NPISO031000 2013 Gestão Risco

Norma
Portuguesa
NP
ISO 31000
2013
Gesto do risco
Princpios e linhas de orientao
(ISO 31000:2009)
Management du risque
Principes et lignes directrices
(ISO 31000:2009)
Im
ICS
03.100.01
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Risk management
Principles and guidelines
(ISO 31000:2009)
CORRESPONDNCIA
Verso portuguesa da ISO 31000:2009
HOMOLOGAO
Termo de Homologao n. 47/2013, de 2013-02-20
A presente Norma resulta da reviso da NP ISO 31000:2012
(Ed. 1)
ELABORAO
CT 180 (APQ)
2 EDIO
fevereiro de 2013
CDIGO DE PREO
X008
IPQ reproduo proibida
Rua Antnio Gio, 2

2829-513 CAPARICA
Tel. + 351-212 948 100
E-mail: ipq@ipq.pt
PORTUGAL
Fax + 351-212 948 101
Internet: www.ipq.pt
Prembulo nacional
A presente Norma idntica Norma ISO 31000:2009, Risk management Principles and guidelines.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos anlogos. A ISO no deve ser considerada responsvel por no ter
identificado tais direitos de propriedade intelectual nem por no ter avisado da sua existncia.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete da gesto tcnica da ISO relativo Gesto
do risco.
Esta Norma contm cor. A impresso pode no reproduzir as cores apresentadas na verso eletrnica desta
Norma.
A presente Norma foi preparada pela Comisso Tcnica de Normalizao CT 180 Gesto do risco, cuja
coordenao assegurada pelo Organismo de Normalizao Setorial, Associao Portuguesa para a
Qualidade (ONS/APQ).
Im
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A reviso da NP ISO 31000:2012 constante nesta Norma refere-se formatao e s correes

editorais.
NP
ISO 31000
2013
p. 3 de 30
Sumrio
Pgina
Prembulo nacional....................................................................................................................................
Introduo ...................................................................................................................................................
1 Objetivo e campo de aplicao ...............................................................................................................
2 Termos e definies .................................................................................................................................
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
3 Princpios.................................................................................................................................................. 13
4 Estrutura .................................................................................................................................................. 15
4.1 Generalidades ......................................................................................................................................... 15
4.2 Mandato e compromisso ........................................................................................................................ 16
4.3 Conceo da estrutura para gerir o risco ................................................................................................ 16
4.3.1 Compreenso da organizao e do seu contexto ................................................................................. 16
4.3.2 Estabelecimento da poltica da gesto do risco ................................................................................... 17
4.3.3 Responsabilizao ............................................................................................................................... 17
4.3.4 Integrao nos processos organizacionais ........................................................................................... 17
4.3.5 Recursos .............................................................................................................................................. 18
4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos ............................................... 18
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos .............................................. 18
Im
4.4 Implementao da gesto do risco.......................................................................................................... 19

4.4.1 Implementao da estrutura para gerir o risco..................................................................................... 19
4.4.2 Implementao do processo da gesto do risco ................................................................................... 19
4.5 Monitorizao e reviso da estrutura ...................................................................................................... 19
4.6 Melhoria contnua da estrutura ............................................................................................................... 19
5 Processo .................................................................................................................................................... 20
5.1 Generalidades ......................................................................................................................................... 20
5.2 Comunicao e consulta ......................................................................................................................... 20
5.3 Estabelecimento do contexto .................................................................................................................. 21
5.3.1 Generalidades ...................................................................................................................................... 21
5.3.2 Estabelecimento do contexto externo .................................................................................................. 21
NP
ISO 31000
2013
p. 4 de 30
5.3.3 Estabelecimento do contexto interno................................................................................................... 22

5.3.4 Estabelecimento do contexto do processo da gesto do risco ............................................................. 22
5.3.5 Definio dos critrios do risco ........................................................................................................... 23
5.4 Apreciao do risco ................................................................................................................................ 23
5.4.1 Generalidades ...................................................................................................................................... 23
5.4.2 Identificao do risco .......................................................................................................................... 23
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
5.4.3 Anlise do risco ................................................................................................................................... 24

5.4.4 Avaliao do risco ............................................................................................................................... 25
5.5 Tratamento do risco ................................................................................................................................ 25
5.5.1 Generalidades ...................................................................................................................................... 25
5.5.2 Seleo de opes de tratamento do risco ........................................................................................... 25
5.5.3 Preparao e implementao dos planos de tratamento do risco......................................................... 26
5.6 Monitorizao e reviso ......................................................................................................................... 26
5.7 Registo do processo da gesto do risco .................................................................................................. 27
Anexo A (informativo) Atributos da gesto do risco reforada .............................................................. 28
Im
Bibliografia ................................................................................................................................................. 30
NP
ISO 31000
2013
p. 5 de 30
Introduo
As organizaes de todos os tipos e dimenses enfrentam fatores e influncias, internos e externos, que
tornam incerto se, e quando, atingiro os seus objetivos. O efeito que esta incerteza tem nos objetivos de
uma organizao designa-se por risco.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Todas as atividades de uma organizao envolvem risco. As organizaes gerem o risco mediante a sua
identificao e anlise, aps o que avaliam a necessidade da sua alterao, tratando-o de forma a satisfazer
os seus critrios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que esto a alter-lo, de forma a assegurarem que no
necessrio um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processo
sistemtico e lgico.
Apesar de todas as organizaes gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princpios que devero ser cumpridos de modo a tornar eficaz a gesto do risco. Esta Norma recomenda que
as organizaes desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo
integrar o processo para gerir o risco na governao, estratgia e planeamento, gesto, processos de reporte,
polticas, valores e cultura.
A gesto do risco pode ser aplicada a uma organizao na sua globalidade, nas suas diversas reas e nveis,
a qualquer momento, bem como a funes, projetos e atividades especficos.
Se bem que a prtica da gesto do risco tenha vindo a ser desenvolvida ao longo do tempo e em vrios
sectores de modo a responder a necessidades diversas, a adoo de processos consistentes numa estrutura
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
toda a organizao. A abordagem genrica descrita nesta Norma fornece os princpios e as linhas de
orientao para a gesto de qualquer tipo de risco de modo sistemtico, transparente e credvel, qualquer
que seja o mbito e o contexto.
Im
Cada setor especfico ou aplicao particular da gesto do risco implicam necessidades, pblicos, percees
e critrios prprios. Por esta razo uma caracterstica essencial desta Norma a incluso do
estabelecimento do contexto como a atividade inicial do processo genrico da gesto do risco. O
estabelecimento do contexto vai permitir apreender os objetivos da organizao, o ambiente em que procura
atingi-los, as suas partes interessadas e a diversidade dos critrios do risco que na sua globalidade
ajudaro a identificar e apreciar a natureza e complexidade dos seus riscos.
As relaes entre os princpios para a gesto do risco, a estrutura onde esta ocorre e o processo da gesto do
risco descritos nesta Norma esto representados na Figura 1.
A implementao e manuteno da gesto do risco de acordo com esta Norma permitem a uma
organizao, por exemplo:
aumentar a verosimilhana de atingir os seus objetivos;
encorajar a gesto proativa;
estar ciente da necessidade de identificar e tratar o risco em toda a organizao;
melhorar a identificao das oportunidades e ameaas;
cumprir as obrigaes legais e regulamentares e normas internacionais aplicveis;
melhorar os relatos obrigatrios e voluntrios;
melhorar a governao;
aumentar a confiana das partes interessadas e a credibilidade da organizao;
NP
ISO 31000
2013
p. 6 de 30
estabelecer uma base fivel para tomada de decises e planeamento;

melhorar os controlos;
afetar e utilizar os recursos no tratamento do risco de forma eficaz;
melhorar a eficcia e a eficincia operacionais;
reforar o desempenho no domnio da segurana e sade, bem como na proteo ambiental;
melhorar a preveno de perdas e a gesto de incidentes;
minimizar as perdas;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
melhorar a aprendizagem organizacional;

melhorar a resilincia organizacional.
Esta Norma pretende responder s necessidades de uma grande diversidade de partes interessadas,
incluindo:
a) os responsveis pela elaborao da poltica da gesto do risco dentro da sua organizao;
b) as pessoas encarregadas de assegurar que o risco gerido eficazmente na organizao como um todo, ou
numa rea, projeto ou atividade especficos;
c) as pessoas que necessitam de avaliar a eficcia da organizao para gerir o risco;
d) os que elaboram normas, guias, procedimentos e regras de boas prticas, que definem, total ou
parcialmente, como dever ser gerido o risco no contexto especfico destes documentos.
As prticas e processos atuais da gesto de muitas organizaes incluem componentes da gesto do risco,
tendo muitas organizaes j adotado um processo formal da gesto do risco, para determinados tipos de
risco ou circunstncias particulares. Nestes casos, uma organizao pode decidir realizar uma reviso crtica
dos seus processos e prticas existentes luz desta Norma.
Im
Nesta Norma os termos ou expresses gesto do risco e gerir o risco so ambos utilizados. Em geral a
gesto do risco refere-se arquitetura (princpios, estrutura e processo) para gerir os riscos com eficcia,
enquanto que gerir o risco se refere aplicao dessa arquitetura a riscos particulares.
Princpios
(seco 3)
k) Facilita a melhoria contnua

e a melhoria da organizao
j) Dinmica, iterativa e reativa

mudana
i) Transparente e participada
h) Tem em conta fatores

humanos e culturais
g) Feita medida
f) Baseia-se na melhor
informao disponvel
e) Sistemtica, estruturada e
atempada
d) Considera explicitamente a
incerteza
c) Parte da tomada de deciso
b) Parte integrante de todos os

processos organizacionais
a) Cria valor
Melhoria
contnua da
estrutura
(4.6)
Estrutura
(seco 4)
Monitorizao
e reviso da
estrutura (4.5)
Implementao
da gesto do risco
(4.4)
Conceo da estrutura
para gerir o risco
(4.3)
Processo
(seco 5)
Tratamento do risco (5.5)
Avaliao do risco (5.4.4)
Anlise do risco (5.4.3)
Identificao do risco (5.4.2)
Apreciao do risco (5.4)
Estabelecimento do contexto
(5.3)
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
Mandato e
compromisso
(4.2)
NP
ISO 31000
2013
p. 7 de 30
Monitorizao e reviso (5.6)
Figura 1 Relaes entre os princpios, a estrutura e o processo da gesto do risco

Monitorizao e reviso (5.6)
Comunicao e consulta (5.2)
NP
ISO 31000
2013
p. 8 de 30
1 Objetivo e campo de aplicao

Esta Norma fornece princpios e linhas de orientao gerais sobre a gesto do risco.
A presente Norma pode ser utilizada por qualquer empresa pblica, privada ou comunitria, associao,
grupo ou indivduo. Por esta razo a presente Norma no especfica de qualquer indstria ou setor.
NOTA:
Por convenincia, todos os utilizadores da presente Norma so referidos pelo termo genrico de organizao.
A presente Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de
atividades, incluindo estratgias e decises, operaes, processos, funes, projetos, produtos, servios e
ativos.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
consequncias sejam positivas ou negativas.
Apesar da presente Norma fornecer linhas de orientao gerais, no se destina a promover a uniformidade
da gesto do risco nas organizaes. A conceo e a implementao dos planos e estruturas da gesto do
risco necessitaro de ter em conta as diversas necessidades de uma organizao especfica, dos seus
objetivos, contexto, estrutura, operaes, processos, funes, projetos, produtos, servios, ativos e prticas
especficas utilizadas.
Pretende-se que esta Norma seja utilizada na harmonizao dos processos da gesto do risco em normas
existentes e futuras. A presente Norma permite uma abordagem comum de apoio s normas relativas a
riscos e/ou setores especficos, no as substituindo.
A presente Norma no se destina a fins de certificao.
2 Termos e definies
Para os fins da presente Norma aplicam-se os seguintes termos e definies:
Im
2.1 risco
Efeito da incerteza na consecuo dos objetivos.
NOTA 1: Um efeito um desvio, positivo ou negativo, relativamente ao esperado.

NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de sade e segurana, ambientais, entre outros) e podem ser
aplicados a diferentes nveis (estratgico, em toda a organizao, de projeto, de produto e de processo).
NOTA 3: O risco frequentemente caracterizado pela referncia aos eventos (2.17) potenciais e consequncias (2.18), ou
combinao de ambos.
NOTA 4: O risco frequentemente expresso como a combinao das consequncias de um dado evento (incluindo alterao das
circunstncias) e a respetiva probabilidade (2.19) de ocorrncia.
NOTA 5: A incerteza o estado, ainda que parcial, de deficincia de informao relacionado com a compreenso ou
conhecimento de um evento, sua consequncia ou probabilidade.
[Guia ISO 73:2009, definio 1.1]

2.2 gesto do risco
Atividades coordenadas para dirigir e controlar uma organizao no que respeita ao risco (2.1).
NP
ISO 31000
2013
p. 9 de 30
2.3 estrutura da gesto do risco

Conjunto de elementos que fornecem os fundamentos e disposies organizacionais, para conceber,
implementar, monitorizar (2.28), rever e melhorar continuamente a gesto do risco (2.2), em toda a
organizao.
NOTA 1: Os fundamentos incluem a poltica, os objetivos, o mandato e o compromisso para gerir o risco (2.1).
NOTA 2: As disposies organizacionais incluem os planos, as relaes, a responsabilizao, os recursos, os processos e as
atividades.
NOTA 3: A estrutura da gesto do risco parte integrante das polticas estratgicas e operacionais globais e das prticas da
organizao.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
[Guia ISO 73:2009, definio 2.1.1]
2.4 poltica da gesto do risco

Declarao das intenes gerais e da orientao de uma organizao em relao gesto do risco (2.2).
2.5 atitude face ao risco

Abordagem da organizao para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco (2.1).
[Guia ISO 73:2009, definio 3.7.1.1]
2.6 plano da gesto do risco

Programa includo na estrutura da gesto do risco (2.2) que especifica a abordagem, os componentes da
gesto e os recursos a aplicar gesto do risco (2.1).
NOTA 1: Os elementos da gesto incluem tipicamente os procedimentos, as prticas, a atribuio de responsabilidades, a
sequncia e a calendarizao das atividades.
NOTA 2: O plano da gesto do risco poder ser aplicado a um produto, processo ou projeto especficos, a parte ou totalidade de
uma organizao.
Im
2.7 dono do risco

Pessoa ou entidade com a responsabilizao e com a autoridade para gerir o risco (2.1).
2.8 processo da gesto do risco
Aplicao sistemtica de polticas, procedimentos e prticas da gesto s atividades de comunicao,
consulta, estabelecimento do contexto e identificao, anlise, avaliao, tratamento, monitorizao (2.28)
e reviso do risco (2.1).
2.9 estabelecimento do contexto
Definio dos parmetros externos e internos a ter em considerao quando se gere o risco e se define o
mbito e o critrio do risco (2.22), para a poltica da gesto do risco (2.4).
NP
ISO 31000
2013
p. 10 de 30
2.10 contexto externo

Ambiente externo no qual a organizao procura atingir os seus objetivos.
NOTA: O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulamentar, financeiro, tecnolgico, econmico, natural e concorrencial, a nvel
internacional, nacional, regional ou local;
os fatores chave e tendncias com impacto nos objetivos da organizao; e
as relaes com as partes interessadas (2.13) externas, as suas percees e valores.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
2.11 contexto interno

Ambiente interno no qual a organizao procura atingir os seus objetivos.
NOTA: O contexto interno pode incluir:
a governao, a estrutura organizacional, as funes e a responsabilizao;

as polticas, os objetivos e as estratgias implementadas para os atingir;
as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
os sistemas de informao, os fluxos de informao e processos de tomada de deciso (formais e informais);
as relaes com as partes interessadas internas, as suas percees e valores;
a cultura da organizao;
as normas, linhas de orientao e modelos adotados pela organizao;

a forma e extenso das relaes contratuais.
2.12 comunicao e consulta

Processos contnuos e iterativos que uma organizao conduz de forma a fornecer, partilhar ou obter
informaes, e para se envolver em dilogo com as partes interessadas (2.13), no que respeita gesto do
risco (2.1).
Im
NOTA 1: A informao pode estar relacionada com a existncia, natureza, forma, verosimilhana (2.19), significncia, avaliao,
aceitabilidade, tratamento ou outros aspetos da gesto do risco.
NOTA 2: A consulta um processo de comunicao informada nos dois sentidos entre uma organizao e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma deciso ou ser definida uma orientao sobre esse assunto. A
consulta :
um processo que causa impacto na deciso mais pela influncia do que pelo poder, e;
um contributo para a tomada de deciso, no uma tomada de deciso conjunta.

2.13 partes interessadas
Pessoa ou organizao que pode afetar, ser afetada ou sentir-se afetada por uma deciso ou atividade.
NOTA: Quem exerce o poder de deciso pode ser uma parte interessada.

2.14 apreciao do risco
Processo global de identificao do risco (2.15), de anlise do risco (2.21) e de avaliao do risco (2.24).
NP
ISO 31000
2013
p. 11 de 30
2.15 identificao do risco

Processo de pesquisa, de reconhecimento e de descrio dos riscos (2.1).
NOTA 1: A identificao do risco envolve a identificao das fontes do risco (2.16), dos eventos (2.17), respetivas causas e
potenciais consequncias (2.18).
NOTA 2: A identificao do risco pode recorrer a dados histricos, a anlises tericas, a opinies informadas e de especialistas e
ter em considerao as necessidades das partes interessadas (2.13).
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
2.16 fonte do risco

O elemento que, por si s ou em combinao com outros, tem o potencial intrnseco de originar um risco
(2.1).
NOTA: Uma fonte do risco pode ser tangvel ou intangvel.
2.17 evento
Ocorrncia ou alterao de um conjunto particular de circunstncias.
NOTA 1: Um evento pode consistir numa ou mais ocorrncias, e pode ter vrias causas.
NOTE 2: Um evento pode consistir em algo que no ocorra.
NOTE 3: Um evento pode algumas vezes ser referido como um incidente ou acidente.
NOTE 4: Um evento sem consequncias (2.18) pode tambm ser referido como quase acidente, incidente ou quase
sucesso.
2.18 consequncia
Resultado de um evento (2.17) que afeta objetivos.
NOTA 1: Um evento pode levar a um conjunto de consequncias.
Im
NOTA 2: Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
NOTA 3: As consequncias pode ser expressas qualitativa ou quantitativamente.
NOTA 4: As consequncias iniciais pode intensificar-se atravs de reaes em cadeia.

2.19 verosimilhana
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gesto do risco, a palavra verosimilhana utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemticos [como uma probabilidade (2.19) ou uma frequncia num determinado perodo de
tempo].
NOTA 2: O termo ingls likelihood (verosimilhana) no tem uma equivalncia direta em algumas lnguas; em vez disso,
frequentemente utilizado como termo equivalente probability (probabilidade). No entanto, em ingls, o termo probability est
muitas vezes limitado sua interpretao matemtica. Por consequncia, na terminologia da gesto do risco, o termo likelihood
utilizado com a finalidade de que dever ter a mesma interpretao lata que o termo probability tem, em muitas outras lnguas
que no o ingls.
NP
ISO 31000
2013
p. 12 de 30
2.20 perfil do risco

Descrio de um qualquer conjunto de riscos (2.1).
NOTA: O conjunto de riscos pode incluir os riscos que digam respeito a toda a organizao, a parte da organizao ou ao que
estiver definido.

2.21 anlise do risco
Processo destinado a compreender a natureza do risco (2.1) e a determinar o nvel do risco (2.23).
NOTA 1: A anlise do risco fornece a base para a avaliao do risco (2.24) e as decises sobre o tratamento do risco (2.25).
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
NOTA 2: A anlise do risco inclui a estimao do risco.
2.22 critrios do risco

Termos de referncia em relao aos quais a significncia de um risco (2.1) avaliada.
NOTA 1: Os critrios do risco so baseados nos objetivos da organizao e nos contextos externo (2.10) e interno (2.11).
NOTA 2: Os critrios do risco podem resultar de normas, leis, polticas e de outros requisitos.
2.23 nvel do risco

Magnitude de um risco (2.1) ou combinao de riscos, expressa em termos da combinao de
consequncias (2.18) e respetivas verosimilhanas (2.19).
2.24 avaliao do risco

Processo de comparao dos resultados da anlise do risco (2.21) com os critrios do risco (2.22) para
determinar se o risco (2.1) e/ou a respetiva magnitude aceitvel ou tolervel.
Im
NOTA: A avaliao do risco apoia a deciso sobre o tratamento do risco (2.25).

2.25 tratamento do risco
Processo para modificar o risco (2.1).
NOTA 1: O tratamento do risco pode envolver o seguinte:
evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;
assumir ou aumentar o risco de forma a perseguir uma oportunidade;
remover a fonte do risco (2.16);
alterar a verosimilhana (2.19);
alterar as consequncias (2.18);
partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
reter o risco com base em deciso informada.
NOTA 2: Os tratamentos do risco que lidam com consequncias negativas, so por vezes referidos como mitigao do risco,
eliminao do risco, preveno do risco e reduo do risco.
NP
ISO 31000
2013
p. 13 de 30
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.

2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, poltica, dispositivo, prtica ou outra ao que modifique o risco.
NOTA 2: O controlo poder nem sempre produzir o efeito modificador pretendido ou assumido.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
2.27 risco residual

Risco (2.1) que subsiste aps o tratamento do risco (2.25).
NOTA 1: Um risco residual pode incluir um risco no identificado.
NOTA 2: Um risco residual pode tambm ser designado como risco retido.
2.28 monitorizao
Verificao, superviso, observao crtica ou a determinao do estado, de modo a identificar
continuadamente alteraes do nvel de desempenho requerido ou esperado.
NOTA: A monitorizao pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo da gesto do risco (2.8), ao
risco (2.1) ou ao controlo (2.26) do risco.
2.29 reviso
Atividade levada a cabo para determinar a adaptao, adequao e a eficcia, da matria visada para atingir
os objetivos estabelecidos.
Im
NOTA: A reviso pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo da gesto do risco (2.8), ao risco ou
ao controlo (2.26) de um risco.
3 Princpios
Para que a gesto do risco seja eficaz, uma organizao dever, a todos os nveis, atuar em conformidade
com os princpios abaixo referidos.
a) A gesto do risco cria e protege o valor.
A gesto do risco contribui para a consecuo demonstrvel de objetivos e melhoria do desempenho,
como por exemplo, na sade e segurana, security*), na conformidade legal e regulamentar, na aceitao
pblica, na proteo ambiental, na qualidade dos produtos, na gesto dos projetos, na eficincia das
operaes, na governao e reputao.
*)
security no original em ingls, pode entender-se fundamentalmente como proteo e preservao das pessoas, bens e
informao quer tangvel quer intangvel (nota nacional).
NP
ISO 31000
2013
p. 14 de 30
b) A gesto do risco parte integrante de todos os processos organizacionais.

A gesto do risco no uma atividade isolada, separada das atividades principais e dos processos da
organizao. A gesto do risco faz parte das responsabilidades da gesto e uma parte integrante de
todos os processos organizacionais, incluindo o planeamento estratgico e todos os processos da gesto
de projetos e da gesto da mudana.
c) A gesto do risco parte da tomada de deciso.
A gesto do risco apoia os decisores na escolha informada, na priorizao das aes e na diferenciao
entre linhas de ao alternativas.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
d) A gesto do risco considera explicitamente a incerteza.

A gesto do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.
e) A gesto do risco sistemtica, estruturada e atempada.
Uma abordagem sistemtica, atempada e estruturada da gesto do risco contribui para a eficincia e
para resultados consistentes, comparveis e fiveis.
f) A gesto do risco baseia-se na melhor informao disponvel.
As entradas do processo para gerir o risco baseiam-se em fontes de informao tais como dados
histricos, experincia, retorno da informao das partes interessadas, observaes, previses e
pareceres de especialistas. No entanto, os decisores devero informar-se e ter em conta quaisquer
limitaes dos dados ou modelos utilizados ou a possibilidade de existncia de divergncias entre
especialistas.
g) A gesto do risco feita medida.
A gesto do risco alinhada com os contextos externo e interno e com o perfil do risco da organizao.
h) A gesto do risco tem em conta fatores humanos e culturais.
i)
Im
A gesto do risco reconhece as competncias, percees e intenes de pessoas externas e internas

organizao que possam facilitar ou impedir a consecuo dos objetivos da organizao.
A gesto do risco transparente e participada.
O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os
nveis da organizao, assegura que a gesto do risco permanece pertinente e atualizada. O
envolvimento permite tambm, que as partes interessadas sejam devidamente representadas e que os
seus pontos de vista sejam tidos em conta na determinao dos critrios do risco.
j)
A gesto do risco dinmica, iterativa e reativa mudana.

A gesto do risco deteta e responde, continuamente, mudana. medida que ocorrem eventos
externos e internos, que o contexto e o conhecimento se alteram e que tm lugar a monitorizao e a
reviso, emergem novos riscos, alguns alteram-se e outros desaparecem.
k) A gesto do risco facilita a melhoria contnua da organizao.

As organizaes devero elaborar e implementar estratgias visando melhorar a maturidade da sua
gesto do risco, assim como em todos os outros aspetos da organizao.
O Anexo A disponibiliza aconselhamento suplementar para as organizaes que desejem gerir o risco
de forma mais eficaz.
NP
ISO 31000
2013
p. 15 de 30
4 Estrutura
4.1 Generalidades
O sucesso da gesto do risco depender da eficcia da estrutura da gesto em fornecer os fundamentos e as
disposies que permitem a sua integrao em todos os nveis da organizao. A estrutura apoia uma gesto
eficaz dos riscos no decurso da aplicao do processo da gesto do risco (ver seco 5), em diferentes nveis
e em contextos especficos da organizao. A estrutura garante que a informao sobre o risco que decorre
do processo da gesto do risco corretamente reportada e serve de base tomada de deciso e
responsabilizao a todos os nveis da organizao envolvidos.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Esta seco descreve as componentes necessrias da estrutura para gerir o risco e a forma como se
interrelacionam de um modo iterativo, como mostra a Figura 2.
Mandato e compromisso (4.2)
Conceo da estrutura para gerir o risco (4.3)

Compreenso da organizao e do seu contexto (4.3.1)
Estabelecimento da poltica da gesto do risco (4.3.2)
Responsabilizao (4.3.3)
Integrao nos processos organizacionais (4.3.4)

Recursos (4.3.5)
Estabelecimento de mecanismos de comunicao e de relato

internos (4.3.6)
Im
Estabelecimento de mecanismos de comunicao e de relato

externos (4.3.7)
Melhoria contnua da
estrutura (4.6)
Implementao da gesto do risco (4.4)

Implementao da estrutura para gerir o
risco (4.4.1)
Implementao do processo da gesto
do risco (4.4.2)
Monitorizao e reviso da estrutura (4.5)
Figura 2 Relaes entre as componentes da estrutura para gerir o risco
NP
ISO 31000
2013
p. 16 de 30
Esta estrutura no se destina a prescrever um sistema de gesto, mas sim a apoiar a organizao, a integrar a
gesto do risco na globalidade do seu sistema de gesto. As organizaes devero, portanto, adaptar as
componentes da estrutura s suas necessidades especficas.
Se as prticas e processos da gesto existentes numa organizao incluem componentes da gesto do risco,
ou se a organizao j adotou um processo formal da gesto do risco para tipos de situaes ou de riscos
especficos, ento estes devero ser revistos de forma crtica e apreciados face presente Norma, incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequao e eficcia.
4.2 Mandato e compromisso
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A introduo da gesto do risco e assegurar a sua contnua eficcia requerem um compromisso forte e
sustentado por parte da gesto de topo da organizao, bem como um planeamento estratgico e rigoroso
para conduzir a um compromisso a todos os nveis. A gesto de topo dever:
definir e aprovar a poltica da gesto do risco;
assegurar que a cultura da organizao e a sua poltica da gesto do risco esto alinhadas;
determinar indicadores de desempenho da gesto do risco coerentes com os indicadores de desempenho
da organizao;
alinhar os objetivos da gesto do risco com os objetivos e estratgias da organizao;
assegurar a conformidade legal e regulamentar;
atribuir responsabilizaes e responsabilidades aos nveis apropriados da organizao;

assegurar que os recursos necessrios so alocados gesto do risco;
comunicar as vantagens da gesto do risco a todas as partes interessadas;

assegurar que a estrutura para gerir o risco se mantm apropriada.
Im
4.3 Conceo da estrutura para gerir o risco
4.3.1 Compreenso da organizao e do seu contexto

Antes de iniciar a conceo e implementao da estrutura para gerir o risco, importante avaliar e
compreender o contexto interno e externo da organizao, dado que podem influenciar significativamente a
conceo da estrutura.
A avaliao do contexto externo de uma organizao poder incluir, nomeadamente:
a) envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural e
competitiva, quer ao nvel internacional, nacional, regional ou local;
b) fatores chave e tendncias que tenham impacto sobre os objetivos da organizao;
c) relaes com as partes interessadas externas, suas percees e seus valores.
A avaliao do contexto interno de uma organizao poder incluir, nomeadamente:
governao, estrutura organizacional, funes e responsabilizaes;
polticas, objetivos e as estratgias implementadas para os alcanar;
NP
ISO 31000
2013
p. 17 de 30
capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, suas percees e seus valores;
cultura da organizao;
normas, linhas de orientao e modelos adotados pela organizao;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
forma e extenso das relaes contratuais.

4.3.2 Estabelecimento da poltica da gesto do risco
A poltica da gesto do risco dever estabelecer de forma clara os objetivos e o compromisso da

organizao, em matria da gesto do risco e tipicamente aborda o seguinte:
a fundamentao da organizao para gerir o risco;
ligaes entre os objetivos e as polticas da organizao e a poltica da gesto do risco;

responsabilizaes e responsabilidades para gerir o risco;
a forma como se lida com os conflitos de interesses;
compromisso em disponibilizar os recursos necessrios para apoiar as pessoas responsabilizveis e

responsveis por gerir o risco;
a forma como o desempenho da gesto do risco ser medido e relatado;
o compromisso para rever e melhorar a poltica e a estrutura da gesto do risco, periodicamente e em
resposta a um evento ou alterao de circunstncias.
A poltica da gesto do risco dever ser comunicada de forma apropriada.
Im
4.3.3 Responsabilizao
A organizao dever assegurar que existe responsabilizao, autoridade e competncia apropriada para
gerir o risco, incluindo implementar e manter o processo da gesto do risco e assegurar a adequao, a
eficcia e a eficincia de quaisquer controlos. Isto, poder ser facilitado:
identificando os donos do risco que tm a responsabilizao e a autoridade para gerir riscos;
identificando quem responsabilizvel pela definio, implementao e manuteno da estrutura para
gerir o risco;
identificando outras responsabilidades de pessoas a todos os nveis da organizao no processo da
gesto do risco;
estabelecendo a medio do desempenho e processos de reporte interno e/ou externo e de transmisso a
um nvel superior;
assegurando nveis de reconhecimento apropriados.
4.3.4 Integrao nos processos organizacionais
A gesto do risco dever ser integrada em todos os processos e prticas da organizao, de modo a ser
pertinente, eficaz e eficiente. O processo da gesto do risco dever tornar-se parte e no ser separado desses
NP
ISO 31000
2013
p. 18 de 30
processos organizacionais. Em particular, a gesto do risco dever ser integrada no desenvolvimento da

poltica, no planeamento estratgico e do negcio e na sua reviso, e nos processos da gesto da mudana.
Dever existir um plano da gesto do risco para toda a organizao de modo a assegurar que a poltica da
gesto do risco implementada e que a gesto do risco integrada em todos os processos e prticas da
organizao. O plano da gesto do risco poder ser integrado noutros planos organizacionais, como por
exemplo o plano estratgico.
4.3.5 Recursos
Dever ser tido em conta:
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A organizao dever afetar os recursos necessrios gesto do risco.

pessoas, aptides, experincia e competncias;
recursos necessrios a cada etapa do processo da gesto do risco;
processos, mtodos e ferramentas da organizao a serem utilizados para gerir o risco;

processos e procedimentos documentados;
sistemas da gesto da informao e do conhecimento;

programas de formao.
4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos

A organizao dever estabelecer e implementar mecanismos de comunicao e de relato internos para
apoiar e encorajar a responsabilizao e a apropriao do risco. Estes mecanismos devero assegurar:
a comunicao apropriada dos componentes chave da estrutura da gesto do risco e de qualquer
modificao subsequente;
a existncia de relatos internos adequados, relativos estrutura da gesto do risco, sua eficcia e aos
seus resultados;
a disponibilidade de informao pertinente, resultante da aplicao da gesto do risco, nos nveis e no

tempo apropriados;
a existncia de processos de consulta das partes interessadas internas.
Im
Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaes
relativas ao risco, provenientes de diversas fontes, e podero ter necessidade de considerar a sensibilidade
da informao.
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos
A organizao dever elaborar e implementar um plano, quanto ao modo como comunicar com as partes
interessadas externas. Tal dever ter em considerao:
o envolvimento das partes interessadas externas apropriadas e assegurar uma troca eficaz de
informao;
os relatos externos para cumprimento dos requisitos legais, regulamentares e da governao;
providenciar o retorno e o relato da comunicao e consulta;
utilizar a comunicao para criar confiana na organizao;
NP
ISO 31000
2013
p. 19 de 30
comunicar com as partes interessadas na ocorrncia de uma crise ou contingncia.

Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaes
relativas ao risco, provenientes de diversas fontes, e podero ter necessidade de considerar a sensibilidade
da informao.
4.4 Implementao da gesto do risco
4.4.1 Implementao da estrutura para gerir o risco
Para a implementao da estrutura para gerir o risco, a organizao dever:
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
definir um calendrio apropriado e uma estratgia adequada para a implementao da estrutura;

aplicar a poltica e o processo da gesto do risco aos processos organizacionais;
cumprir os requisitos legais e regulamentares;
assegurar que a tomada de deciso, incluindo o desenvolvimento e estabelecimento dos objetivos, est
alinhada com os resultados dos processos da gesto do risco;
realizar sesses de informao e de formao;
comunicar e consultar com as partes interessadas, de modo a assegurar que a sua estrutura da gesto do
risco se mantm apropriada.
4.4.2 Implementao do processo da gesto do risco
A gesto do risco dever ser implementada, assegurando que o processo da gesto do risco descrito na
seco 5, aplicado atravs de um plano da gesto do risco, a todos os nveis e funes da organizao
envolvidos, como parte das suas prticas e processos.
4.5 Monitorizao e reviso da estrutura
Im
De modo a assegurar que a gesto do risco eficaz e continua a apoiar o desempenho organizacional, a
organizao dever:
medir o desempenho da gesto do risco face a indicadores revistos periodicamente, quanto sua
adequao;
medir periodicamente o progresso e os desvios em relao ao plano da gesto do risco;
rever periodicamente se a estrutura, a poltica e o plano da gesto do risco continuam apropriados face ao
contexto interno e externo da organizao;
elaborar relatrios sobre o risco, o progresso do plano da gesto do risco e como a poltica da gesto do
risco seguida;
rever a eficcia da estrutura da gesto do risco.
4.6 Melhoria contnua da estrutura
As decises sobre o modo como a estrutura, a poltica e o plano da gesto do risco devero ser melhorados,
podem ser tomadas com base nos resultados da monitorizao e das revises. Estas decises devero
conduzir a melhorias da gesto do risco e da cultura da gesto do risco da organizao.
NP
ISO 31000
2013
p. 20 de 30
5 Processo
5.1 Generalidades
O processo da gesto do risco dever ser:
uma parte integrante da gesto;
integrado na cultura e prticas organizacionais;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
feito medida dos processos de negcio da organizao.

O processo da gesto do risco ilustrado na Figura 3 e compreende as atividades descritas nas seces 5.2 a
5.6.
Estabelecimento do contexto (5.3)

v
Apreciao do risco (5.4)
Identificao do risco (5.4.2)
Comunicao e
consulta (5.2)
Monitorizao e
reviso (5.6)
Im
Anlise do risco (5.4.3)
Avaliao do risco (5.4.4)
Tratamento do risco (5.5)
Figura 3 Processo da gesto do risco
5.2 Comunicao e consulta

A comunicao com e a consulta s partes interessadas, internas e externas, devero ocorrer durante todas
as fases do processo da gesto do risco.
Desta forma, os planos para comunicao e consulta devero ser desenvolvidos numa fase inicial do
processo. Estes planos devero abordar as questes relacionadas com o prprio risco, as suas causas, as suas
consequncias (se conhecidas) e as medidas que esto a ser tomadas para o tratar. Uma eficaz comunicao
e consulta, interna e externa, dever ter lugar de forma a assegurar que os responsveis pela implementao
NP
ISO 31000
2013
p. 21 de 30
do processo da gesto do risco e as partes interessadas compreendem os fundamentos das decises tomadas,
e as razes pelas quais so necessrias aes especficas.
Uma abordagem da consulta em equipa poder:
ajudar a estabelecer o contexto de forma apropriada;
assegurar que os interesses das partes interessadas so compreendidos e considerados;
ajudar a garantir que os riscos so identificados de forma adequada;
reunir diferentes reas de especializao para analisar riscos;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
assegurar que diferentes pontos de vista so considerados de forma apropriada na definio dos critrios
do risco e na avaliao dos riscos;
garantir a adeso e o apoio a um plano de tratamento do risco;
potenciar a gesto apropriada da mudana durante o processo da gesto do risco;

desenvolver um plano adequado de comunicao e consulta interna e externa.
A comunicao e consulta com as partes interessadas so importantes, uma vez que estas produzem juzos
sobre risco baseados nas suas percees do risco. Estas percees do risco podem variar devido a diferenas
nos valores, necessidades, pressupostos, conceitos e preocupaes das partes interessadas. Dado que os seus
pontos de vista podem ter um impacto significativo nas decises tomadas, as percees das partes
interessadas devero ser identificadas, registadas e tidas em considerao no processo de tomada de
deciso.
A comunicao e a consulta devero facilitar trocas de informao verdadeira, pertinente, precisa e
compreensvel, respeitando os aspetos de confidencialidade e de integridade pessoal.
5.3 Estabelecimento do contexto
Im
5.3.1 Generalidades
Atravs do estabelecimento do contexto, a organizao enuncia os seus objetivos, define os parmetros

internos e externos a ter em considerao quando se gere o risco, bem como o mbito e os critrios do risco
para as restantes partes do processo. Se bem que muitos destes parmetros sejam similares aos considerados
na conceo da estrutura da gesto do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo
da gesto do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o mbito do processo especfico da gesto do risco.
5.3.2 Estabelecimento do contexto externo
O contexto externo o ambiente externo no qual a organizao procura atingir os seus objetivos.
A compreenso do contexto externo importante para assegurar que os objetivos e preocupaes das partes
interessadas externas, so tidos em considerao aquando do desenvolvimento dos critrios do risco. O
contexto externo baseado no contexto global da organizao, mas com detalhes especficos dos exigncias
legais e requisitos regulamentares, das percees das partes interessadas e de outros aspetos especficos do
risco inerentes ao mbito do processo da gesto do risco.
NP
ISO 31000
2013
p. 22 de 30
O contexto externo pode incluir, mas no se limita:

s envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural
e competitiva, seja ao nvel internacional, nacional, regional ou local;
aos fatores chave e tendncias com impacto nos objetivos da organizao;
s relaes com as partes interessadas externas, suas percees e valores.
5.3.3 Estabelecimento do contexto interno
O contexto interno o ambiente interno no qual a organizao procura atingir os seus objetivos.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
O processo da gesto do risco dever estar alinhado com a cultura, os processos, a estrutura e a estratgia da
organizao. O contexto interno tudo aquilo que no seio da organizao pode influenciar a forma como a
organizao ir gerir o risco. O contexto interno dever ser estabelecido, porque:
a) a gesto do risco ocorre no contexto dos objetivos da organizao;
b) os objetivos e os critrios de um projeto, processo ou atividade especficos devero ser considerados

luz dos objetivos da organizao como um todo;
c) algumas organizaes falham no reconhecimento de oportunidades para atingir os seus objetivos
estratgicos, de um projeto ou negcio e tal afeta a continuidade do compromisso, da credibilidade, da
confiana e do valor da organizao.
necessrio compreender o contexto interno, o que, sem limitar, pode incluir:
a governao, estrutura organizacional, funes e responsabilizaes;
as polticas, objetivos e as estratgias implementadas para os atingir;
as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
as relaes com as partes interessadas internas, suas percees e valores;
Im
a cultura da organizao;
os sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e

informais);
as normas, linhas de orientao e modelos adotados pela organizao;
a forma e extenso das relaes contratuais.
5.3.4 Estabelecimento do contexto do processo da gesto do risco
Devero ser estabelecidos os objetivos, as estratgias, o mbito e os parmetros das atividades da
organizao, ou das partes da organizao, onde o processo da gesto do risco est a ser aplicado. A gesto
do risco dever ser desenvolvida com absoluta necessidade de justificar os recursos utilizados na sua
implementao. Devero ser tambm especificados os recursos requeridos, as responsabilidades e
autoridades e os registos a manter.
O contexto do processo da gesto do risco ir variar de acordo com as necessidades da organizao. Pode,
nomeadamente, incluir:
a definio das metas e objetivos das atividades da gesto do risco;
a definio das responsabilidades relativas ao processo da gesto do risco;
NP
ISO 31000
2013
p. 23 de 30
a definio do mbito, bem como, a profundidade e a amplitude das atividades da gesto do risco a
serem desenvolvidas, compreendendo incluses e excluses especficas;
a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e local;
a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos
ou atividades da organizao;
a definio das metodologias da apreciao do risco;
a definio da forma como o desempenho e eficcia so avaliados na gesto do risco;
a identificao e a especificao das decises que tm que ser tomadas;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
a identificao, mbito ou enquadramento dos estudos necessrios, a sua extenso e objetivos, bem como
os recursos necessrios para tais estudos.
A considerao destes e de outros fatores pertinentes, dever assegurar que a abordagem da gesto do risco
adotada seja apropriada s circunstncias, organizao e aos riscos que esto a afetar a consecuo dos
seus objetivos.
5.3.5 Definio dos critrios do risco
A organizao dever definir os critrios a serem utilizados para avaliar a significncia do risco. Os
critrios devero refletir os valores, objetivos e recursos da organizao. Alguns critrios podem ser
impostos por, ou derivar de, exigncias legais e requisitos regulamentares e outros requisitos subscritos pela
organizao. Os critrios do risco devero ser consistentes com a poltica da gesto do risco da organizao
(ver 4.3.2), ser definidos no incio de qualquer processo da gesto do risco e continuamente revistos.
Na definio dos critrios do risco, os fatores a considerar devero incluir o seguinte:
a natureza e tipos de causas e consequncias que podem ocorrer e como so medidas;
o modo como ser definida a verosimilhana;
o intervalo de tempo associado verosimilhana e/ou (s) consequncia(s);
o modo como determinado o nvel do risco;
os pontos de vista das partes interessadas;
o nvel a partir do qual o risco se torna aceitvel ou tolervel;
a considerao ou no de combinaes de mltiplos riscos e, em caso afirmativo, como e quais as

combinaes que devero ser consideradas.
Im
5.4 Apreciao do risco

5.4.1 Generalidades
A apreciao do risco o processo global de identificao do risco, anlise do risco e avaliao do risco.
NOTA: A ISO/IEC 31010 fornece orientao sobre tcnicas de apreciao do risco.
5.4.2 Identificao do risco

A organizao dever identificar fontes do risco, reas de impacto, eventos (incluindo alteraes das
circunstncias), respetivas causas e potenciais consequncias. O objetivo desta etapa gerar uma lista
abrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou
NP
ISO 31000
2013
p. 24 de 30
retardar a consecuo dos objetivos. importante identificar os riscos associados ao facto de no se

perseguir uma oportunidade. A identificao abrangente crtica, pois um risco que no identificado nesta
fase no ser includo em anlise posterior.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A identificao dever incluir os riscos cuja fonte esteja ou no sob controlo da organizao, ainda que a
fonte ou causa do risco podero no ser evidentes. A identificao do risco dever incluir o exame das
reaes em cadeia, incluindo os efeitos em cascata e cumulativos, de consequncias particulares. Dever
ainda considerar um domnio alargado de consequncias, ainda que a fonte ou a causa do risco podero no
ser evidentes. Assim como se identifica o que possa acontecer, tambm necessrio considerar possveis
causas e cenrios que mostrem quais as consequncias que podem ocorrer. Todas as causas e consequncias
significativas devero ser consideradas.
A organizao dever utilizar tcnicas e ferramentas de identificao de riscos que sejam adequadas aos
seus objetivos e s suas capacidades, assim como aos riscos que enfrenta. Na identificao dos riscos
importante dispor de informao pertinente e atualizada. Sempre que possvel dever ser considerada
informao de base apropriada. Na identificao dos riscos devero ser envolvidas as pessoas com o
conhecimento adequado.
5.4.3 Anlise do risco
A anlise do risco implica desenvolver uma compreenso do risco. A anlise do risco fornece uma entrada
para a avaliao do risco e para as decises quanto necessidade dos riscos serem tratados, e sobre as
estratgias e mtodos mais apropriados para o tratamento do risco. A anlise do risco pode tambm fornecer
uma entrada para a tomada de decises, onde as escolhas tenham que ser feitas e as opes envolvam
diferentes tipos e nveis do risco.
Im
A anlise do risco implica considerar as causas e fontes do risco, as suas consequncias positivas e
negativas e a verosimilhana dessas consequncias ocorrerem. Devero ser identificados os fatores que
afetam as consequncias e a verosimilhana. O risco analisado, determinando as consequncias e as suas
verosimilhanas e outros atributos do risco. Um evento pode ter mltiplas consequncias e pode afetar
mltiplos objetivos. Os controlos existentes e a sua eficcia e eficincia, tambm devero ser tidos em
considerao.
O modo como as consequncias e a verosimilhana so expressas e o modo como so combinadas para
determinar um nvel de risco, devero refletir o tipo de risco, a informao disponvel e o propsito para o
qual a sada da apreciao do risco para ser utilizada. Tudo isto dever ser consistente com os critrios do
risco. Tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
A confiana na determinao do nvel do risco e a sua sensibilidade a condies prvias e pressupostos
devero ser consideradas na anlise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergncia de opinio entre especialistas, incerteza, disponibilidade,
qualidade, quantidade e da continuada pertinncia da informao ou limitaes na modelao, devero ser
declarados e podem ser realados.
A anlise do risco pode ser efetuada com graus de detalhe variveis, dependendo do risco, da finalidade da
anlise e da informao, dos dados e recursos disponveis. A anlise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinao destas, dependendo das circunstncias.
As consequncias e a sua verosimilhana podem ser determinadas pela modelao dos resultados de um
evento ou conjunto de eventos, por extrapolao a partir de estudos experimentais ou a partir de dados
disponveis. As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Nalguns
casos requerido mais do que um valor numrico ou descritor para especificar as consequncias e a sua
verosimilhana para diferentes tempos, locais, grupos ou situaes.
NP
ISO 31000
2013
p. 25 de 30
5.4.4 Avaliao do risco

A finalidade da avaliao do risco apoiar a tomada de decises, tendo por base os resultados da anlise do
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementao do tratamento.
A avaliao do risco envolve a comparao do nvel do risco identificado no decorrer do processo de
anlise com os critrios do risco, aquando da considerao do contexto. Com base nesta comparao a
necessidade de tratamento pode ser considerada.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
As decises devero ter em conta o contexto alargado do risco e incluir consideraes sobre a tolerncia dos
riscos suportados pelas partes, que no a organizao que beneficia do risco. As decises devero ser
tomadas de acordo com as exigncias legais, regulamentares e outros requisitos.
Em determinadas circunstncias a avaliao do risco pode levar a uma deciso de efetuar anlises
adicionais. A avaliao do risco pode tambm levar deciso de no efetuar o tratamento do risco, para
alm de manter os controlos existentes. Esta deciso ser influenciada pela atitude da organizao face ao
risco e pelos critrios do risco que foram estabelecidos.
5.5 Tratamento do risco
5.5.1 Generalidades
O tratamento do risco implica a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes. Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cclico que inclui:
apreciar um tratamento do risco;
decidir se os nveis do risco residual so tolerveis;
se no forem tolerveis, gerar um novo tratamento do risco;
apreciar a eficcia desse tratamento.
Im
As opes de tratamento do risco no tm que ser mutuamente exclusivas ou apropriadas em todas as

circunstncias. As opes podem incluir o seguinte:
a) evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
c) remover a fonte do risco;
d) alterar a verosimilhana;
e) alterar as consequncias;
f)
partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
g) reter o risco com base em deciso informada.

5.5.2 Seleo de opes de tratamento do risco
A seleo da opo de tratamento do risco mais apropriada implica comparar os custos e os esforos da sua
implementao com os benefcios resultantes, tendo em conta os requisitos legais, regulamentares e outros
tais como a responsabilidade social e a proteo do ambiente natural. As decises devero tambm ter em
conta os riscos cujo tratamento no facilmente justificvel por motivos econmicos, por exemplo, riscos
graves (elevada consequncia negativa) mas raros (baixa verosimilhana).
NP
ISO 31000
2013
p. 26 de 30
Diversas opes de tratamento podem ser consideradas e aplicadas individualmente ou de forma

combinada. A organizao normalmente pode beneficiar da adoo de uma combinao de opes de
tratamento.
Ao selecionar as opes de tratamento do risco, a organizao dever considerar os valores e percees das
partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as
opes de tratamento do risco possam ter impacto no risco de outras reas da organizao ou das partes
interessadas, todas devero ser envolvidas na deciso. Embora igualmente eficazes, alguns tratamentos do
risco podem ser mais aceitveis para algumas partes interessadas do que para outras.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
O plano de tratamento dever claramente identificar a ordem de prioridade de implementao dos

tratamentos individuais do risco.
O tratamento do risco pode por si s introduzir riscos. A falha ou a ineficcia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorizao dever ser uma parte integrante do plano de
tratamento do risco, de forma a garantir que as medidas permaneam eficazes.
O tratamento do risco pode tambm introduzir riscos secundrios que precisam de ser apreciados, tratados,
monitorizados e revistos. Estes riscos secundrios devero ser incorporados no mesmo plano de tratamento
do risco original e no tratados como novos riscos. A ligao entre os dois riscos dever ser identificada e
mantida.
5.5.3 Preparao e implementao dos planos de tratamento do risco
O objetivo dos planos de tratamento do risco documentar a forma como as opes de tratamento
escolhidas sero implementadas. A informao fornecida nos planos de tratamento dever incluir:
as razes para a seleo das opes de tratamento, incluindo os benefcios que se espera obter;
os que so responsabilizados pela aprovao do plano e os responsveis pela implementao do plano;
as aes propostas;
os requisitos de recursos incluindo contingncias;
as medidas do desempenho e constrangimentos;
os requisitos de relato e monitorizao;
a calendarizao e o cronograma.
Im
Os planos de tratamento devero ser integrados com os processos de gesto da organizao e discutidos
com as partes interessadas apropriadas.
Os decisores e outras partes interessadas devero estar cientes da natureza e dimenso do risco residual
aps o tratamento do risco. O risco residual dever ser documentado e sujeito a monitorizao, reviso e,
onde apropriado, tratamento posterior.
5.6 Monitorizao e reviso
A monitorizao e a reviso devero ser uma parte planeada do processo da gesto do risco e envolver
verificao ou vigilncia regular. Pode ser peridica ou ad hoc.
As responsabilidades pela monitorizao e reviso devero estar claramente definidas.
Os processos de monitorizao e reviso da organizao devero abranger todos os aspetos do processo da
gesto do risco com o objetivo de:
NP
ISO 31000
2013
p. 27 de 30
assegurar que os controlos so eficazes e eficientes, quer na conceo, quer na operao;
obter informao adicional para melhorar a apreciao do risco;
analisar e aprender com os eventos (incluindo os quase-acidentes), mudanas, tendncias, sucessos e

falhas;
detetar alteraes no contexto externo e interno, incluindo alteraes aos critrios do risco e ao prprio
risco, que podem requerer a reviso dos tratamentos do risco e das prioridades;
identificar os riscos emergentes.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
O progresso na implementao dos planos de tratamento do risco fornece uma medida do desempenho. Os
resultados podem ser incorporados na gesto global do desempenho da organizao, na sua medio e nas
atividades de reporte externo e interno.
Os resultados da monitorizao e reviso devero ser registados e reportados externa e internamente
conforme apropriado, e devero ser usados tambm, como uma entrada para a reviso da estrutura da gesto
do risco (ver 4.5).
5.7 Registo do processo da gesto do risco
As atividades da gesto do risco devero ser rastreveis. No processo da gesto do risco, os registos
fornecem a base para melhoria dos mtodos e das ferramentas, bem como do processo na sua globalidade.
As decises relativas criao de registos devero ter em conta:
as necessidades de aprendizagem contnua da organizao;
os benefcios da reutilizao da informao para efeitos de gesto;
os custos e os esforos envolvidos na criao e manuteno dos registos;
as necessidades legais, regulamentares e operacionais de registos;
o mtodo de acesso, a facilidade de consulta e os meios de armazenamento;
o perodo de reteno;
a sensibilidade da informao.
Im
NP
ISO 31000
2013
p. 28 de 30
Anexo A
(informativo)
Atributos da gesto do risco reforada
A.1 Generalidades
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Todas as organizaes devero procurar atingir um nvel apropriado do desempenho da sua estrutura da
gesto do risco em linha com a criticidade das decises que tero de ser tomadas. A lista dos atributos
abaixo apresentada, representa um alto nvel de desempenho ao gerir o risco. Para apoiar as organizaes na
medio do seu prprio desempenho relativamente a estes critrios, so fornecidos alguns indicadores
tangveis para cada atributo.
A.2 Resultados chave
A.2.1 A organizao tem uma compreenso atual, correta e abrangente dos seus riscos.
A.2.2 Os riscos da organizao esto dentro dos seus critrios do risco.
A.3 Atributos
A.3.1 Melhoria contnua
A nfase colocada na melhoria contnua da gesto do risco atravs do estabelecimento de objetivos do

desempenho organizacional, da medio, da reviso e da subsequente modificao dos processos, sistemas,
recursos, capacidades e competncias.
Im
Isto pode ser indicado pela existncia de objetivos de desempenho explcitos, relativamente aos quais so
medidos os desempenhos da organizao e do gestor. O desempenho da organizao pode ser publicado e
comunicado. Habitualmente, existir pelo menos uma reviso anual do desempenho e a subsequente reviso
dos processos e o estabelecimento de objetivos do desempenho, revistos para o perodo seguinte.
A avaliao de desempenho da gesto do risco uma parte integrante da avaliao do desempenho global
da organizao e do sistema de avaliao para departamentos e indivduos.
A.3.2 Responsabilizao total pelos riscos
A gesto do risco reforada inclui uma responsabilizao abrangente, completamente definida e
integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivduos designados
aceitam integralmente a responsabilizao, possuem competncias apropriadas e dispem dos recursos
adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente
acerca dos riscos e respetiva gesto s partes interessadas externas e internas.
Tal pode ser indicado pelo facto de todos os membros de uma organizao estarem totalmente cientes dos
riscos, controlos e tarefas pelos quais so responsveis. Usualmente, tal estar registado nas descries de
funo/cargo, bases de dados ou sistemas de informao. A definio das funes na gesto do risco,
responsabilizao e responsabilidades devero fazer parte de todos os programas de acolhimento e
integrao de uma organizao.
NP
ISO 31000
2013
p. 29 de 30
A organizao assegura que aqueles que so responsabilizados esto aptos para cumprir a sua funo
atribuindo-lhes autoridade, tempo, formao e treino, recursos e competncias suficientes para assumirem a
sua responsabilizao.
A.3.3 Aplicao da gesto do risco em todas as tomadas de deciso
Todas as tomadas de deciso no seio da organizao, qualquer que seja o respetivo nvel de importncia e
significncia, envolvem consideraes explcitas do risco e a aplicao da gesto do risco a um nvel
adequado.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Tal pode ser indicado pelos registos das reunies e decises, evidenciando que tiveram lugar discusses
explcitas sobre o risco. Adicionalmente, dever ser possvel ver que todas as componentes da gesto do
risco esto representadas nos processos chave de tomada de deciso na organizao, por exemplo, em
decises para atribuio de capital, para projetos importantes e para a reestruturao ou mudanas da
organizao. Por estas razes, uma gesto do risco consistente vista dentro da organizao como a base
para a governao eficaz.
A.3.4 Comunicaes continuadas
A gesto do risco reforada inclui comunicaes continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gesto do risco, como parte da boa
governao.
Isto pode ser indicado pela comunicao com as partes interessadas como uma componente integrante e
essencial da gesto do risco. A comunicao corretamente vista como um processo de dois sentidos, de tal
modo que decises adequadamente informadas, possam ser tomadas quanto ao nvel do risco e
necessidade de tratamento do risco face a critrios do risco adequadamente estabelecidos e abrangentes.
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
da gesto do risco, contribui substancialmente para uma governao eficaz no seio da organizao.
A.3.5 Integrao total na estrutura de governao da organizao
Im
A gesto do risco vista como central nos processos da gesto da organizao, de tal forma que os riscos
so considerados em termos do efeito da incerteza na consecuo dos objetivos. A estrutura e o processo de
governao so baseados na gesto do risco. A gesto do risco eficaz considerada pelos gestores, como
sendo essencial para a consecuo dos objetivos da organizao.
Isto indicado atravs da linguagem dos gestores e dos documentos relevantes da organizao usando o
termo incerteza associado aos riscos. Este atributo tambm normalmente refletido nas declaraes de
poltica da organizao, particularmente nas relacionadas com a gesto do risco. Normalmente, este atributo
ser verificado atravs de entrevistas com os gestores e atravs da evidncia das suas aes e declaraes.
NP
ISO 31000
2013
p. 30 de 30
Bibliografia
Guia ISO 73:2009
Risk management Vocabulary
[2]
ISO/IEC 31010
Risk management Risk assessment techniques
Im
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
[1]

NPISO031000 2013 Gestão Risco

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NPISO031000 2013 Gestão Risco

Enviado por

Direitos autorais:

Formatos disponíveis

Norma

IPQ reproduo proibida

Rua Antnio Gio, 2

A reviso da NP ISO 31000:2012 constante nesta Norma refere-se formatao e s correes

1 Objetivo e campo de aplicao ...............................................................................................................

2 Termos e definies .................................................................................................................................

4.4 Implementao da gesto do risco.......................................................................................................... 19

5.3.3 Estabelecimento do contexto interno................................................................................................... 22

5.4.3 Anlise do risco ................................................................................................................................... 24

estabelecer uma base fivel para tomada de decises e planeamento;

melhorar a aprendizagem organizacional;

k) Facilita a melhoria contnua

j) Dinmica, iterativa e reativa

h) Tem em conta fatores

c) Parte da tomada de deciso

b) Parte integrante de todos os

Tratamento do risco (5.5)

Avaliao do risco (5.4.4)

Anlise do risco (5.4.3)

Identificao do risco (5.4.2)

Apreciao do risco (5.4)

Monitorizao e reviso (5.6)

Figura 1 Relaes entre os princpios, a estrutura e o processo da gesto do risco

Comunicao e consulta (5.2)

1 Objetivo e campo de aplicao

Para os fins da presente Norma aplicam-se os seguintes termos e definies:

NOTA 1: Um efeito um desvio, positivo ou negativo, relativamente ao esperado.

[Guia ISO 73:2009, definio 1.1]

2.3 estrutura da gesto do risco

[Guia ISO 73:2009, definio 2.1.1]

2.4 poltica da gesto do risco

2.5 atitude face ao risco

2.6 plano da gesto do risco

[Guia ISO 73:2009, definio 2.1.3]

2.7 dono do risco

2.10 contexto externo

[Guia ISO 73:2009, definio 3.3.1.1]

2.11 contexto interno

a governao, a estrutura organizacional, as funes e a responsabilizao;

as normas, linhas de orientao e modelos adotados pela organizao;

[Guia ISO 73:2009, definio 3.3.1.2]

2.12 comunicao e consulta

[Guia ISO 73:2009, definio 3.2.1]

[Guia ISO 73:2009, definio 3.2.1.1]

2.15 identificao do risco

[Guia ISO 73:2009, definio 3.5.1]

2.16 fonte do risco

[Guia ISO 73:2009, definio 3.5.1.2]

[Guia ISO 73:2009, definio 3.5.1.3]

NOTA 1: Um evento pode levar a um conjunto de consequncias.

[Guia ISO 73:2009, definio 3.6.1.3]

[Guia ISO 73:2009, definio 3.6.1.1]

2.20 perfil do risco

[Guia ISO 73:2009, definio 3.8.2.5]

NOTA 2: A anlise do risco inclui a estimao do risco.

[Guia ISO 73:2009, definio 3.6.1]

2.22 critrios do risco

[Guia ISO 73:2009, definio 3.3.1.3]

2.23 nvel do risco

2.24 avaliao do risco

NOTA: A avaliao do risco apoia a deciso sobre o tratamento do risco (2.25).

[Guia ISO 73:2009, definio 3.7.1]

[Guia ISO 73:2009, definio 3.8.1]

[Guia ISO 73:2009, definio 3.8.1.1]