

Im

[Guia ISO 73:2009, definição 3.8.2.2]

3 Princípios
Para que a gestão do risco seja eficaz, uma organização deverá, a todos os níveis, atuar em conformidade
com os princípios abaixo referidos.
a) A gestão do risco cria e protege o valor.

A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho, como por
exemplo, na saúde e segurança, security*), na conformidade legal e regulamentar, na aceitação pública, na proteção
ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das operações, na governação e reputação.

*)
“security” no original em inglês, pode entender-se fundamentalmente como “proteção e preservação das pessoas, bens e
informação quer tangível quer intangível” (nota nacional).
 NP
ISO 31000
2012

p. 15 de 31

b) A gestão do risco é parte integrante de todos os processos organizacionais.

A gestão do risco não é uma atividade isolada, separada das atividades principais e dos processos de uma
organização. A gestão do risco faz parte das responsabilidades da gestão e é uma parte integrante de todos
os processos organizacionais, incluindo o planeamento estratégico e todos os processos de gestão de
projetos e de gestão da mudança.
c) A gestão do risco é parte da tomada de decisão.
A gestão do risco apoia os decisores na escolha informada, na priorização das ações e na diferenciação
entre linhas de ação alternativas.
d) A gestão do risco considera explicitamente a incerteza.

o
ida nic
A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.

oib tró
e) A gestão do risco é sistemática, estruturada e atempada.
pr lec
A abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e para
ão o e

resultados consistentes, comparáveis e fiáveis.

uç ent

f) A gestão do risco baseia-se na melhor informação disponível.

pr u m

As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como dados
históricos, experiência, retorno da informação das partes interessadas, observações, previsões e pareceres
re doc

de especialistas. No entanto, os decisores deverão informar-se e ter em conta quaisquer limitações dos
od

dados ou modelos utilizados ou a possibilidade de existência de divergências entre especialistas.

IP de

g) A gestão do risco é feita à medida.

A gestão do risco é alinhada com os contextos externo e interno e com o perfil do risco da organização.
© sã o
Q

h) A gestão do risco tem em conta fatores humanos e culturais.

es

A gestão do risco reconhece as competências, perceções e intenções de pessoas externas e internas à

pr

organização que possam facilitar ou impedir a consecução dos objetivos da organização.

Im

i) A gestão do risco é transparente e participada.

O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os
níveis da organização, assegura que a gestão do risco permanece pertinente e atualizada. O envolvimento
permite também, que as partes interessadas sejam devidamente representadas e que os seus pontos de
vista sejam tidos em conta na determinação dos critérios do risco.
j) A gestão do risco é dinâmica, iterativa e reativa à mudança.
A gestão do risco deteta e responde, continuamente, à mudança. À medida que ocorrem eventos externos
e internos, que o contexto e o conhecimento se alteram e que têm lugar a monitorização e a revisão,
emergem novos riscos, alguns alteram-se e outros desaparecem.
k) A gestão do risco facilita a melhoria contínua da organização.
As organizações deverão elaborar e implementar estratégias visando melhorar a maturidade da sua gestão
do risco, assim como em todos os outros aspetos da organização.
O Anexo A disponibiliza aconselhamento suplementar para as organizações que desejem gerir o risco de
forma mais eficaz.
NP
ISO 31000
2012

p. 16 de 31

4 Estrutura

4.1 Generalidades
O sucesso da gestão do risco dependerá da eficácia da estrutura de gestão em fornecer os fundamentos e as
disposições que permitem a sua integração em todos os níveis da organização. A estrutura apoia uma gestão
eficaz dos riscos no decurso da aplicação do processo de gestão do risco (ver secção 5), em diferentes níveis
e em contextos específicos da organização. A estrutura garante que a informação sobre o risco que decorre
do processo de gestão do risco é corretamente reportada e serve de base à tomada de decisão e à
responsabilização a todos os níveis da organização envolvidos.

o
Esta secção descreve as componentes necessárias da estrutura, para gerir o risco e a forma como se

ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.

oib tró
Mandato e compromisso (4.2)
pr lec
ão o e
uç ent

Conceção da estrutura para gerir o risco (4.3)

pr u m

Compreensão da organização e do seu contexto (4.3.1)

re doc
od

Estabelecimento da política de gestão do risco (4.3.2)

Responsabilização (4.3.3)
IP de

Integração nos processos organizacionais (4.3.4)

© sã o
Q

Recursos (4.3.5)
es

Estabelecimento de mecanismos de comunicação e de relato

internos (4.3.6)
pr
Im

Estabelecimento de mecanismos de comunicação e de relato

externos (4.3.7)

Melhoria contínua da
Implementação da gestão do risco (4.4)
estrutura (4.6)
Implementação da estrutura para gerir o
risco (4.4.1)
Implementação do processo da gestão
do risco (4.4.2)

Monitorização e revisão da estrutura (4.5)

Figura 2 – Relações entre as componentes da estrutura para gerir o risco

 NP
ISO 31000
2012

p. 17 de 31

Esta estrutura não se destina a prescrever um sistema de gestão, mas sim a apoiar a organização, a integrar a
gestão do risco na globalidade do seu sistema de gestão. As organizações deverão, portanto, adaptar as
componentes da estrutura às suas necessidades específicas.
Se as práticas e processos de gestão existentes numa organização incluem componentes da gestão do risco,
ou se a organização já adotou um processo formal de gestão do risco para tipos de situações ou de riscos
específicos, então estes deverão ser revistos de forma crítica e apreciados face à presente Norma , incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequação e eficácia.

4.2 Mandato e compromisso

A introdução da gestão do risco e assegurar a sua contínua eficácia requerem um compromisso forte e

o
ida nic
sustentado por parte da gestão de topo da organização, bem como um planeamento estratégico e rigoroso
para conduzir a um compromisso a todos os níveis. A gestão de topo deverá:

oib tró
− definir e aprovar a política de gestão do risco;
pr lec
− assegurar que a cultura da organização e a sua política de gestão do risco estão alinhadas;
ão o e

− determinar indicadores de desempenho da gestão do risco coerentes com os indicadores de desempenho da

uç ent

organização;
− alinhar os objetivos da gestão do risco com os objetivos e estratégias da organização;
pr u m

− assegurar a conformidade legal e regulamentar;

re doc
od

− atribuir responsabilizações e responsabilidades aos níveis apropriados da organização;

− assegurar que os recursos necessários são alocados à gestão do risco;
IP de

− comunicar as vantagens da gestão do risco a todas as partes interessadas;

© sã o
Q

− assegurar que a estrutura para gerir o risco se mantém apropriada.

es
pr

4.3 Conceção da estrutura para gerir o risco

Im

4.3.1 Compreensão da organização e do seu contexto

Antes de iniciar a conceção e implementação da estrutura para gerir o risco, é importante avaliar e
compreender o contexto interno e externo da organização, dado que podem influenciar significativamente a
conceção da estrutura.
A avaliação do contexto externo de uma organização poderá incluir, nomeadamente:
a) envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural e
competitiva, quer ao nível internacional, nacional, regional ou local;
b) fatores chave e tendências que tenham impacto sobre os objetivos da organização; e
c) relações com as partes interessadas externas, suas perceções e seus valores.
A avaliação do contexto interno de uma organização poderá incluir, nomeadamente:
− governação, estrutura organizacional, funções e responsabilizações;
− políticas, objetivos e as estratégias implementadas para os alcançar;
NP
ISO 31000
2012

p. 18 de 31

− capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
− sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− relações com as partes interessadas internas, suas perceções e seus valores;
− cultura da organização;
− normas, linhas de orientação e modelos adotados pela organização; e
− forma e extensão das relações contratuais.

o
4.3.2 Estabelecimento da política da gestão do risco

ida nic
A política da gestão do risco deverá estabelecer de forma clara os objetivos e o compromisso da organização,

oib tró
em matéria de gestão do risco e tipicamente aborda o seguinte:
pr lec
− a fundamentação da organização para gerir o risco;
ão o e

− ligações entre os objetivos e as políticas da organização e a política da gestão do risco;

− responsabilizações e responsabilidades para gerir o risco;
uç ent

− a forma como se lida com os conflitos de interesses;

pr u m

− compromisso em disponibilizar os recursos necessários para apoiar as pessoas responsabilizáveis e

re doc

responsáveis por gerir o risco;

od

− a forma como o desempenho da gestão do risco será medido e relatado; e

IP de

− o compromisso para rever e melhorar a política e a estrutura da gestão do risco, periodicamente e em

© sã o
Q

resposta a um evento ou alteração de circunstâncias.

es

A política de gestão do risco deverá ser comunicada de forma apropriada.

pr

4.3.3 Responsabilização
Im

A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para gerir
o risco, incluindo implementar e manter o processo de gestão do risco e assegurar a adequação, a eficácia e a
eficiência de quaisquer controlos. Isto, poderá ser facilitado:
− identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos;
− identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para
gerir o risco;
− identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da gestão
do risco;
− estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a
um nível superior;
− assegurando níveis de reconhecimento apropriados.

4.3.4 Integração nos processos organizacionais

A gestão do risco deverá ser integrada em todos os processos e práticas da organização, de modo a ser
pertinente, eficaz e eficiente. O processo de gestão do risco deverá tornar-se parte e não ser separado desses
 NP
ISO 31000
2012

p. 19 de 31

processos organizacionais. Em particular, a gestão do risco deverá ser integrada no desenvolvimento da

política, no planeamento estratégico e do negócio e na sua revisão, e nos processos de gestão da mudança.
Deverá existir um plano de gestão do risco para toda a organização de modo a assegurar que a política da
gestão do risco é implementada e que a gestão do risco é integrada em todos os processos e práticas da
organização. O plano de gestão do risco poderá ser integrado noutros planos organizacionais, como por
exemplo o plano estratégico.

4.3.5 Recursos
A organização deverá afetar os recursos necessários à gestão do risco.

o
Deverá ser tido em conta:

ida nic
− pessoas, aptidões, experiência e competências;

oib tró
− recursos necessários a cada etapa do processo de gestão do risco;
pr lec
− processos, métodos e ferramentas da organização a serem utilizados para gerir o risco;
ão o e

− processos e procedimentos documentados;

uç ent

− sistemas de gestão da informação e do conhecimento;

pr u m

− programas de formação.
re doc

4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos

od

A organização deverá estabelecer e implementar mecanismos de comunicação e de relato internos para

IP de

apoiar e encorajar a responsabilização e a apropriação do risco. Estes mecanismos deverão assegurar:

© sã o

− a comunicação apropriada dos componentes chave da estrutura da gestão do risco e de qualquer

Q

modificação subsequente;
es

− a existência de relatos internos adequados, relativos à estrutura da gestão do risco, à sua eficácia e aos
pr

seus resultados;
Im

− a disponibilidade de informação pertinente, resultante da aplicação da gestão do risco, nos níveis e no

tempo apropriados;
− a existência de processos de consulta das partes interessadas internas.
Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações
relativas ao risco, provenientes de diversas fontes, e poderá ter necessidade de considerar a sensibilidade da
informação.

4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos

A organização deverá elaborar e implementar um plano, quanto ao modo como comunicará com as partes
interessadas externas. Tal deverá ter em consideração:
− o envolvimento das partes interessadas externas apropriadas e a garantia de uma troca eficaz de
informação;
− os relatos externos para cumprimento dos requisitos legais, regulamentares e da governação;
− providenciar o retorno e o relato da comunicação e consulta;
NP
ISO 31000
2012

p. 20 de 31

− utilizar a comunicação para criar confiança na organização;

− comunicar com as partes interessadas na ocorrência de uma crise ou contingência.
Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações
relativas ao risco, provenientes de diversas fontes, que poderão ter necessidade de considerar a sensibilidade
da informação.

4.4 Implementação da gestão do risco

4.4.1 Implementação da estrutura para gerir o risco

o
Para a implementação da estrutura para gerir o risco, a organização deverá:

ida nic
− definir um calendário apropriado e uma estratégia adequada para a implementação da estrutura;

oib tró
− aplicar a política e o processo da gestão do risco aos processos organizacionais;
pr lec
− cumprir os requisitos legais e regulamentares;
ão o e

− assegurar que a tomada de decisão, incluindo o desenvolvimento e estabelecimento dos objetivos, está
uç ent

alinhada com os resultados dos processos da gestão do risco;

pr u m

− realizar sessões de informação e de formação;

− comunicar e consultar com as partes interessadas,, de modo a assegurar que a sua estrutura de gestão do
re doc
od

risco se mantém apropriada.

IP de

4.4.2 Implementação do processo da gestão do risco

© sã o

A gestão do risco deverá ser implementada, assegurando que o processo da gestão do risco descrito na
Q

Secção 5, é aplicado através de um plano de gestão do risco, a todos os níveis e funções da organização
es

envolvidos, como parte das suas práticas e processos.

pr
Im

4.5 Monitorização e revisão da estrutura

De modo a assegurar que a gestão do risco é eficaz e continua a apoiar o desempenho organizacional, a
organização deverá:
− medir o desempenho da gestão do risco face a indicadores revistos periodicamente, quanto à sua
adequação;
− medir periodicamente o progresso e os desvios em relação ao plano de gestão do risco;
− rever periodicamente se a estrutura, a política e o plano de gestão do risco continuam apropriados face ao
contexto interno e externo da organização;
− elaborar relatórios sobre o risco, o progresso do plano de gestão do risco e como a política de gestão do
risco é seguida; é
− rever a eficácia da estrutura da gestão do risco.
 NP
ISO 31000
2012

p. 21 de 31

4.6 Melhoria contínua da estrutura

As decisões sobre o modo como a estrutura, a política e o plano da gestão do risco deverão ser melhorados,
podem ser tomadas com base nos resultados da monitorização e das revisões. Estas decisões deverão
conduzir a melhorias da gestão do risco e da cultura da gestão do risco da organização.

5 Processo
5.1 Generalidades

O processo de gestão do risco deverá ser:

o
ida nic
− uma parte integrante da gestão;

oib tró
− integrado na cultura e práticas organizacionais;
pr lec
− feito à medida dos processos de negócio da organização.
ão o e

O processo de gestão do risco é ilustrado na Figura 3 e compreende as atividades descritas nas secções 5.2 a
uç ent

5.6.
pr u m
re doc

Estabelecimento do contexto (5.3)

od
IP de

Apreciação do risco (5.4)

© sã o
Q

Identificação do risco (5.4.2)

es
pr

Comunicação e Monitorização e
Im

consulta (5.2) revisão (5.6)

Análise do risco (5.4.3)

Avaliação do risco (5.4.4)

Tratamento do risco (5.5)

Figura 3 − Processo de gestão do risco

NP
ISO 31000
2012

p. 22 de 31

5.2 Comunicação e consulta

A comunicação com e a consulta às partes interessadas, internas e externas, deverão ocorrer durante todas as
fases do processo da gestão do risco.
Desta forma, os planos para comunicação e consulta deverão ser desenvolvidos numa fase inicial do
processo. Estes planos deverão abordar as questões relacionadas com o próprio risco, as suas causas, as suas
consequências (se conhecidas) e as medidas que estão a ser tomadas para o tratar. Uma eficaz comunicação e
consulta, interna e externa, deverá ter lugar de forma a assegurar que os responsáveis pela implementação do
processo da gestão do risco e as partes interessadas compreendem os fundamentos das decisões tomadas, e as
razões pelas quais são necessárias ações específicas.

o
Uma abordagem da consulta em equipa poderá:

ida nic
− ajudar a estabelecer o contexto de forma apropriada;

oib tró
− assegurar que os interesses das partes interessadas são compreendidos e considerados;
pr lec
− ajudar a garantir que os riscos são identificados de forma adequada;
ão o e

− reunir diferentes áreas de especialização para analisar riscos;

uç ent

− assegurar que diferentes pontos de vista são considerados de forma apropriada na definição dos critérios
de risco e na avaliação dos riscos;
pr u m

− garantir a adesão e o apoio a um plano de tratamento do risco;

re doc
od

− potenciar a gestão apropriada da mudança durante o processo de gestão do risco;

− desenvolver um plano adequado de comunicação e consulta interna e externa.
IP de

A comunicação e consulta com as partes interessadas são importantes, uma vez que estas produzem juízos
© sã o
Q

sobre risco baseados nas suas perceções do risco. Estas perceções do risco podem variar devido a diferenças
nos valores, necessidades, pressupostos, conceitos e preocupações das partes interessadas. Dado que os seus
es

pontos de vista podem ter um impacto significativo nas decisões tomadas, as perceções das partes
pr

interessadas deverão ser identificadas, registadas e tidas em consideração no processo de tomada de decisão.
Im

A comunicação e a consulta deverão facilitar trocas de informação verdadeira, pertinente, precisa e

compreensível, respeitando os aspetos de confidencialidade e de integridade pessoal.

5.3 Estabelecimento do contexto

5.3.1 Generalidades
Através do estabelecimento do contexto, a organização enuncia os seus objetivos, define os parâmetros
internos e externos a ter em consideração quando se gere o risco bem, como o âmbito e os critérios do risco
para as restantes partes do processo. Se bem que muitos destes parâmetros sejam similares aos considerados
na conceção da estrutura da gestão do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo da
gestão do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o âmbito do processo específico da gestão do risco.

5.3.2 Estabelecimento do contexto externo

O contexto externo é o ambiente externo no qual a organização procura atingir os seus objetivos.
 NP
ISO 31000
2012

p. 23 de 31

A compreensão do contexto externo é importante para assegurar que os objetivos e preocupações das partes
interessadas externas, são tidos em consideração aquando do desenvolvimento dos critérios do risco. O
contexto externo é baseado no contexto global da organização, mas com detalhes específicos dos exigências
legais e requisitos regulamentares, das perceções das partes interessadas e de outros aspetos específicos de
risco inerentes ao âmbito do processo da gestão do risco.
O contexto externo pode incluir, mas não se limita:
− às envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural
e competitiva, seja ao nível internacional, nacional, regional ou local;
− aos fatores chave e tendências com impacto nos objetivos da organização; e

o
− às relações com as partes interessadas externas, suas perceções e valores.

ida nic
oib tró
5.3.3 Estabelecimento do contexto interno
pr lec
O contexto interno é o ambiente interno no qual a organização procura atingir os seus objetivos.
ão o e

O processo de gestão do risco deverá estar alinhado com a cultura, os processos, a estrutura e a estratégia da
organização. O contexto interno é tudo aquilo que no seio da organização pode influenciar a forma como a
uç ent

organização irá gerir o risco. O contexto interno deverá ser estabelecido, porque:
pr u m

a) a gestão do risco ocorre no contexto dos objetivos da organização;

b) os objetivos e os critérios de um projeto, processo ou atividade específicos deverão ser considerados à
re doc
od

luz dos objetivos da organização como um todo;

c) algumas organizações falham no reconhecimento de oportunidades para atingir os seus objetivos
IP de

estratégicos, de um projeto ou negócio e tal afeta a continuidade do compromisso, da credibilidade, da

© sã o

confiança e do valor da organização.

Q

É necessário compreender o contexto interno, o que, sem limitar, pode incluir:

es

− a governação, estrutura organizacional, funções e responsabilizações;

pr

− as políticas, objetivos e as estratégias implementadas para os atingir;

Im

− as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
− as relações com as partes interessadas internas, suas perceções e valores;
− a cultura da organização;
− os sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− as normas, linhas de orientação e modelos adotados pela organização;
− a forma e extensão das relações contratuais.

5.3.4 Estabelecimento do contexto do processo da gestão do risco

Deverão ser estabelecidos os objetivos, as estratégias, o âmbito e os parâmetros das atividades da

organização, ou das partes da organização, onde o processo da gestão do risco está a ser aplicado. A gestão
do risco deverá ser desenvolvida com absoluta necessidade de justificar os recursos utilizados na sua
NP
ISO 31000
2012

p. 24 de 31

implementação. Deverão ser também especificados os recursos requeridos, as responsabilidades e

autoridades e os registos a manter.
O contexto do processo da gestão do risco irá variar de acordo com as necessidades da organização. Pode,
nomeadamente, incluir:
− a definição das metas e objetivos das atividades da gestão do risco;
− a definição das responsabilidades relativas ao processo da gestão do risco;
− a definição do âmbito, bem como, a profundidade e a amplitude das atividades da gestão do risco a serem
desenvolvidas, compreendendo inclusões e exclusões específicas;

o
− a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e local;

ida nic
− a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos

oib tró
ou atividades da organização;
pr lec
− a definição das metodologias da gestão do risco;
ão o e

− a definição da forma como o desempenho e eficácia são avaliados na gestão do risco;

− a identificação e a especificação das decisões que têm que ser tomadas; e
uç ent

− a identificação, âmbito ou enquadramento dos estudos necessários, a sua extensão e objetivos, bem como
pr u m

os recursos necessários para tais estudos.

re doc

A consideração destes e de outros fatores pertinentes, deverá assegurar que a abordagem da gestão do risco
od

adotada seja apropriada às circunstâncias, à organização e aos riscos que estão a afetar a consecução dos seus
IP de

objetivos.
© sã o

5.3.5 Definição dos critérios do risco

Q
es

A organização deverá definir os critérios a serem utilizados para avaliar a significância do risco. Os critérios
deverão refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser impostos por, ou
pr

derivar de, exigências legais e requisitos regulamentares e outros requisitos subscritos pela organização. Os
Im

critérios do risco deverão ser consistentes com a política da gestão do risco da organização (ver 4.3.2), ser
definidos no início de qualquer processo da gestão do risco e continuamente revistos.
Na definição dos critérios do risco, os fatores a considerar deverão incluir o seguinte:
− a natureza e tipos de causas e consequências que podem ocorrer e como são medidas;
− o modo como será definida a verosimilhança;
− o intervalo de tempo associado à verosimilhança e/ou à(s) consequência(s);
− o modo como é determinado o nível do risco;
− os pontos de vista das partes interessadas;
− o nível a partir do qual o risco se torna aceitável ou tolerável;
− a consideração ou não de combinações de múltiplos riscos e, em caso afirmativo, como e quais as
combinações que deverão ser consideradas.
 NP
ISO 31000
2012

p. 25 de 31

5.4 Apreciação do Risco

5.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
NOTA: A ISO/IEC 31010 fornece orientação sobre técnicas de apreciação do risco.

5.4.2 Identificação do Risco

A organização deverá identificar fontes do risco, áreas de impacto, eventos (incluindo alterações das
circunstâncias), respetivas causas e potenciais consequências. O objetivo desta etapa é gerar uma lista
abrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou

o
ida nic
retardar a consecução dos objetivos. É importante identificar os riscos associados ao facto de não se
perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta

oib tró
fase não será incluído em análise posterior.
pr lec
A identificação deverá incluir os riscos cuja fonte esteja ou não sob controlo da organização, ainda que a
fonte ou causa do risco poderão não ser evidentes. A identificação do risco deverá incluir o exame das
ão o e

reações em cadeia, incluindo os efeitos em cascata e cumulativos, de consequências particulares. Deverá

uç ent

ainda considerar um domínio alargado de consequências, ainda que a fonte ou a causa do risco poderão não
ser evidentes. Assim como se identifica o que possa acontecer, é também necessário considerar possíveis
pr u m

causas e cenários que mostrem quais as consequências que podem ocorrer. Todas as causas e consequências
significativas deverão ser consideradas.
re doc
od

A organização deverá utilizar técnicas e ferramentas de identificação de riscos que sejam adequadas aos seus
objetivos e às suas capacidades, assim como aos riscos que enfrenta. Na identificação dos riscos é importante
IP de

dispor de informação pertinente e atualizada. Sempre que possível deverá ser considerada informação de
base apropriada. Na identificação dos riscos deverão ser envolvidas as pessoas com o conhecimento
© sã o
Q

adequado.
es

5.4.3 Análise do Risco

pr

A análise do risco implica desenvolver uma compreensão do risco. A análise do risco fornece uma entrada
Im

para a avaliação do risco e para as decisões quanto à necessidade dos riscos serem tratados, e sobre as
estratégias e métodos mais apropriados para o tratamento do risco. A análise do risco pode também fornecer
uma entrada para a tomada de decisões, onde as escolhas tenham que ser feitas e as opções envolvam
diferentes tipos e níveis de risco.
A análise do risco implica considerar as causas e fontes de risco, as suas consequências positivas e negativas
e a verosimilhança dessas consequências ocorrerem. Deverão ser identificados os fatores que afetam as
consequências e a verosimilhança. O risco é analisado, determinando as consequências e as suas
verosimilhanças e outros atributos do risco. Um evento pode ter múltiplas consequências e pode afetar
múltiplos objetivos. Os controlos existentes e a sua eficácia e eficiência, também deverão ser tidos em
consideração.
O modo como as consequências e a verosimilhança são expressas e o modo como são combinadas para
determinar um nível de risco, deverão refletir o tipo de risco, a informação disponível e o propósito para o
qual a saída da apreciação do risco é para ser utilizada. Tudo isto deverá ser consistente com os critérios do
risco. Também é importante considerar a interdependência dos diferentes riscos e suas fontes.
A confiança na determinação do nível do risco e a sua sensibilidade a condições prévias e pressupostos
deverão ser consideradas na análise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergência de opinião entre especialistas, incerteza, disponibilidade,
NP
ISO 31000
2012

p. 26 de 31

qualidade, quantidade e da continuada pertinência da informação ou limitações na modelação, deverão ser

declarados e podem ser realçados.
A análise do risco pode ser efetuada com graus de detalhe variáveis, dependendo do risco, da finalidade da
análise e da informação, dos dados e recursos disponíveis. A análise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinação destas, dependendo das circunstâncias.
As consequências e a sua verosimilhança podem ser determinadas pela modelação dos resultados de um
evento ou conjunto de eventos, por extrapolação a partir de estudos experimentais ou a partir de dados
disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Nalguns
casos é requerido mais do que um valor numérico ou descritor para especificar as consequências e a sua
verosimilhança para diferentes tempos, locais, grupos ou situações.

o
ida nic
5.4.4 Avaliação do Risco

oib tró
A finalidade da avaliação do risco é apoiar a tomada de decisões, tendo por base os resultados da análise do
pr lec
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementação do tratamento.
ão o e

A avaliação do risco envolve a comparação do nível de risco identificado no decorrer do processo de análise
com os critérios do risco, aquando da consideração do contexto. Com base nesta comparação a necessidade
uç ent

de tratamento pode ser considerada.

pr u m

As decisões deverão ter em conta o contexto alargado do risco e incluir considerações sobre a tolerância dos
riscos suportados pelas partes, que não a organização que beneficia do risco. As decisões deverão ser
re doc

tomadas de acordo com as exigências legais, regulamentares e outros requisitos.

od

Em determinadas circunstâncias a avaliação do risco pode levar a uma decisão de efetuar análises adicionais.
IP de

A avaliação do risco pode também levar à decisão de não efetuar o tratamento do risco, para além de manter
os controlos existentes. Esta decisão será influenciada pela atitude da organização face ao risco e pelos
© sã o

critérios do risco que foram estabelecidos.

Q
es

5.5 Tratamento do Risco

pr

5.5.1 Generalidades
Im

O tratamento do risco implica a seleção de uma ou mais opções para modificar os riscos e a implementação
dessas opções.
Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cíclico que inclui:
− apreciar um tratamento do risco;
− decidir se os níveis do risco residual são toleráveis;
− se não forem toleráveis, gerar um novo tratamento do risco;
− apreciar a eficácia desse tratamento.
As opções de tratamento do risco não têm que ser mutuamente exclusivas ou apropriadas em todas as
circunstâncias. As opções podem incluir o seguinte:
a) evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
 NP
ISO 31000
2012

p. 27 de 31

c) remover a fonte do risco;

d) alterar a verosimilhança;
e) alterar as consequências;
f) partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
g) reter o risco com base em decisão informada.

5.5.2 Seleção de opções de tratamento do risco

A seleção da opção de tratamento do risco mais apropriada implica comparar os custos e os esforços da sua

o
implementação com os benefícios resultantes, tendo em conta os requisitos legais, regulamentares e outros

ida nic
tais como a responsabilidade social e a proteção do ambiente natural. As decisões deverão também ter em
conta os riscos cujo tratamento não é facilmente justificável por motivos económicos, por exemplo, riscos

oib tró
graves (elevada consequência negativa) mas raros (baixa verosimilhança).
pr lec
Diversas opções de tratamento poderão ser consideradas e aplicadas individualmente ou de forma
ão o e

combinada. A organização normalmente poderá beneficiar da adoção de uma combinação de opções de

tratamento.
uç ent

Ao selecionar as opções de tratamento do risco, a organização deverá considerar os valores e perceções das
pr u m

partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as opções
de tratamento do risco possam ter impacto no risco de outras áreas da organização ou das partes interessadas,
re doc

todas deverão ser envolvidas na decisão. Embora igualmente eficazes, alguns tratamentos do risco poderão
od

ser mais aceitáveis para algumas partes interessadas do que para outras.
IP de

O plano de tratamento deverá claramente identificar a ordem de prioridade de implementação dos

tratamentos individuais do risco.
© sã o
Q

O tratamento do risco pode por si só introduzir riscos. A falha ou a ineficácia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorização deverá ser uma parte integrante do plano de
es

tratamento do risco, de forma a garantir que as medidas permaneçam eficazes.

pr

O tratamento do risco pode também introduzir riscos secundários que precisam de ser apreciados, tratados,
Im

monitorizados e revistos. Estes riscos secundários deverão ser incorporados no mesmo plano de tratamento
do risco original e não tratados como novos riscos. A ligação entre os dois riscos deverá ser identificada e
mantida.

5.5.3 Preparação e implementação de planos de tratamento do risco

O objetivo dos planos de tratamento do risco é documentar a forma como as opções de tratamento escolhidas
serão implementadas. A informação fornecida nos planos de tratamento deverá incluir:
− as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;
− os que são responsabilizados pela aprovação do plano e os responsáveis pela implementação do plano;
− as ações propostas;
− os requisitos de recursos incluindo contingências;
− as medidas do desempenho e constrangimentos;
− os requisitos de relato e monitorização;
− a calendarização e o cronograma.
NP
ISO 31000
2012

p. 28 de 31

Os planos de tratamento deverão ser integrados com os processos de gestão da organização e discutidos com
as partes interessadas apropriadas.
Os decisores e outras partes interessadas deverão estar cientes da natureza e dimensão do risco residual após
o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e, onde
apropriado, tratamento posterior.

5.6 Monitorização e revisão

A monitorização e a revisão deverão ser uma parte planeada do processo de gestão do risco e envolver
verificação ou vigilância regular. Pode ser periódica ou ad hoc.

o
As responsabilidades pela monitorização e revisão deverão estar claramente definidas.

ida nic
Os processos de monitorização e revisão da organização deverão abranger todos os aspetos do processo de

oib tró
gestão do risco com o objetivo de: pr lec
− assegurar que os controlos são eficazes e eficientes, quer na conceção, quer na operação;
ão o e

− obter informação adicional para melhorar a apreciação do risco;

uç ent

− analisar e aprender com os eventos (incluindo os quase-acidentes), mudanças, tendências, sucessos e

falhas;
pr u m

− detetar alterações no contexto externo e interno, incluindo alterações aos critérios do risco e ao próprio
re doc

risco, que podem requerer a revisão dos tratamentos do risco e das prioridades;
od

− identificar os riscos emergentes.

IP de

O progresso na implementação dos planos de tratamento do risco fornece uma medida do desempenho. Os
© sã o

resultados podem ser incorporados na gestão global do desempenho da organização, na sua medição e nas
Q

atividades de reporte externo e interno.

es

Os resultados da monitorização e revisão deverão ser registados e reportados externa e internamente

pr

conforme apropriado, e deverão ser usados também, como uma entrada para a revisão da estrutura da gestão
Im

do risco (ver 4.5).

5.7 Registo do processo de gestão do risco

As atividades de gestão do risco deverão ser rastreáveis. No processo de gestão do risco, os registos
fornecem a base para melhoria dos métodos e das ferramentas, bem como do processo na sua globalidade.
As decisões relativas à criação de registos deverão ter em conta:
− as necessidades de aprendizagem contínua da organização;
− os benefícios da reutilização da informação para efeitos de gestão;
− os custos e os esforços envolvidos na criação e manutenção dos registos;
− as necessidades legais, regulamentares e operacionais de registos;
− o método de acesso, a facilidade de consulta e os meios de armazenamento;
− o período de retenção;
− a sensibilidade da informação.
 NP
ISO 31000
2012

p. 29 de 31

Anexo A
(informativo)

Atributos da gestão do risco reforçado

A.1 Generalidades
Todas as organizações deverão procurar atingir um nível apropriado do desempenho da sua estrutura de

o
gestão do risco em linha com a criticidade das decisões que terão de ser tomadas. A lista dos atributos abaixo

ida nic
apresentada, representa um alto nível de desempenho ao gerir o risco. Para apoiar as organizações na

oib tró
medição do seu próprio desempenho relativamente a estes critérios, são fornecidos alguns indicadores
tangíveis para cada atributo. pr lec
ão o e

A.2 Resultados chave

uç ent

A.2.1 A organização tem uma compreensão atual, correta e abrangente dos seus riscos.
pr u m

A.2.2 Os riscos da organização estão dentro dos seus critérios do risco.

re doc
od

A.3 Atributos
IP de

A.3.1 Melhoria contínua

© sã o
Q

A ênfase é colocada na melhoria contínua da gestão do risco através do estabelecimento de objetivos do

desempenho organizacional, da medição, da revisão e da subsequente modificação dos processos, sistemas,
es

recursos, capacidades e competências.

pr

Isto pode ser indicado pela existência de objetivos de desempenho explícitos, relativamente aos quais são
Im

medidos os desempenhos da organização e do gestor. O desempenho da organização pode ser publicado e

comunicado. Habitualmente, existirá pelo menos uma revisão anual do desempenho e a subsequente revisão
dos processos e o estabelecimento de objetivos do desempenho, revistos para o período seguinte.
A avaliação de desempenho da gestão do risco é uma parte integrante da avaliação do desempenho global da
organização e do sistema de avaliação para departamentos e indivíduos.

A.3.2 Responsabilização total pelos riscos

A gestão do risco reforçada inclui uma responsabilização abrangente, completamente definida e
integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivíduos designados
aceitam integralmente a responsabilização, possuem competências apropriadas e dispõem dos recursos
adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente
acerca dos riscos e respetiva gestão às partes interessadas externas e internas.
Tal pode ser indicado pelo facto de todos os membros de uma organização estarem totalmente cientes dos
riscos, controlos e tarefas pelos quais são responsáveis. Usualmente, tal estará registado nas descrições de
função/cargo, bases de dados ou sistemas de informação. A definição das funções na gestão do risco,
NP
ISO 31000
2012

p. 30 de 31

responsabilização e responsabilidades deverão fazer parte de todos os programas de acolhimento e integração

de uma organização.
A organização assegura que aqueles que são responsabilizados estão aptos para cumprir a sua função
atribuindo-lhes autoridade, tempo, formação e treino, recursos e competências suficientes para assumirem a
sua responsabilização.

A.3.3 Aplicação da gestão do risco em todas as tomadas de decisão

Todas as tomadas de decisão no seio da organização, qualquer que seja o respetivo nível de importância e
significância, envolvem considerações explícitas do risco e a aplicação da gestão do risco a um nível
adequado.

o
ida nic
Tal pode ser indicado pelos registos das reuniões e decisões, evidenciando que tiveram lugar discussões
explícitas sobre o risco. Adicionalmente, deverá ser possível ver que todas as componentes da gestão do

oib tró
risco estão representadas nos processos chave de tomada de decisão na organização, por exemplo, em
pr lec
decisões para atribuição de capital, para projetos importantes e para a reestruturação ou mudanças da
organização. Por estas razões, uma gestão do risco consistente é vista dentro da organização como a base
ão o e

para a governação eficaz.

uç ent

A.3.4 Comunicações continuadas

pr u m

A gestão do risco reforçada inclui comunicações continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gestão do risco, como parte da boa
re doc

governação.
od

Isto pode ser indicado pela comunicação com as partes interessadas como uma componente integrante e
IP de

essencial da gestão do risco. A comunicação é corretamente vista como um processo de dois sentidos, de tal
modo que decisões adequadamente informadas, possam ser tomadas quanto ao nível do risco e à necessidade
© sã o
Q

de tratamento do risco face a critérios do risco adequadamente estabelecidos e abrangentes.

es

O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
pr

da gestão do risco, contribui substancialmente para uma governação eficaz no seio da organização.
Im

A.3.5 Integração total na estrutura de governação da organização

A gestão do risco é vista como central nos processos de gestão da organização, de tal forma que os riscos são
considerados em termos do efeito da incerteza na consecução dos objetivos. A estrutura e o processo de
governação são baseados na gestão do risco. A gestão do risco eficaz é considerada pelos gestores, como
sendo essencial para a consecução dos objetivos da organização.
Isto é, indicado através da linguagem dos gestores e dos documentos relevantes da organização usando o
termo “incerteza” associado aos riscos. Este atributo é também normalmente refletido nas declarações de
política da organização, particularmente nas relacionadas com a gestão do risco. Normalmente, este atributo
será verificado através de entrevistas com os gestores e através da evidência das suas ações e declarações.
 NP
ISO 31000
2012

p. 31 de 31

Bibliografia

[1] Guia ISO 73:2009 Risk management – Vocabulary

[2] ISO/IEC 31010 Risk management – Risk assessment techniques

o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im