INTERNACIONAL

NORMA
ISO
31000
Primera edição.
2009-11-15

Gestão de Riscos - Princípios e Diretrizes

Introdução

Organizações de todos os tipos e tamanhos de fatores internos e externos e

influências que tornam incerto, e quando eles vão atingir seus objetivos. O efeito que isso
tem sobre a incerteza dos objetivos de uma organização "em risco".

Todas as atividades de uma organização que envolve risco. Organizações de

gestão de riscos, identificando-o, em seguida, analisar e avaliar se o risco deve ser
modificado pelo tratamento do risco, a fim de satisfazer os seus critérios de risco.
Durante todo este processo, a comunicação e a consulta das partes interessadas e
acompanhamento e avaliação de riscos e controles que estão mudando o risco, a fim de
evitar qualquer risco requer tratamento.

Esta Norma descreve o processo sistemático e lógica em detalhes.

Embora todas as organizações de gestão de risco, em certa medida, esta norma
internacional prevê um conjunto de princípios que devem ser atendidos antes gestão
eficaz dos riscos. Esta Norma recomenda que as organizações devem desenvolver,
implementar e melhorar continuamente um quadro que visa integrar o processo de gestão
de risco na gestão global da organização, planejamento e
estratégia, gestão, processos de informação, políticas, valores e cultura.

A gestão do risco pode ser aplicado a uma organização inteira, em suas áreas e
níveis, a qualquer momento, assim como para tarefas específicas, projetos e atividades.
Embora a prática da gestão de risco tem sido desenvolvido ao longo do tempo e em
muitos setores, para atender as diversas necessidades, a adoção de processos
consistentes dentro de um quadro global pode ajudar a garantir que o risco é gerido de
forma eficaz, eficiente e consistente em toda a organização. A abordagem genérica
descritas nesta declaração estabelece princípios e diretrizes para a gestão de qualquer
forma de risco de forma sistemática, transparente e credível e em qualquer situação e
contexto.

Setor específico ou a aplicação de gestão de risco implica necessidades

individuais, a percepção do público e dos critérios. Portanto, uma característica-chave
deste padrão internacional é a inclusão de "definição do contexto como uma atividade
que, no início deste processo genérico de gestão de risco.

Estabelecer o contexto capta os objetivos da organização, o ambiente na

prossecução destes objetivos, os atores e da diversidade de critérios de risco - todos os
quais ajudam a revelar e apreciar a natureza e complexidade de seus riscos.
A relação entre os princípios de gestão de risco, o quadro em que ocorre e risco
processo de gestão descritas nesta Norma Internacional são mostrados na Figura 1.

Quando implementados e mantidos de acordo com esta norma internacional, a

gestão de risco permite que uma organização, por exemplo:
⎯ aumentar a probabilidade de atingir os objetivos;
⎯ promover uma gestão pró-ativa;
⎯ estar ciente da necessidade de identificar e tratar os riscos em toda a organização;
⎯ melhorar a identificação de oportunidades e ameaças;
⎯ cumprir os requisitos legais e regulamentares e as normas internacionais;
⎯ melhorar as informações obrigatórias e voluntárias;
⎯ melhorar a governação;
⎯ melhorar a confiança dos interessados e confiança;
⎯ fornecer uma base confiável para a tomada de decisão e planejamento;
⎯ melhorar os controles;
⎯ alocar e utilizar recursos de forma eficaz para o tratamento de riscos;
⎯ melhorar a eficácia operacional e eficiência;
⎯ melhorar a proteção da saúde e segurança e meio ambiente;
⎯ melhorar a prevenção de perdas e gestão de incidentes;
⎯ minimizar as perdas;
⎯ melhorar a aprendizagem organizacional, e
⎯ aumentar a resiliência da organização.

Esta regra destina-se a atender às necessidades de uma vasta gama de interessados,

incluindo:

a) os responsáveis pela formulação de políticas de gestão de risco dentro da sua

organização;
b) responsável por garantir que os riscos sejam geridos de forma eficaz dentro da
organização como um todo ou dentro de uma área específica, projeto ou atividade;
c) necessidade de avaliar a eficácia de uma organização em gestão de riscos e;
d) os desenvolvedores de normas, diretrizes, procedimentos e códigos de conduta, no
todo ou em parte, ao estabelecer como risco está a ser gerido no contexto específico
desses documentos.
As atuais práticas de gestão e processos de muitas organizações, incluindo os
componentes de gestão de risco, e muitas empresas já adotaram um processo formal de
gestão de risco para certos tipos de risco ou circunstâncias. Em tais casos, uma
organização pode decidir realizar uma revisão crítica de suas práticas e processos, à luz
desta norma internacional.
Nesta Norma, as expressões "gestão de risco" e "gestão de risco" são usados.
Globalmente, "gestão de risco" se refere à arquitetura (princípios, estruturas e processos)
para gerir o risco eficazmente, enquanto a "gestão de risco" refere-se à implementação
desta arquitetura a certos riscos.

Gestão de Riscos - Princípios e Diretrizes

1 Ãmbito
Esta norma internacional estabelece princípios e diretrizes para o gerenciamento de risco
genérico.

Esta Norma pode ser utilizado por qualquer instituição pública, particular ou empresa da
comunidade, grupo ou indivíduo. Portanto, esta Norma não é específico para qualquer
indústria ou setor.

NOTA: Para maior comodidade, todos os diferentes utilizadores desta Norma são
referidas pelo termo geral "Organização".

Esta Norma pode ser aplicada em toda a vida de uma organização e para uma ampla
gama de atividades, incluindo estratégias e decisões, operações, processos, funções,
projetos, produtos, serviços e bens.

Esta Norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza,
sejam elas positivas ou negativas consequências.

Embora esta Norma fornece orientações genéricas, que não se destina a promover a
uniformidade das organizações de gestão de risco.

A concepção e implementação de planos de gestão de risco e quadros terão de ter em

conta as diferentes necessidades de uma organização específica, nomeadamente
os seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos,
serviços ou bens específicos e práticas empregadas.

Pretende-se que esta Norma será utilizada para harmonizar os processos de gestão de
risco nos padrões atuais e futuros. Fornece uma abordagem comum em apoio das regras
relativas a riscos específicos e / ou setores, e não substituem as normas. Esta Norma não
se destina para fins de certificação

Definições

Risco
Efeito da incerteza sobre os objetivos

NOTA 1: Um efeito é um desvio do esperado - positivos e / ou negativos.

NOTA 2: podem ter aspectos diferentes (por exemplo, a saúde financeira e de segurança,
e os objetivos ambientais) e pode ser aplicado a diferentes níveis (como estrategicamente
em toda a organização, projeto, produto e processo).
NOTA 3: O risco é muitas vezes caracterizado por referência a eventos potenciais (2,17)
e conseqüências (2,18), ou uma combinação.
NOTA 4: O risco é frequentemente expressa em termos de uma combinação das
conseqüências de um evento (incluindo as alterações nas circunstâncias) e probabilidade
associada (2,19) de ocorrência.
NOTA 5: A incerteza é o Estado, mesmo que parcial, da carência de informações
relacionadas à compreensão ou ao conhecimento de um caso, sua conseqüência ou de
mera semelhança.

Estrutura da Gestão de Risco

Conjunto de componentes que fornecem as bases e formas de organização para projetar,

executar, controlar (2,28), revisão e melhoria contínua da gestão de risco (2,2) em toda a
organização
NOTA 1: Os termos incluem a política, os objetivos, o mandato e compromisso com a
gestão de risco (2,1).
NOTA 2: Os acordos incluem planos de organização, os relacionamentos,
responsabilidades, recursos, processos e atividades.
Nota 3: A estrutura de gestão do risco é incorporado no âmbito das políticas estratégicas
e operacionais da organização global e suas práticas.

Atitude em relação ao risco

Foco da organização para avaliar e, eventualmente, continuar, manter ou longe de

assumir riscos (2,1)

Plano de Gestão

Regime no contexto da gestão de risco (2,3) especificando a abordagem, a gerência de

componentes e recursos a serem aplicados à gestão do risco (2,1)
NOTA 1: Os componentes geralmente incluem procedimentos de gestão, práticas de
atribuição de responsabilidades, a seqüência eo calendário de atividades.
NOTA 2: O plano de gerenciamento de risco pode ser aplicado a um produto, processo e
projeto, e parte ou a totalidade da organização.

Gestão de Risco

A aplicação sistemática de políticas de gestão, procedimentos e práticas para actividades

de comunicação, consultoria, criação do contexto e da identificação, análise, avaliação,
tratamento, acompanhamento (2,28) ea análise de risco (2,1 )

Estabelecer o contexto

A definição de parâmetros internos e externos de ser tidos em conta na gestão dos riscos,
e estabelece o âmbito e os critérios de risco (2,22) para a política de gestão de risco (2,4)

Ambiente externo

Ambiente externo em que a organização pretende atingir os seus objetivos

NOTA: ambiente externo podem incluir:

⎯ A culturais, sociais, políticas, legais, regulamentares, financeiros, tecnológicos,

económicos, naturais e competitivo, quer a nível internacional, nacional, regional ou local;
⎯ fatores-chave e tendências de impacto sobre os objetivos da organização e com as
relações e as percepções.

Contexto Interno

Ambiente interno no qual a organização pretende atingir os seus objetivos

NOTA: contexto nacional podem incluir:

⎯ governança, estrutura organizacional, funções e responsabilidades;

⎯ As políticas, objetivos e estratégias são utilizados para realizar;
⎯ A competência, entendida em termos de recursos e conhecimento (capital, por exemplo,
tempo, pessoas, processos, sistemas e tecnologias);
⎯ sistemas de informação, fluxos de informação e tomada de decisão (formais e
informais);
⎯ As relações e as percepções e valores, as partes internas;
⎯ cultura organizacional;
⎯ normas, orientações e modelos adoptados pela organização, e
⎯ A forma e o âmbito das relações contratuais.

Comunicação e consulta

Processo contínuo e interativo que uma organização realiza a fornecer, partilhar e obter
informações e para dialogar com as partes interessadas (2,13) em relação à gestão de
risco (2,1)

NOTA 1: As informações podem referir-se à existência, à natureza, a forma, a

probabilidade (2,19), o significado, avaliação, aceitação e tratamento de gestão de risco.
NOTA 2: A consulta é um processo de duas vias de comunicação informou entre uma
organização e seus públicos de interesse sobre um assunto antes de tomar uma decisão
ou determinar um rumo sobre esta questão. A consulta é:
⎯ um processo que afeta a decisão da influência, em vez de poder, e
⎯ um contributo para a tomada de decisões, e não a decisão conjunta tomada de
decisões.

Interessados (Stackholder)

Pessoa ou organização que podem afetar, ser afetado por ou perceber-se afetado por
decisão ou atividade

NOTA: A tomada de decisão pode ser uma das partes interessadas.

A identificação dos riscos

Processo de encontrar, reconhecer e descrever os riscos (2,1)

Nota 1: A identificação dos riscos envolve a identificação das fontes de risco (2,16),
eventos (2,17), suas causas e possíveis conseqüências (2,18).
NOTA 2: Identificação de risco podem incluir dados históricos, análise teórica e opiniões
de especialistas e das partes interessadas (2.13) precisa.

Fonte de risco
Elemento que, individualmente ou em associação tem o potencial para dar origem a risco
intrínseco (2,1)

NOTA Uma fonte de risco podem ser tangíveis ou intangíveis.

Evento

A aparência ou a mudança de um determinado conjunto de circunstâncias

NOTA 1: Um evento pode ser um ou mais casos, e pode ter várias causas.
Nota 2: Um evento pode ser algo que não acontece.
Nota 3: Um evento pode às vezes ser referido como um "incidente" ou "acidente".
NOTA 4: Um acontecimento sem conseqüências (2,18) também pode ser referido como
um "quase acidente", "incidente", perto de bater "ou" close call ".

Probabilidade

Possibilidade de algo acontecer

NOTA 1: Na terminologia de gestão de risco, a palavra "risco" é usado para se referir à

possibilidade de algo acontecer, se definido, medido, ou determinada de forma objetiva
ou subjetivamente, quantitativa ou qualitativamente, e são descritos utilizando
generalizado ou matemática (como uma probabilidade ou frequência para um período de
tempo).

NOTA 2 Inglês O termo "risco" não tem equivalente direto em algumas línguas, no
entanto, o equivalente do termo "probabilidade" é frequentemente utilizado. No entanto,
em Inglês, "probabilidade" é muitas vezes interpretado restritivamente como um termo
matemático. Portanto, na terminologia de gestão de risco, "probabilidade" é usada com a
intenção de que eles deveriam ter a mesma interpretação ampla do termo "probabilidade"
item em muitas línguas diferentes do Inglês.

O tratamento do risco

O processo para modificar o risco (2,1)

Nota 1: tratamento de risco podem incluir:
⎯ evitar riscos ao decidir não iniciar ou continuar a atividade que deu origem ao risco;
⎯ ou aumentar o risco de tomar a fim de buscar uma oportunidade;
⎯ eliminando a fonte de risco (2,16);
⎯ alterar a probabilidade (2,19);
⎯ mudando as conseqüências (2,18);
Partes: o risco com a outra parte ou partes (incluindo os contratos de financiamento e de
risco) e manter o risco informado decisão.
NOTA 2: tratamentos de risco para lidar com as consequências negativas são muitas
vezes referidos como "redução do risco", "eliminação do risco", "prevenção de riscos" e
"redução do risco".
NOTA 3: tratamento de riscos pode criar novos riscos ou alterar os riscos existentes.

Monitoramento

Controle contínuo, supervisionar, observar criticamente ou determinar o estado para

determinar a alteração do nível de desempenho exigido ou acompanhamento NOTA
esperado pode ser aplicada a uma estrutura de gerenciamento de risco (2,3), o processo
de gestão de risco (2,8), o risco de (2,1) ou controle (2,26).

Revisar

Atividade realizada para determinar a aptidão, adequação e eficácia do assunto para

atingir metas estabelecidas

NOTA revisão pode ser aplicada a uma estrutura de gerenciamento de risco (2,3), o
processo de gestão de risco (2,8), o risco (2,1) ou controle (2,26).

Princípios

Para o gerenciamento de risco para ser eficaz, uma organização em todos os níveis
devem respeitar os princípios abaixo.
uma gestão de riscos), cria e protege o valor.
A gestão de riscos contribui para atingir os objetivos e demonstráveis melhoria
desempenho, por exemplo, o cumprimento da saúde humana e segurança, legais e
regulamentares, a aceitação do público, a proteção ambiental, qualidade de produto,
gerenciamento de projeto, a eficiência nas operações, governança e reputação.
b) é parte integrante de todos os processos organizacionais.
A gestão do risco não é uma atividade isolada, separada das principais atividades e
processos da organização. A gestão do risco faz parte das responsabilidades de gestão e
uma parte integrante de todos os processos organizacionais, incluindo o planejamento
estratégico e todos os projetos e processos de gestão de mudança.
c) A gestão de riscos é parte do processo decisório. A gestão de risco ajuda os tomadores
de decisão a tomar decisões, priorizar ações e distinguir entre cursos alternativos de
ação.
d) aborda explicitamente a incerteza. A gestão do risco explicitamente leva em conta a
incerteza, a natureza do que é a incerteza, e como requerido.
e) A gestão de riscos é sistemático, estruturado e oportuna.
Uma abordagem sistemática, oportuna e estruturada, a gestão de riscos contribui para a
eficiência e resultados consistentes, fiáveis e comparáveis.
f) é baseada na melhor informação disponível.
Os ingressos para o processo de gestão de risco com base em fontes de informação, tais
como dados históricos, a experiência, as reacções dos interessados, observação,
previsões e opiniões de especialistas. No entanto, os tomadores de decisão devem ser
informados, e deverão ter em conta as limitações de dados ou modelos usados ou a
possibilidade de desacordo entre os especialistas.
g) A gestão do risco é a medida.
A gestão do risco está alinhado com o ambiente externo ea organização interna e perfil de
risco.
A gestão de riscos leva fatores humanos e culturais em conta.
A gestão do risco reconhece as capacidades, intenções e percepções de pessoas interno
e externo podem facilitar ou dificultar a realização dos objetivos organizacionais.
i) Gestão do risco é transparente e inclusiva.
Participação adequada e atempada dos interessados e, em particular, os tomadores de
decisão em todos os níveis da organização, garante que a gestão de risco continua a ser
relevante e atual. Ele também permite a participação das partes estão devidamente
representadas e que suas opiniões são tidas em conta critérios de avaliação de risco.
j) Gestão do risco é dinâmica, interativa e sensível a alterações.
A gestão de riscos continuamente sentidos e responde às mudanças. Como eventos
externos e internos ocorrer, o contexto e o intercâmbio de conhecimentos,
acompanhamento e avaliação dos riscos ocorrem, surgem novos riscos, algumas
mudanças e outras desaparecem.

k) A gestão do risco facilita a melhoria contínua da organização.

As organizações devem desenvolver e implementar estratégias para melhorar a sua
maturidade de gestão de riscos
juntamente com todos os outros aspectos da sua organização.
Anexo A: fornece aconselhamento adicional para as organizações que pretendam gerir
os riscos mais eficaz.

Estrutura do Guia.

4.1 Geral
Gestão de risco bem sucedida dependerá de um quadro de gestão eficaz, que fornece a
base e as disposições incorporá-lo em toda a organização em todos os níveis. O quadro
ajuda na gestão eficaz dos riscos através da implementação do processo de
gerenciamento de riscos (ver ponto 5) em diferentes níveis e contextos específicos da
organização.

O quadro garante que informações sobre os riscos do processo de gestão de risco é

devidamente informado e é usado como base para a tomada de decisão e
responsabilidade a todos os níveis relevantes da organização. Esta cláusula descreve os
componentes necessários do quadro de gestão de risco e como eles se inter-relacionam
de forma interativa, como mostrado na figura 2.

Este quadro não se destina a estabelecer um sistema de gestão, mas sim para ajudar a
organização a integrar a gestão de risco em seu sistema de gestão global. Portanto, as
organizações devem adaptar os componentes do quadro as suas necessidades
específicas.

Se as práticas de gestão na organização e processos incluem componentes de gestão de

risco ou se a organização adaptou um processo formal de gestão de risco para certos
tipos de riscos ou situações, estas devem ser criticamente analisada e avaliada contra
esta norma internacional, incluindo os atributos listados no Anexo A para determinar a sua
adequação e eficácia.
Mandato e compromisso

A introdução da gestão de risco é garantir a sua eficácia continuada, requer forte e

sustentado compromisso da gestão da organização, bem como o planejamento
estratégico e rigoroso para atingir empenho em todos os níveis. A gerência deve:

⎯ definir e aprovar a política de gestão de risco;

⎯ garantir que eles estejam alinhados à cultura organizacional e política de gestão de
risco;
⎯ identificar os indicadores de gestão de risco de inadimplência que estão alinhados com
os indicadores de desempenho organizacional;
⎯ alinhar os objetivos de gestão de risco e estratégias com os objetivos da organização;
⎯ garantir a conformidade legal e regulamentar;
- Atribuir responsabilidades e as responsabilidades aos níveis apropriados dentro da
organização;
⎯ garantir que os requisitos para a gestão de risco;
⎯ comunicar os benefícios do gerenciamento de riscos para todos os interessados,
⎯ garantir que o quadro de gestão de riscos ainda é apropriado.

Design do quadro de gestão de risco

Compreender a organização e seu contexto

Antes de iniciar a concepção e implementação do quadro de gestão de risco é importante

para avaliar e compreender tanto o contexto externo e interno da organização, uma vez
que estes podem reduzir significativamente a influência do design do quadro.

Avaliação do contexto externo da organização podem incluir, mas não limitados a:

a) física e cultural, social, político, legal, regulamentar, financeiro, tecnológico,

econômico e ambiente competitivo, quer a nível internacional, nacional, regional
ou local;
b) os fatores-chave e tendências de impacto sobre os objetivos da organização;
c) as relações com as percepções e valores, os interessados externos.

Avaliar contexto interno da organização podem incluir, mas não estão limitados a:

⎯ governança, estrutura organizacional, funções e responsabilidades;

⎯ As políticas, objetivos e estratégias são utilizados para realizar;
Capacidades: entendida em termos de recursos e conhecimento (capital, por exemplo,
tempo, pessoas, processos, sistemas e tecnologias);
⎯ sistemas de informação, fluxos de informação e tomada de decisão (formais e
informais);
⎯ com as relações e as percepções e valores, as partes internas;
⎯ cultura organizacional;
⎯ normas, orientações e modelos adoptados pela organização, e
⎯ A forma e o âmbito das relações contratuais.

O estabelecimento da política de gestão de risco

A política de gestão de risco deve indicar claramente os objetivos da organização e

empenho, gestão de risco e, normalmente, abrange os seguintes tópicos:

⎯ base da organização para a gestão de riscos;

⎯ ligações entre os objetivos organizacionais e políticas e da política de gestão de riscos;
⎯ A prestação de contas e responsabilidades para a gestão de riscos;
⎯ A maneira em que os interesses em conflito são tratados

Compromisso de disponibilizar os recursos necessários para ajudar os decisores e os

responsáveis pela gestão de riscos;

⎯ A forma como os resultados da gestão de risco serão medidos e relatados, e

⎯ O compromisso de rever e melhorar a política de gestão de risco e quadro
periodicamente e em resposta a um evento ou alteração nas circunstâncias.
A política de gestão de risco deve ser comunicada de forma apropriada.

Responsabilidade:

A organização deve assegurar que haja responsabilidade, autoridade e competências

adequadas à gestão de riscos, incluindo a implementação e manutenção do processo de
gestão de risco e garantir a adequação, eficiência e eficácia dos controles. Isso pode ser
facilitado por:

⎯ A identificação dos proprietários de risco que têm a responsabilidade e a autoridade

para gerir o risco;
⎯ Identificar quem é responsável pelo desenvolvimento, implementação e manutenção do
quadro de gestão de riscos;
⎯ Outras responsabilidades de identificação de indivíduos em todos os níveis da
organização para o processo de gestão de riscos;
⎯ A medição do desempenho e estabelecer externas e / ou relatórios internos e processos
de escalada e;
⎯ Assegurar níveis adequados de reconhecimento.

Integração em processos organizacionais

A gestão de riscos deve ser integrada em todas as práticas e processos organizacionais

de uma forma que é relevante, eficaz e eficiente. O processo de gerenciamento de risco
deve ser parte, não estão separados, os processos organizacionais.

Em particular, gestão de riscos devem ser integradas em políticas e planejamento

estratégico, desenvolvimento empresarial e revisão, processos e gestão da mudança.
Deve haver uma organização do plano de gestão de riscos para garantir que a política de
gestão de riscos é implementado e que a gestão de risco está integrada em todas as
práticas organizacionais e processos.

O plano de gerenciamento de risco pode ser integrado com outros planos organizacionais,
tais como um plano estratégico.

Recursos

A organização deve alocar recursos adequados para a gestão de risco.

Você deve considerar o seguinte:

⎯ As pessoas, habilidades, experiência e competência;

⎯ Os recursos necessários para cada etapa do processo de gestão de riscos;
⎯ os processos organizacionais, métodos e instrumentos utilizados na gestão de riscos;
⎯ processos e procedimentos documentados;
⎯ Os sistemas de informação e gestão do conhecimento e programas de treinamento.

A criação de mecanismos para comunicação interna e comunicação

A organização deve estabelecer a comunicação interna e os mecanismos para apoiar e
incentivar a responsabilidade ea participação de risco. Esses mecanismos devem
assegurar que:

⎯ componentes fundamentais da estrutura de gerenciamento de risco, bem como

eventuais alterações são comunicadas de forma adequada;
⎯ há adequado relatórios internos sobre o quadro, a sua eficácia e resultados;
Informações relevantes, derivado da aplicação de gestão de risco em níveis adequados
e tempos,
⎯ sem processos de consulta com as partes internas.
Estes mecanismos deverão, quando apropriado, incluir os processos de reforçar a
informação sobre o risco de uma variedade de fontes, e pode levar em conta a
sensibilidade da informação

Mecanismos para a comunicação externa e comunicação

A organização deve desenvolver e implementar um plano de como você irá se comunicar

com o exterior as partes interessadas. Isto envolve:

⎯ Envolver as partes interessadas externas adequada e assegurar o intercâmbio eficiente

de informações;

⎯ relatórios externos para atender aos requisitos legais e regulamentos governamentais;

⎯ O fornecimento de feedback e relatórios sobre a comunicação e consulta;
- Comunicação para construir a confiança na organização, e
⎯ comunicação com as partes interessadas, no caso de uma crise ou de emergência.
Estes mecanismos deverão, quando apropriado, incluir os processos de reforçar a
informação sobre o risco de uma variedade de fontes, e pode levar em conta a
sensibilidade da informação.

A aplicação de gestão de risco

Aplicação de um enquadramento para a gestão de risco

Como parte da implementação da organização para a gestão de riscos, a organização

deve:

⎯ Definir o calendário e estratégia para a implementação do quadro regulamentar;

⎯ implementar a política de gestão de riscos e processo de processos organizacionais;
⎯ respeitam os requisitos legais e regulamentares;
⎯ garantir que a tomada de decisões, incluindo o desenvolvimento e estabelecimento de
objetivos, está alinhado com os resultados dos processos de gestão de risco;
⎯ realizar sessões de informação e formação, e
⎯ comunicação e consulta com as partes interessadas para garantir que o seu quadro de
gestão de risco continua a ser adequado

A implementação do processo de gestão de risco

A gestão dos riscos devem ser implementadas para assegurar que o processo de gestão
do risco descritos no ponto 5, é aplicado através de um plano de gestão de riscos em
todos os níveis e funções relevantes da organização como parte de suas práticas e
processos .

Acompanhamento e revisão do Quadro

Para garantir que a gestão do risco é eficaz e continua a apoiar o desempenho

organizacional, a organização deve:

⎯ medida de gestão de risco de indicadores de desempenho, que são revistos

periodicamente para relevância;
⎯ medir o progresso periodicamente contra, eo desvio do plano de gestão de risco;
⎯ revisar periodicamente se no âmbito da política de gestão de riscos e do plano ainda
são adequados, tendo em conta as realidades internas e externas das organizações;
⎯ Relatório sobre o risco, o progresso do plano de gestão de risco e como a política de
gestão de risco é seguido,
⎯ revisão da eficácia da estrutura de gerenciamento de risco.

Quadro de melhoria contínua

Com base nos resultados da monitorização e avaliação, as decisões devem ser feitas
sobre como quadro de gestão de risco, a política eo plano pode ser melhorado. Estas
decisões devem levar a melhorias na organização de gestão de riscos e de sua cultura de
gestão de risco.

Processo geral

O processo de gerenciamento de risco deve ser

⎯ Uma parte integrante da gestão,

⎯ enraizada na cultura e práticas,
⎯ Adaptado para os processos de negócio da organização.
Inclui as atividades descritas nos pontos 5.2 a 5.6. O processo de gestão de risco é
mostrado na Figura 3.
Comunicação e consulta

Comunicação e consulta com as partes interna e externa deve ocorrer durante todas as
fases da gestão de risco.

Portanto, a comunicação e os planos de consulta devem ser desenvolvidas em um

estágio inicial. Estes devem abordar questões relacionadas com o risco em si, suas
causas, suas conseqüências (se conhecida), e as medidas tomadas para tratá-lo. A
comunicação eficaz interna e externa e consulta devem ser tomadas para garantir que os
responsáveis pela execução do processo de gestão de risco e as partes interessadas
compreender a base sobre a qual as decisões são tomadas, e por que as medidas são
necessários, em particular.

Uma abordagem de equipe de consultoria pode:

⎯ ajudar a estabelecer o contexto;

⎯ garantir que os interesses das partes interessadas sejam entendidas e consideradas;
⎯ ajudar a garantir que os riscos são devidamente identificados;
⎯ trazer diferentes áreas de atuação em conjunto para discutir os riscos;
⎯ garantir que os diferentes pontos de vista sejam devidamente consideradas na definição
dos critérios de risco e avaliação de riscos;
Backup seguro ⎯ e apoiar um plano de tratamento;
- Melhorar a gestão da mudança adequada para o processo de gestão de risco,
⎯ desenvolver a comunicação interna e externa e plano de consulta.
Comunicação e consulta com as partes interessadas é importante, fazendo julgamentos
sobre o risco com base em suas percepções de risco. Essas percepções podem variar
devido às diferenças de valores, necessidades, premissas, conceitos e preocupações das
partes interessadas. Em seus pontos de vista pode ter um impacto significativo sobre as
decisões, as percepções das partes interessadas devem ser identificadas, registadas e
tidas em conta na tomada de decisão
processo.

Comunicação e consulta devem proporcionar o intercâmbio de informações precisas,

relevantes, precisas e compreensível, tendo em conta as questões de confidencialidade e
integridade pessoal.

Estabelecer o contexto Geral

Ao estabelecer o contexto, a organização articula os seus objectivos, definir o exterior e

interior parâmetros que devem ser tidas em conta na gestão de riscos, e estabelece o
âmbito e os critérios de risco para o processo restante. Embora muitos desses parâmetros
são similares àquelas consideradas na concepção dos riscos do quadro de gestão (ver
4.3.1), definindo o contexto para o processo de gestão de risco, devem ser considerados
com maior detalhe e, em particular como eles se relacionam com o âmbito do processo
especial de gestão de risco.

Estabelecer o contexto externo

O ambiente externo é o ambiente externo em que a organização pretende alcançar seus

objetivos.
Compreender o ambiente externo é importante para assegurar que os objetivos e as
preocupações das partes interessadas externas são consideradas no desenvolvimento de
critérios de risco. Baseia-se na organização mais ampla, mas com informações
específicas sobre os requisitos legais e regulamentares, as percepções das partes
interessadas e outros aspectos de riscos específicos para o âmbito do processo de
gestão de risco.

O ambiente externo podem incluir, mas não limitados a:

Natural ⎯ sociais e culturais, políticas, legais, regulamentares, financeiros, tecnológicos,

econômicos e ambiente competitivo, quer a nível internacional, nacional, regional ou local;

⎯ fatores-chave e tendências de impacto sobre os objetivos da organização, e

⎯ A relação com as percepções e valores dos agentes externos.
Estabelecer o contexto interno

O contexto interno é o ambiente interno no qual a organização pretende alcançar seus

objetivos.
O processo de gerenciamento de risco devem ser alinhadas com a cultura organizacional,
processos, estrutura e estratégia. Contexto interno, é qualquer coisa dentro da
organização que podem influenciar a maneira pela qual uma organização é gerir o risco.

Deve ser estabelecido porque:

a) uma gestão de risco tem lugar no âmbito dos objetivos da organização;

b) Os objetivos e os critérios de um projeto específico, processo ou actividade deve ser
considerada à luz dos objetivos da organização como um todo e
c) algumas organizações reconhecem as oportunidades para alcançar os seus negócios
estratégicos e objetivos, e isso afeta o contínuo compromisso institucional, credibilidade,
confiança e valor.

Você precisa entender o contexto nacional. Isso pode incluir, mas não limitados a:

⎯ governança, estrutura organizacional, funções e responsabilidades;

⎯ As políticas, objetivos e estratégias são utilizados para realizar;
Capacidades entendidas em termos de recursos e conhecimento (capital, por exemplo,
tempo, pessoas, processos, sistemas e tecnologias);
⎯ As relações e as percepções e valores dos grupos de interesse nacional;
⎯ cultura organizacional;
⎯ sistemas de informação, fluxos de informação e tomada de decisão (formais e
informais);
⎯ normas, orientações e modelos adoptados pela organização, e
⎯ A forma eo âmbito das relações contratuais.

Estabelecer o contexto do processo de gestão de risco

Os objetivos, estratégias, o alcance e os parâmetros das atividades da organização, ou

partes da organização no processo de gestão de risco está a ser implementado, deve ser
estabelecida. Gerenciamento
risco deve ser feita com plena consideração a necessidade de justificar os recursos
utilizados na realização de gestão de risco. Os recursos necessários, as
responsabilidades e autoridades, e registros a serem mantidos também ser especificado.

O contexto do processo de gerenciamento de risco pode variar de acordo com as

necessidades de uma organização. Pode envolver, mas não estão limitados a:

⎯ a definição de metas e objetivos das atividades de gestão de risco;

⎯ para a definição de responsabilidades e do processo de gestão de risco;
⎯ a definição do escopo e da profundidade e amplitude de atividades de gestão de risco a
ser realizada, incluindo as inclusões e exclusões específicas;
⎯ a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos
de tempo e lugar;
⎯ a definição das relações entre um projeto específico, processo ou atividade e outros
projetos, processos ou atividades da organização;
⎯ a definição de metodologias de avaliação de risco;
⎯ definir a forma como é avaliado o desempenho ea eficácia da gestão de riscos;
⎯ identificar e especificar as decisões que têm de ser feito, e
⎯ identificação, especificação e desenvolvimento dos estudos necessários, o âmbito e
objetivos, e

Os recursos necessários para tais estudos.

Atenção a estes e outros fatores relevantes devem ajudar a garantir que a abordagem de
gestão de risco adotada é adequada às circunstâncias, a organização e os riscos para a
concretização dos seus objetivos.

Definição de critérios de risco

A organização deve definir os critérios utilizados para avaliar o grau de risco. Os critérios
devem refletir os valores da organização, objetivos e recursos. Alguns critérios podem ser
impostas por, ou derivados, os requisitos legais e regulamentares e outros requisitos a
que a organização subscreva. Os critérios de risco deve ser coerente com a política de
gestão da organização em risco (ver 4.3.2), que definiu o início de qualquer processo de
gestão de risco e revisados continuamente.

Na definição dos critérios de risco, fatores a considerar devem incluir o seguinte:

⎯ A natureza e os tipos de causas e conseqüências que podem ocorrer e como ele é

medido;
⎯ Como provavelmente será definido;
⎯ O termo (s) da probabilidade e / ou conseqüência (s);
⎯ Como o nível de risco é determinado;
⎯ Os pontos de vista das partes interessadas;
⎯ O nível em que o risco se torna aceitável ou tolerável, e
⎯ Se combinações de múltiplos riscos de ser tidos em conta e, em caso afirmativo, como e
quais combinações devem ser considerados.

A avaliação de riscos

Geral

A avaliação dos riscos é o processo geral de identificação de riscos, análise de risco e

avaliação de riscos.
NOTA ISO / IEC 31010 fornece orientação sobre técnicas de avaliação de risco
A identificação dos riscos

A organização deve identificar as fontes de risco, áreas de impacto, a evolução (incluindo

alterações nas circunstâncias) e as suas causas e possíveis consequências.
O objetivo desta etapa é gerar uma lista completa dos riscos baseadas em eventos que
possam criar, melhorar, prevenir, diminuir, acelerar ou retardar o cumprimento de
objectivos. É importante identificar os riscos associados a não perseguir uma
oportunidade. A identificação completa é crítica, porque não o risco de que não é
identificado nesta fase incluídos na análise.
Deve incluir os riscos ou não a sua fonte está sob o controle da organização, mesmo se a
fonte de risco ou de causa não pode ser óbvio. Identificação dos riscos deve incluir a
análise dos efeitos sobre a cadeia especial de consequências, incluindo os efeitos em
cascata e cumulativo.

Você também deve considerar uma série de conseqüências, mesmo que a fonte de risco
ou causa não pode ser óbvio. E a identificação do que pode acontecer, temos de
considerar as possíveis causas e situações que mostram as consequências que podem
ocorrer.

Todas as causas, conseqüências e devem ser considerados.

A organização deve implementar as ferramentas de identificação de riscos e técnicas que
se adequam aos seus objectivos e capacidades, e os riscos que enfrentam. Dados
relevantes e atualizados é importante para identificar os riscos. Isto deve incluir a
informação de fundo adequada possível. Aqueles com competências adequadas devem
participar na identificação de riscos.

A análise de risco

A análise de risco envolve o desenvolvimento de uma compreensão dos riscos. A análise

de risco fornece uma porta de entrada para avaliação de risco e as decisões sobre se os
riscos precisam ser tratados, e às estratégias de tratamento mais adequado e métodos.

A análise de risco também podem contribuir na tomada de decisões nas eleições devem
ser realizadas e as opções para a participação de diferentes tipos e níveis de risco.

A análise de risco envolve a análise das causas e fontes de risco, suas conseqüências
positivas e negativas ea probabilidade de que essas conseqüências podem ocorrer.
Fatores que afetam as conseqüências e riscos devem ser identificados.

O risco é analisado, determinando as conseqüências e probabilidade, e outros atributos

de riscos. Um evento pode ter muitas conseqüências e pode afetar múltiplos alvos. Os
controles existentes e sua eficácia e eficiência também deve ser tida em conta.
A forma pela qual o impacto e probabilidade são expressas e como eles se combinam
para determinar um nível de risco que deve refletir o tipo de risco, as informações
disponíveis e os fins para que a saída da avaliação de risco será utilizado. Isso deve ser
coerente com os critérios de risco. Também é importante considerar a interdependência
dos diferentes riscos e suas fontes.

Confiança na determinação do nível de risco e de sensibilidade para as condições prévias

e pressupostos devem ser considerados na análise, e comunicada de forma eficaz aos
tomadores de decisão e, se for caso disso, outras partes interessadas.

Fatores como a divergência de opinião entre os especialistas, a incerteza, disponibilidade,

qualidade, quantidade e relevância permanente das informações, ou as restrições sobre a
modelagem deve ser declarado e pode ser destacada.
A análise de risco pode ser realizada com diferentes graus de detalhe, dependendo do
risco, para efeitos de análise e informação, dados e recursos. Análise pode ser qualitativa,
quantitativa ou semi - quantitativa, ou uma combinação dos mesmos, dependendo das
circunstâncias.

Conseqüências e probabilidade pode ser determinada pela modelagem dos resultados de

um evento ou série de eventos, ou por extrapolação a partir de estudos experimentais ou
dados disponíveis. As conseqüências podem ser expressos em termos de efeitos
tangíveis e intangíveis.

Em alguns casos, mais de um descritor numérico ou é para especificar as conseqüências

e as probabilidades de diferentes épocas, lugares, grupos ou situações.

A avaliação de riscos

O objetivo da avaliação de risco é auxiliar na tomada de decisão, com base nos

resultados da análise de riscos, riscos que requerem tratamento prioritário e entrega de
tratamento.

Avaliação de risco consiste em comparar o nível de risco identificados durante o processo

de análise com critérios de risco estabelecidos quando se considera o contexto. Com
base nessa comparação, a necessidade de tratamento pode ser considerado.

As decisões devem levar em conta o contexto mais amplo de risco e incluir a análise da
tolerância de riscos assumidos por outras partes da organização que beneficia os riscos.
As decisões devem ser feitas de acordo com disposições legislativas, regulamentares e
outros.

Em algumas circunstâncias, a avaliação de risco pode levar a uma decisão de efectuar

uma análise mais aprofundada. A avaliação de risco também pode conduzir não a uma
decisão de tratar os riscos de qualquer outra forma de manter os controles existentes.
Esta decisão será influenciado pela atitude de risco da organização e os critérios de risco
que têm sido.
O tratamento do risco

Geral

O tratamento do risco é selecionar uma ou mais opções para a alteração dos riscos, e
implementar essas opções.

Uma vez implementado, os tratamentos fornecer ou alterar os controles.

A gestão de riscos envolve um processo cíclico:

⎯ avaliação de tratamento de riscos;
⎯ se os níveis de risco residual são toleráveis;
⎯ se não tolerável, gerando um novo tratamento de risco
⎯ a avaliação da eficácia do tratamento.

As opções de tratamento dos riscos não são necessariamente mutuamente exclusivos ou

adequado em todas as circunstâncias. As opções podem incluir:

a) evitar o risco, ao decidir não dar início ou prosseguir a atividade que deu origem ao
risco;
b) ter ou aumentar o risco, a fim de buscar uma oportunidade;
c) remoção da fonte de risco;
d) mudanças na probabilidade;
e) alterar as conseqüências;
f) partilha de riscos com a outra parte ou partes (incluindo os contratos de financiamento e
de risco) e
g) manter o risco informado decisão.

Seleção de opções de tratamento de risco

Selecionar o tratamento mais adequado é equilibrar os custos de risco e os esforços de

aplicação da lei contra os ganhos realizados com respeito das disposições legislativas,
regulamentares ou de outra forma, como a responsabilidade social ea protecção do
ambiente natural. As decisões devem também levar em conta os riscos que podem
justificar um tratamento de risco não se justifica por razões econômicas, por exemplo,
grave (alta conseqüência negativa), mas o risco (raro baixo).

Um número de opções de tratamento podem ser considerados e aplicados

individualmente ou em combinação. A organização, normalmente podem se beneficiar da
adoção de uma combinação de opções de tratamento.

Quando a seleção de opções de tratamento dos riscos, a organização deve considerar os

valores e as percepções das partes interessadas e os meios mais adequados para se
comunicar com eles. Quando as opções de tratamento de risco pode ter impacto sobre o
risco em outras partes da organização com as partes interessadas, devem participar na
decisão.
Embora igualmente eficazes, alguns tratamentos de risco pode ser mais aceitável para
algumas partes do que outras. O plano de tratamento devem identificar claramente a
ordem de prioridade em que os tratamentos de risco individual deve ser implementado.

O tratamento do risco em si pode ser perigoso. Um risco significativo pode ser a falta ou
ineficácia das medidas de gestão de risco.
O monitoramento deve ser uma parte integrante do plano de tratamento de risco para
fornecer garantias de que as medidas permanecem eficazes.

A gestão do risco também pode introduzir riscos secundários a serem avaliados, tratados,
controlados e revisados.

Estes riscos secundários devem ser incorporadas no plano de tratamento que o risco
original e não tratado como um novo risco. A ligação entre os dois riscos devem ser
identificados e mantido.

Elaboração e implementação de planos de tratamento de risco

O objetivo dos planos de tratamento de risco é documentar como as opções de

tratamento escolhido será realizada.

As informações fornecidas sobre os planos de tratamento deve incluir:

⎯ As razões para a seleção de opções de tratamento, incluindo os benefícios esperados
para ser adquirida;
⎯ Aqueles que são responsáveis pela aprovação do plano e os responsáveis pela
execução do plano;
⎯ ações propostas;

Os recursos necessários incluindo contingências;

⎯ medidas de desempenho e limitações;
⎯ Relatórios e requisitos de monitorização, e
⎯ Agenda.

Planos de tratamento deve ser integrado com os processos de gestão da organização e

discutido com as partes interessadas.

Os tomadores de decisão e outras partes interessadas devem estar cientes da natureza e

extensão do risco residual após o tratamento de risco. O risco residual deve ser
documentado e objecto de acompanhamento, revisão e, onde o tratamento adequado,
ainda mais.

Supervisão e revisão

Acompanhamento e avaliação deve ser uma parte planejada do processo de gestão de

riscos e controlo de assiduidade ou de acompanhamento. Pode ser regular ou ad hoc.
Responsabilidades de acompanhamento e avaliação deverão ser claramente definidas.
Controle da organização e processos de revisão deve abranger todos os aspectos do
processo de gestão de risco para efeitos de:

⎯ garantir que os controles são eficazes e eficientes, tanto na concepção e

funcionamento;
⎯ A obtenção de mais informações para melhorar a avaliação dos riscos;
⎯ Analisar e aprender as lições dos eventos (incluindo quase acidentes), as mudanças,
tendências, sucessos e fracassos;
⎯ A detecção de mudanças no contexto interno e externo, incluindo alterações nos
critérios de risco eo risco se pode exigir uma revisão do tratamento de riscos e
prioridades, e
⎯ A identificação de riscos emergentes.
Progressos na implementação dos planos de tratamento de risco fornece uma medida de
desempenho. Os resultados podem ser incorporadas em gestão do desempenho global
da organização, a medição interna e externa e as actividades de informação.
Os resultados da monitorização e revisão devem ser registados e comunicados interna e
externamente quando necessário, e também deve ser usado como entrada para a revisão
do quadro de gestão de risco (ver 4.5).
Gravação do processo de gestão de risco
As atividades de gerenciamento de risco devem ser rastreáveis. No processo de gestão
de riscos, fornecer registros da Fundação para a Melhoria de métodos e ferramentas, bem
como em todo o processo.

As decisões relativas à criação de registos deve ter em conta:

⎯ necessidades da organização para a aprendizagem contínua;

⎯ Os benefícios da reutilização de informações para fins de gestão;
⎯ custos eo esforço envolvidos na criação e manutenção de registros;
⎯ requisitos legais, os registros regulamentares e operacionais;
⎯ O método de acesso, facilidade de recuperabilidade e meios de armazenamento;
⎯ período de retenção, e
⎯ A sensibilidade da informação.

Atributos da melhor gestão de risco

Geral
Todas as organizações devem ter como objectivo o nível adequado de retorno do seu
quadro de gestão de risco de acordo com a criticidade das decisões que deve ser feito. A
lista de atributos abaixo representa um elevado nível de desempenho na gestão de risco.
Para ajudar as organizações a medir o seu próprio desempenho em função destes
critérios, alguns indicadores tangíveis são dadas para cada atributo.
Resultados da organização

A.2.1 A organização tem um conhecimento actual, correcta e completa dos riscos.

A organização A.2.2 dos riscos estão dentro de seus critérios de risco.

Melhoria contínua

A ênfase na melhoria contínua na gestão de riscos, estabelecendo metas de desempenho

organizacional, medição, análise e as subsequentes alterações de processos, sistemas,
recursos, habilidades e conhecimentos.
Isto pode ser indicado pela existência de metas explícitas de desempenho contra o qual a
organização e o indivíduo Performance Manager é medido. O desempenho da
organização pode ser publicado e comunicado. Normalmente, há pelo menos uma
avaliação anual de desempenho e metas, em seguida, uma revisão de processos e
definição de desempenho para o período seguinte revisto.

Esta avaliação de risco de gestão de desempenho é uma parte integrante do

desempenho organizacional global de avaliação e medição do sistema de departamentos
e indivíduos.

Integral responsabilidade pelos riscos

Melhor gestão do risco inclui abrangente, totalmente definido e aceito a total

responsabilidade pelos riscos,
controles e os esforços de tratamento de risco. As pessoas nomeadas aceitar plenamente
a responsabilidade estão devidamente qualificados e dispõe de recursos suficientes para
verificar os controles para monitorar os riscos, melhorar os controles e comunicar
eficazmente sobre os riscos e sua gestão às partes interessadas internas e externas.
Isto pode ser indicado por todos os membros de uma organização está plenamente ciente
dos riscos, controles e funções para as quais são responsáveis. Normalmente, este será
gravado no trabalho / descrições de trabalho, bancos de dados ou sistemas de
informação. A definição de funções de gestão de riscos, responsabilidades e obrigações
devem ser parte de programas de indução de toda a organização.

A organização garante que os responsáveis estão preparados para cumprir esse papel,
fornecendo-lhes a autoridade, tempo, treinamento, recursos e competências suficientes
para satisfazer as suas responsabilidades.

Aplicação da gestão de risco em todas as decisões

Todas tomada de decisão dentro da organização, independentemente do nível de

importância e significado, envolve a consideração explícita dos riscos ea implementação
da gestão de risco, em certa medida adequada.

Isso pode ser indicado pelos registros das reuniões e decisões para mostrar que as
discussões explícitas sobre o aumento dos riscos. Além disso, deve ser possível ver que
todos os componentes dos processos de gestão de risco são representados na tomada
de decisões-chave na organização, por exemplo, as decisões sobre alocação de capital
em grandes projetos e reestruturação e mudanças organizacionais. Por estes motivos, o
risco de um sólido é visto dentro da organização e fornecer as bases para uma
governação eficaz.

Comunicação continua

Melhor gestão do risco inclui a comunicação permanente com os agentes externos e

internos incluindo o desempenho pleno e frequente de gestão de risco como parte da boa
governação.

Isto pode ser indicado pela comunicação com as partes interessadas, como parte
integrante e essencial da gestão de risco. A comunicação é justamente visto como um
processo de duas vias, para que as decisões devidamente informadas podem ser feitas
sobre o nível de risco e necessidade de tratamento para o bem-estabelecida de risco e
critérios de risco global.

Global e comunicação interna e externa comum em ambos e gestão de riscos

desempenho contribui substancialmente para a gestão eficaz de uma organização.

A plena integração na gestão da organização, estrutura

A gestão do risco é vista como fundamental para a gestão de processos da organização,

de modo que os riscos são considerados em termos de impacto de incerteza sobre os
objectivos. A estrutura de governança eo processo é baseado em gestão de riscos.
Gestão eficaz dos riscos é considerada pelos gestores como essencial para atingir os
objetivos da organização.

Isto é indicado pela linguagem dos gestores e importante documentação escrita da

empresa, usando o termo "incerteza" quanto aos riscos. Este atributo é normalmente
também reflectidas nas demonstrações da organização da política, em especial as
relativas à gestão do risco. Normalmente, este atributo será verificada por meio de
entrevistas com gerentes e pela evidência de suas ações e declarações.