Professional Documents
Culture Documents
GESTÃO DE RISCOS
Diretrizes para a Implementação
da ISO 31000:2018
PRÉ-VISUALIZAÇÃO DO MANUAL
ÍNDICE
Introdução ..................................................................................................... 05
1 Escopo e generalidades ............................................................................ 06
1.1 Bases para a gestão de riscos .............................................................. 06
1.2 Benefícios da gestão de riscos ............................................................. 07
1.3 Aplicações da gestão de riscos ............................................................. 09
1.4 Governança corporativa ........................................................................ 10
2 Panorama do processo de gestão de riscos .......................................... 12
3 Comunicação e consulta .......................................................................... 14
3.1 Generalidades ........................................................................................ 14
3.2 O que é comunicação e consulta? ......................................................... 14
3.3 Por que a comunicação e a consulta são importantes .......................... 15
3.4 Desenvolvimento do processo de comunicação e consulta ................. 19
4 Escopo, contexto e critérios .................................................................... 21
4.1 Escopo e contexto ................................................................................. 21
4.2 Objetivos e ambiente .............................................................................. 21
4.3 Identificação e análise das partes interessadas ..................................... 23
4.4 Critérios .................................................................................................. 24
4.5 Critérios de consequência ...................................................................... 24
4.6 Elementos-chave ................................................................................... 25
4.7 Documentação dessa etapa .................................................................. 27
5 Identificação de riscos ............................................................................. 28
5.1 Propósito ............................................................................................... 28
5.2 Componentes de um risco ..................................................................... 28
5.3 Processo de identificação ...................................................................... 29
5.4 Informações para a identificação de riscos ........................................... 30
5.5 Abordagens para a identificação de riscos ............................................ 31
5.6 Documentação dessa etapa .................................................................. 31
6 Análise de riscos ..................................................................................... 32
6.1 Panorama.............................................................................................. 32
6.2 Tabelas de consequências e probabilidades ........................................ 39
6.3 Nível de risco ......................................................................................... 42
Risk Tecnologia 2
Implementação da ISO 31000:2018
Risk Tecnologia 3
Implementação da ISO 31000:2018
Risk Tecnologia 4
Implementação da ISO 31000:2018
INTRODUÇÃO
A gestão de riscos é um processo de negócios muito importante nos setores
público e privado no mundo todo. A implementação correta e eficaz da gestão de
riscos faz parte das melhores práticas de negócios, tanto no âmbito corporativo
quanto no estratégico, e é também uma maneira de buscar a melhoria das
atividades operacionais.
Alguns outros termos adotados neste Manual também podem ter usos distintos.
Por exemplo, os termos ‘análise de riscos’, ‘processo de avaliação de riscos’ e
‘avaliação de riscos’ são utilizados de maneira variada em textos sobre gestão
de riscos. Eles geralmente têm definições que se sobrepõem ou que às vezes
são intercambiáveis, podendo incluir a etapa de identificação de riscos. Optamos
por utilizar a terminologia que serve de base para as normas internacionais
(especialmente o ABNT ISO Guia 73).
Risk Tecnologia 12
Implementação da ISO 31000:2018
3 COMUNICAÇÃO E CONSULTA
3.1 Generalidades
A gestão de riscos não é somente uma tarefa técnica, mas também um conjunto
de ações e decisões que acontecem em um contexto social. A comunicação e a
consulta são partes integrantes do processo de gestão de riscos e deveriam
sempre ser consideradas de maneira explícita. A gestão de riscos será
aprimorada por meio do entendimento das perspectivas de cada uma das partes
interessadas e, quando possível, por meio de sua participação ativa na tomada
de decisão.
*
Adaptado do National Research Council. Improving risk communication (Melhoria da comunicação de
riscos). National Academy Press. Washington D.C.
Risk Tecnologia 14
Implementação da ISO 31000:2018
(a) a comunicação de via única significa fornecer informações, tais como relatos
anuais, boletins, atas de reuniões, etc; e
(b) a comunicação de duas vias significa compartilhar perspectivas, opiniões,
posicionamentos, etc. entre as partes interessadas (stakeholders), e entre
uma organização e as partes com ela envolvidas.
3.3.1 Generalidades
Envolver outras pessoas, ou pelo menos olhar para as coisas de outro ponto de
vista, é um ingrediente essencial e crucial em uma abordagem eficaz de gestão
de riscos. O engajamento das partes interessadas torna a gestão de riscos
explícita e mais fundamentada, agregando valor à organização. É
particularmente importante quando as partes interessadas podem:
Essa etapa visa a dar uma visão abrangente de todos os fatores que podem
influenciar a capacidade da organização de alcançar os resultados esperados. O
resultado dessa etapa será o relato conciso dos objetivos organizacionais e
critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão
de riscos, e um conjunto de elementos-chave para a estruturação da atividade
de identificação de riscos. É especialmente importante que o escopo seja
definido claramente, para que o restante do processo permaneça dentro dos
limites desejados.
Risco é o efeito da incerteza nos objetivos. Sendo assim, para garantir que todos
os riscos significativos sejam identificados, é necessário conhecer os objetivos
da função ou atividade da organização que está sendo examinada. Os objetivos
são a essência da definição do contexto. Os critérios para o êxito organizacional
são a base para medir a consecução dos objetivos e, por isso, são utilizados
para identificar e mensurar os impactos e as consequências dos riscos que
podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis).
Risk Tecnologia 21
Implementação da ISO 31000:2018
Risk Tecnologia 22
Implementação da ISO 31000:2018
TABELA 4.3
Para uma análise mais abrangente, essa etapa deveria ser documentada para
demonstrar que a gama completa de fatores ambientais e contextuais foi
considerada.
Para uma atividade de nível inferior, um registro sucinto da análise pode ser
suficiente.
(a) escopo das atividades de gestão de riscos que serão realizadas e seus
resultados esperados;
(b) objetivos organizacionais e medidas do sucesso;
(c) fatores importantes no ambiente interno e externo;
(d) partes interessadas pertinentes;
(e) principais critérios de avaliação de riscos;
(f) documentos consultados ao se estabelecer o contexto; e
(g) elementos-chave por meio dos quais o restante do processo será estruturado.
Risk Tecnologia 27
Implementação da ISO 31000:2018
6 ANÁLISE DE RISCOS
6.1 Panorama
6.1.1 Generalidades
Risk Tecnologia 32
Implementação da ISO 31000:2018
Alguns riscos podem requerer um exame mais detalhado. As razões para uma
análise detalhada, que pode ser quantitativa ou qualitativa, são:
Risk Tecnologia 33
Implementação da ISO 31000:2018
6.2.1 Generalidades
6.2.2 Consequências
A tabela 6.2 traz uma tabela qualitativa simples de consequências, que pode ser
utilizada por uma organização com critérios relacionados à segurança e saúde,
meio ambiente e sucesso financeiro. Também considera os impactos políticos e
financeiros dos riscos, da mesma forma que pode ser encontrada em uma
análise de programas do setor público. A tabela 6.3 traz uma tabela descritiva
simples.
Risk Tecnologia 39
Implementação da ISO 31000:2018
Tabela 6.6
Exemplo de matriz para determinar o nível de risco
(a) Risco muito alto ou alto: necessária atenção da Alta Direção e especificação
de planos de ação e responsabilidades da Alta Direção.
(b) Risco médio: gestão por meio de monitoramento específico ou
procedimentos de resposta e especificação das responsabilidades da Alta
Direção.
Risk Tecnologia 42
Implementação da ISO 31000:2018
(c) Risco baixo: gestão por meio de procedimentos de rotina; provavelmente não
requer aplicação específica de recursos.
Tabela 6.7
Exemplo – Matriz simples de nível de risco
Consequências
Probabilidade Maior Moderada Menor
Provável Vermelho Vermelho Amarelo
Possível Vermelho Amarelo Verde
Improvável Amarelo Verde Verde
Alta
'Problema'
Faixa de
resultados
P viáveis
r
o
?
b
a
b
i 'Catástrofe'
l
i
d
a
d
e
Baixa
Baixa Alta
Consequência
Muitos eventos de risco podem surgir de diversas maneiras, dentro de uma faixa
de resultados e probabilidades associadas. Por exemplo, se um erro de
processamento ocorresse em uma organização, poderia ser um problema
Risk Tecnologia 43
Implementação da ISO 31000:2018
Região
Geralmente O risco não pode ser
Aumento dos Riscos Individuais e Intolerável justificado, a não ser em
Preocupações com a Sociedade (Limite de circunstâncias
Segurança extraordinárias.
Básico)
ALARP ou Conduzir os riscos para a
Região Região Aceitável
Tolerável Amplamente.
(Objetivo de
Segurança Risco residual tolerável,
Básico) somente se não for possível
nenhuma outra redução do
Região risco.
Aceitável
Amplamente Improvável que a redução
do risco seja requerida,
devido aos recursos serem
provavelmente muito
desproporcionais em
relação à redução obtida.
Risco Insignificante
O mesmo risco pode parecer insignificante para uma pessoa e muito alto para
outra. Portanto, os critérios deveriam tentar representar uma visão objetiva,
levando em consideração as necessidades de todos que forem afetados, bem
como as pessoas de fato sujeitas ao risco.
Risk Tecnologia 52
Implementação da ISO 31000:2018
Risk Tecnologia 53
Implementação da ISO 31000:2018
11.1 Política
Risk Tecnologia 86
Implementação da ISO 31000:2018
As mensagens-chave incluem:
Risk Tecnologia 91
ENTRE POR AQUI PARA ADQUIRIR O MANUAL