Escolar Documentos
Profissional Documentos
Cultura Documentos
Portuguesa
NP
ISO 31000
2013
Gesto do risco
Princpios e linhas de orientao
(ISO 31000:2009)
Management du risque
Principes et lignes directrices
(ISO 31000:2009)
Im
ICS
03.100.01
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Risk management
Principles and guidelines
(ISO 31000:2009)
CORRESPONDNCIA
Verso portuguesa da ISO 31000:2009
HOMOLOGAO
Termo de Homologao n. 47/2013, de 2013-02-20
A presente Norma resulta da reviso da NP ISO 31000:2012
(Ed. 1)
ELABORAO
CT 180 (APQ)
2 EDIO
fevereiro de 2013
CDIGO DE PREO
X008
PORTUGAL
Fax + 351-212 948 101
Internet: www.ipq.pt
Prembulo nacional
A presente Norma idntica Norma ISO 31000:2009, Risk management Principles and guidelines.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos anlogos. A ISO no deve ser considerada responsvel por no ter
identificado tais direitos de propriedade intelectual nem por no ter avisado da sua existncia.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete da gesto tcnica da ISO relativo Gesto
do risco.
Esta Norma contm cor. A impresso pode no reproduzir as cores apresentadas na verso eletrnica desta
Norma.
A presente Norma foi preparada pela Comisso Tcnica de Normalizao CT 180 Gesto do risco, cuja
coordenao assegurada pelo Organismo de Normalizao Setorial, Associao Portuguesa para a
Qualidade (ONS/APQ).
Im
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
NP
ISO 31000
2013
p. 3 de 30
Sumrio
Pgina
Prembulo nacional....................................................................................................................................
Introduo ...................................................................................................................................................
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
3 Princpios.................................................................................................................................................. 13
4 Estrutura .................................................................................................................................................. 15
4.1 Generalidades ......................................................................................................................................... 15
4.2 Mandato e compromisso ........................................................................................................................ 16
4.3 Conceo da estrutura para gerir o risco ................................................................................................ 16
4.3.1 Compreenso da organizao e do seu contexto ................................................................................. 16
4.3.2 Estabelecimento da poltica da gesto do risco ................................................................................... 17
4.3.3 Responsabilizao ............................................................................................................................... 17
4.3.4 Integrao nos processos organizacionais ........................................................................................... 17
4.3.5 Recursos .............................................................................................................................................. 18
4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos ............................................... 18
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos .............................................. 18
Im
NP
ISO 31000
2013
p. 4 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
Bibliografia ................................................................................................................................................. 30
NP
ISO 31000
2013
p. 5 de 30
Introduo
As organizaes de todos os tipos e dimenses enfrentam fatores e influncias, internos e externos, que
tornam incerto se, e quando, atingiro os seus objetivos. O efeito que esta incerteza tem nos objetivos de
uma organizao designa-se por risco.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Todas as atividades de uma organizao envolvem risco. As organizaes gerem o risco mediante a sua
identificao e anlise, aps o que avaliam a necessidade da sua alterao, tratando-o de forma a satisfazer
os seus critrios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que esto a alter-lo, de forma a assegurarem que no
necessrio um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processo
sistemtico e lgico.
Apesar de todas as organizaes gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princpios que devero ser cumpridos de modo a tornar eficaz a gesto do risco. Esta Norma recomenda que
as organizaes desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo
integrar o processo para gerir o risco na governao, estratgia e planeamento, gesto, processos de reporte,
polticas, valores e cultura.
A gesto do risco pode ser aplicada a uma organizao na sua globalidade, nas suas diversas reas e nveis,
a qualquer momento, bem como a funes, projetos e atividades especficos.
Se bem que a prtica da gesto do risco tenha vindo a ser desenvolvida ao longo do tempo e em vrios
sectores de modo a responder a necessidades diversas, a adoo de processos consistentes numa estrutura
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
toda a organizao. A abordagem genrica descrita nesta Norma fornece os princpios e as linhas de
orientao para a gesto de qualquer tipo de risco de modo sistemtico, transparente e credvel, qualquer
que seja o mbito e o contexto.
Im
Cada setor especfico ou aplicao particular da gesto do risco implicam necessidades, pblicos, percees
e critrios prprios. Por esta razo uma caracterstica essencial desta Norma a incluso do
estabelecimento do contexto como a atividade inicial do processo genrico da gesto do risco. O
estabelecimento do contexto vai permitir apreender os objetivos da organizao, o ambiente em que procura
atingi-los, as suas partes interessadas e a diversidade dos critrios do risco que na sua globalidade
ajudaro a identificar e apreciar a natureza e complexidade dos seus riscos.
As relaes entre os princpios para a gesto do risco, a estrutura onde esta ocorre e o processo da gesto do
risco descritos nesta Norma esto representados na Figura 1.
A implementao e manuteno da gesto do risco de acordo com esta Norma permitem a uma
organizao, por exemplo:
aumentar a verosimilhana de atingir os seus objetivos;
encorajar a gesto proativa;
estar ciente da necessidade de identificar e tratar o risco em toda a organizao;
melhorar a identificao das oportunidades e ameaas;
cumprir as obrigaes legais e regulamentares e normas internacionais aplicveis;
melhorar os relatos obrigatrios e voluntrios;
melhorar a governao;
aumentar a confiana das partes interessadas e a credibilidade da organizao;
NP
ISO 31000
2013
p. 6 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Esta Norma pretende responder s necessidades de uma grande diversidade de partes interessadas,
incluindo:
a) os responsveis pela elaborao da poltica da gesto do risco dentro da sua organizao;
b) as pessoas encarregadas de assegurar que o risco gerido eficazmente na organizao como um todo, ou
numa rea, projeto ou atividade especficos;
c) as pessoas que necessitam de avaliar a eficcia da organizao para gerir o risco;
d) os que elaboram normas, guias, procedimentos e regras de boas prticas, que definem, total ou
parcialmente, como dever ser gerido o risco no contexto especfico destes documentos.
As prticas e processos atuais da gesto de muitas organizaes incluem componentes da gesto do risco,
tendo muitas organizaes j adotado um processo formal da gesto do risco, para determinados tipos de
risco ou circunstncias particulares. Nestes casos, uma organizao pode decidir realizar uma reviso crtica
dos seus processos e prticas existentes luz desta Norma.
Im
Nesta Norma os termos ou expresses gesto do risco e gerir o risco so ambos utilizados. Em geral a
gesto do risco refere-se arquitetura (princpios, estrutura e processo) para gerir os riscos com eficcia,
enquanto que gerir o risco se refere aplicao dessa arquitetura a riscos particulares.
Princpios
(seco 3)
i) Transparente e participada
g) Feita medida
f) Baseia-se na melhor
informao disponvel
e) Sistemtica, estruturada e
atempada
d) Considera explicitamente a
incerteza
a) Cria valor
Melhoria
contnua da
estrutura
(4.6)
Estrutura
(seco 4)
Monitorizao
e reviso da
estrutura (4.5)
Implementao
da gesto do risco
(4.4)
Conceo da estrutura
para gerir o risco
(4.3)
Processo
(seco 5)
Estabelecimento do contexto
(5.3)
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
Mandato e
compromisso
(4.2)
NP
ISO 31000
2013
p. 7 de 30
NP
ISO 31000
2013
p. 8 de 30
Por convenincia, todos os utilizadores da presente Norma so referidos pelo termo genrico de organizao.
A presente Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de
atividades, incluindo estratgias e decises, operaes, processos, funes, projetos, produtos, servios e
ativos.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
consequncias sejam positivas ou negativas.
Apesar da presente Norma fornecer linhas de orientao gerais, no se destina a promover a uniformidade
da gesto do risco nas organizaes. A conceo e a implementao dos planos e estruturas da gesto do
risco necessitaro de ter em conta as diversas necessidades de uma organizao especfica, dos seus
objetivos, contexto, estrutura, operaes, processos, funes, projetos, produtos, servios, ativos e prticas
especficas utilizadas.
Pretende-se que esta Norma seja utilizada na harmonizao dos processos da gesto do risco em normas
existentes e futuras. A presente Norma permite uma abordagem comum de apoio s normas relativas a
riscos e/ou setores especficos, no as substituindo.
A presente Norma no se destina a fins de certificao.
2 Termos e definies
Im
2.1 risco
Efeito da incerteza na consecuo dos objetivos.
NP
ISO 31000
2013
p. 9 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
NP
ISO 31000
2013
p. 10 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
os sistemas de informao, os fluxos de informao e processos de tomada de deciso (formais e informais);
as relaes com as partes interessadas internas, as suas percees e valores;
a cultura da organizao;
Im
NOTA 1: A informao pode estar relacionada com a existncia, natureza, forma, verosimilhana (2.19), significncia, avaliao,
aceitabilidade, tratamento ou outros aspetos da gesto do risco.
NOTA 2: A consulta um processo de comunicao informada nos dois sentidos entre uma organizao e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma deciso ou ser definida uma orientao sobre esse assunto. A
consulta :
um processo que causa impacto na deciso mais pela influncia do que pelo poder, e;
um contributo para a tomada de deciso, no uma tomada de deciso conjunta.
NP
ISO 31000
2013
p. 11 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
2.17 evento
Ocorrncia ou alterao de um conjunto particular de circunstncias.
NOTA 1: Um evento pode consistir numa ou mais ocorrncias, e pode ter vrias causas.
NOTE 2: Um evento pode consistir em algo que no ocorra.
NOTE 3: Um evento pode algumas vezes ser referido como um incidente ou acidente.
NOTE 4: Um evento sem consequncias (2.18) pode tambm ser referido como quase acidente, incidente ou quase
sucesso.
2.18 consequncia
Resultado de um evento (2.17) que afeta objetivos.
Im
NOTA 2: Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
NOTA 3: As consequncias pode ser expressas qualitativa ou quantitativamente.
NOTA 4: As consequncias iniciais pode intensificar-se atravs de reaes em cadeia.
NP
ISO 31000
2013
p. 12 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
NP
ISO 31000
2013
p. 13 de 30
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
NOTA 2: Um risco residual pode tambm ser designado como risco retido.
2.28 monitorizao
Verificao, superviso, observao crtica ou a determinao do estado, de modo a identificar
continuadamente alteraes do nvel de desempenho requerido ou esperado.
NOTA: A monitorizao pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo da gesto do risco (2.8), ao
risco (2.1) ou ao controlo (2.26) do risco.
2.29 reviso
Atividade levada a cabo para determinar a adaptao, adequao e a eficcia, da matria visada para atingir
os objetivos estabelecidos.
Im
NOTA: A reviso pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo da gesto do risco (2.8), ao risco ou
ao controlo (2.26) de um risco.
3 Princpios
Para que a gesto do risco seja eficaz, uma organizao dever, a todos os nveis, atuar em conformidade
com os princpios abaixo referidos.
a) A gesto do risco cria e protege o valor.
A gesto do risco contribui para a consecuo demonstrvel de objetivos e melhoria do desempenho,
como por exemplo, na sade e segurana, security*), na conformidade legal e regulamentar, na aceitao
pblica, na proteo ambiental, na qualidade dos produtos, na gesto dos projetos, na eficincia das
operaes, na governao e reputao.
*)
security no original em ingls, pode entender-se fundamentalmente como proteo e preservao das pessoas, bens e
informao quer tangvel quer intangvel (nota nacional).
NP
ISO 31000
2013
p. 14 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Uma abordagem sistemtica, atempada e estruturada da gesto do risco contribui para a eficincia e
para resultados consistentes, comparveis e fiveis.
f) A gesto do risco baseia-se na melhor informao disponvel.
As entradas do processo para gerir o risco baseiam-se em fontes de informao tais como dados
histricos, experincia, retorno da informao das partes interessadas, observaes, previses e
pareceres de especialistas. No entanto, os decisores devero informar-se e ter em conta quaisquer
limitaes dos dados ou modelos utilizados ou a possibilidade de existncia de divergncias entre
especialistas.
g) A gesto do risco feita medida.
A gesto do risco alinhada com os contextos externo e interno e com o perfil do risco da organizao.
h) A gesto do risco tem em conta fatores humanos e culturais.
i)
Im
NP
ISO 31000
2013
p. 15 de 30
4 Estrutura
4.1 Generalidades
O sucesso da gesto do risco depender da eficcia da estrutura da gesto em fornecer os fundamentos e as
disposies que permitem a sua integrao em todos os nveis da organizao. A estrutura apoia uma gesto
eficaz dos riscos no decurso da aplicao do processo da gesto do risco (ver seco 5), em diferentes nveis
e em contextos especficos da organizao. A estrutura garante que a informao sobre o risco que decorre
do processo da gesto do risco corretamente reportada e serve de base tomada de deciso e
responsabilizao a todos os nveis da organizao envolvidos.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Esta seco descreve as componentes necessrias da estrutura para gerir o risco e a forma como se
interrelacionam de um modo iterativo, como mostra a Figura 2.
Mandato e compromisso (4.2)
Im
Melhoria contnua da
estrutura (4.6)
NP
ISO 31000
2013
p. 16 de 30
Esta estrutura no se destina a prescrever um sistema de gesto, mas sim a apoiar a organizao, a integrar a
gesto do risco na globalidade do seu sistema de gesto. As organizaes devero, portanto, adaptar as
componentes da estrutura s suas necessidades especficas.
Se as prticas e processos da gesto existentes numa organizao incluem componentes da gesto do risco,
ou se a organizao j adotou um processo formal da gesto do risco para tipos de situaes ou de riscos
especficos, ento estes devero ser revistos de forma crtica e apreciados face presente Norma, incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequao e eficcia.
4.2 Mandato e compromisso
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A introduo da gesto do risco e assegurar a sua contnua eficcia requerem um compromisso forte e
sustentado por parte da gesto de topo da organizao, bem como um planeamento estratgico e rigoroso
para conduzir a um compromisso a todos os nveis. A gesto de topo dever:
definir e aprovar a poltica da gesto do risco;
assegurar que a cultura da organizao e a sua poltica da gesto do risco esto alinhadas;
determinar indicadores de desempenho da gesto do risco coerentes com os indicadores de desempenho
da organizao;
alinhar os objetivos da gesto do risco com os objetivos e estratgias da organizao;
assegurar a conformidade legal e regulamentar;
Im
NP
ISO 31000
2013
p. 17 de 30
capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, suas percees e seus valores;
cultura da organizao;
normas, linhas de orientao e modelos adotados pela organizao;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Im
4.3.3 Responsabilizao
A organizao dever assegurar que existe responsabilizao, autoridade e competncia apropriada para
gerir o risco, incluindo implementar e manter o processo da gesto do risco e assegurar a adequao, a
eficcia e a eficincia de quaisquer controlos. Isto, poder ser facilitado:
identificando os donos do risco que tm a responsabilizao e a autoridade para gerir riscos;
identificando quem responsabilizvel pela definio, implementao e manuteno da estrutura para
gerir o risco;
identificando outras responsabilidades de pessoas a todos os nveis da organizao no processo da
gesto do risco;
estabelecendo a medio do desempenho e processos de reporte interno e/ou externo e de transmisso a
um nvel superior;
assegurando nveis de reconhecimento apropriados.
4.3.4 Integrao nos processos organizacionais
A gesto do risco dever ser integrada em todos os processos e prticas da organizao, de modo a ser
pertinente, eficaz e eficiente. O processo da gesto do risco dever tornar-se parte e no ser separado desses
NP
ISO 31000
2013
p. 18 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
a existncia de relatos internos adequados, relativos estrutura da gesto do risco, sua eficcia e aos
seus resultados;
Im
Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaes
relativas ao risco, provenientes de diversas fontes, e podero ter necessidade de considerar a sensibilidade
da informao.
4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos
A organizao dever elaborar e implementar um plano, quanto ao modo como comunicar com as partes
interessadas externas. Tal dever ter em considerao:
o envolvimento das partes interessadas externas apropriadas e assegurar uma troca eficaz de
informao;
os relatos externos para cumprimento dos requisitos legais, regulamentares e da governao;
providenciar o retorno e o relato da comunicao e consulta;
utilizar a comunicao para criar confiana na organizao;
NP
ISO 31000
2013
p. 19 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
assegurar que a tomada de deciso, incluindo o desenvolvimento e estabelecimento dos objetivos, est
alinhada com os resultados dos processos da gesto do risco;
realizar sesses de informao e de formao;
comunicar e consultar com as partes interessadas, de modo a assegurar que a sua estrutura da gesto do
risco se mantm apropriada.
4.4.2 Implementao do processo da gesto do risco
A gesto do risco dever ser implementada, assegurando que o processo da gesto do risco descrito na
seco 5, aplicado atravs de um plano da gesto do risco, a todos os nveis e funes da organizao
envolvidos, como parte das suas prticas e processos.
4.5 Monitorizao e reviso da estrutura
Im
De modo a assegurar que a gesto do risco eficaz e continua a apoiar o desempenho organizacional, a
organizao dever:
medir o desempenho da gesto do risco face a indicadores revistos periodicamente, quanto sua
adequao;
medir periodicamente o progresso e os desvios em relao ao plano da gesto do risco;
rever periodicamente se a estrutura, a poltica e o plano da gesto do risco continuam apropriados face ao
contexto interno e externo da organizao;
elaborar relatrios sobre o risco, o progresso do plano da gesto do risco e como a poltica da gesto do
risco seguida;
rever a eficcia da estrutura da gesto do risco.
4.6 Melhoria contnua da estrutura
As decises sobre o modo como a estrutura, a poltica e o plano da gesto do risco devero ser melhorados,
podem ser tomadas com base nos resultados da monitorizao e das revises. Estas decises devero
conduzir a melhorias da gesto do risco e da cultura da gesto do risco da organizao.
NP
ISO 31000
2013
p. 20 de 30
5 Processo
5.1 Generalidades
O processo da gesto do risco dever ser:
uma parte integrante da gesto;
integrado na cultura e prticas organizacionais;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Comunicao e
consulta (5.2)
Monitorizao e
reviso (5.6)
Im
NP
ISO 31000
2013
p. 21 de 30
do processo da gesto do risco e as partes interessadas compreendem os fundamentos das decises tomadas,
e as razes pelas quais so necessrias aes especficas.
Uma abordagem da consulta em equipa poder:
ajudar a estabelecer o contexto de forma apropriada;
assegurar que os interesses das partes interessadas so compreendidos e considerados;
ajudar a garantir que os riscos so identificados de forma adequada;
reunir diferentes reas de especializao para analisar riscos;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
assegurar que diferentes pontos de vista so considerados de forma apropriada na definio dos critrios
do risco e na avaliao dos riscos;
garantir a adeso e o apoio a um plano de tratamento do risco;
Im
5.3.1 Generalidades
NP
ISO 31000
2013
p. 22 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
O processo da gesto do risco dever estar alinhado com a cultura, os processos, a estrutura e a estratgia da
organizao. O contexto interno tudo aquilo que no seio da organizao pode influenciar a forma como a
organizao ir gerir o risco. O contexto interno dever ser estabelecido, porque:
a) a gesto do risco ocorre no contexto dos objetivos da organizao;
as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
as relaes com as partes interessadas internas, suas percees e valores;
Im
a cultura da organizao;
NP
ISO 31000
2013
p. 23 de 30
a definio do mbito, bem como, a profundidade e a amplitude das atividades da gesto do risco a
serem desenvolvidas, compreendendo incluses e excluses especficas;
a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e local;
a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos
ou atividades da organizao;
a definio das metodologias da apreciao do risco;
a definio da forma como o desempenho e eficcia so avaliados na gesto do risco;
a identificao e a especificao das decises que tm que ser tomadas;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
a identificao, mbito ou enquadramento dos estudos necessrios, a sua extenso e objetivos, bem como
os recursos necessrios para tais estudos.
A considerao destes e de outros fatores pertinentes, dever assegurar que a abordagem da gesto do risco
adotada seja apropriada s circunstncias, organizao e aos riscos que esto a afetar a consecuo dos
seus objetivos.
5.3.5 Definio dos critrios do risco
A organizao dever definir os critrios a serem utilizados para avaliar a significncia do risco. Os
critrios devero refletir os valores, objetivos e recursos da organizao. Alguns critrios podem ser
impostos por, ou derivar de, exigncias legais e requisitos regulamentares e outros requisitos subscritos pela
organizao. Os critrios do risco devero ser consistentes com a poltica da gesto do risco da organizao
(ver 4.3.2), ser definidos no incio de qualquer processo da gesto do risco e continuamente revistos.
Na definio dos critrios do risco, os fatores a considerar devero incluir o seguinte:
a natureza e tipos de causas e consequncias que podem ocorrer e como so medidas;
Im
NP
ISO 31000
2013
p. 24 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
A identificao dever incluir os riscos cuja fonte esteja ou no sob controlo da organizao, ainda que a
fonte ou causa do risco podero no ser evidentes. A identificao do risco dever incluir o exame das
reaes em cadeia, incluindo os efeitos em cascata e cumulativos, de consequncias particulares. Dever
ainda considerar um domnio alargado de consequncias, ainda que a fonte ou a causa do risco podero no
ser evidentes. Assim como se identifica o que possa acontecer, tambm necessrio considerar possveis
causas e cenrios que mostrem quais as consequncias que podem ocorrer. Todas as causas e consequncias
significativas devero ser consideradas.
A organizao dever utilizar tcnicas e ferramentas de identificao de riscos que sejam adequadas aos
seus objetivos e s suas capacidades, assim como aos riscos que enfrenta. Na identificao dos riscos
importante dispor de informao pertinente e atualizada. Sempre que possvel dever ser considerada
informao de base apropriada. Na identificao dos riscos devero ser envolvidas as pessoas com o
conhecimento adequado.
5.4.3 Anlise do risco
A anlise do risco implica desenvolver uma compreenso do risco. A anlise do risco fornece uma entrada
para a avaliao do risco e para as decises quanto necessidade dos riscos serem tratados, e sobre as
estratgias e mtodos mais apropriados para o tratamento do risco. A anlise do risco pode tambm fornecer
uma entrada para a tomada de decises, onde as escolhas tenham que ser feitas e as opes envolvam
diferentes tipos e nveis do risco.
Im
A anlise do risco implica considerar as causas e fontes do risco, as suas consequncias positivas e
negativas e a verosimilhana dessas consequncias ocorrerem. Devero ser identificados os fatores que
afetam as consequncias e a verosimilhana. O risco analisado, determinando as consequncias e as suas
verosimilhanas e outros atributos do risco. Um evento pode ter mltiplas consequncias e pode afetar
mltiplos objetivos. Os controlos existentes e a sua eficcia e eficincia, tambm devero ser tidos em
considerao.
O modo como as consequncias e a verosimilhana so expressas e o modo como so combinadas para
determinar um nvel de risco, devero refletir o tipo de risco, a informao disponvel e o propsito para o
qual a sada da apreciao do risco para ser utilizada. Tudo isto dever ser consistente com os critrios do
risco. Tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
A confiana na determinao do nvel do risco e a sua sensibilidade a condies prvias e pressupostos
devero ser consideradas na anlise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergncia de opinio entre especialistas, incerteza, disponibilidade,
qualidade, quantidade e da continuada pertinncia da informao ou limitaes na modelao, devero ser
declarados e podem ser realados.
A anlise do risco pode ser efetuada com graus de detalhe variveis, dependendo do risco, da finalidade da
anlise e da informao, dos dados e recursos disponveis. A anlise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinao destas, dependendo das circunstncias.
As consequncias e a sua verosimilhana podem ser determinadas pela modelao dos resultados de um
evento ou conjunto de eventos, por extrapolao a partir de estudos experimentais ou a partir de dados
disponveis. As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Nalguns
casos requerido mais do que um valor numrico ou descritor para especificar as consequncias e a sua
verosimilhana para diferentes tempos, locais, grupos ou situaes.
NP
ISO 31000
2013
p. 25 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
As decises devero ter em conta o contexto alargado do risco e incluir consideraes sobre a tolerncia dos
riscos suportados pelas partes, que no a organizao que beneficia do risco. As decises devero ser
tomadas de acordo com as exigncias legais, regulamentares e outros requisitos.
Em determinadas circunstncias a avaliao do risco pode levar a uma deciso de efetuar anlises
adicionais. A avaliao do risco pode tambm levar deciso de no efetuar o tratamento do risco, para
alm de manter os controlos existentes. Esta deciso ser influenciada pela atitude da organizao face ao
risco e pelos critrios do risco que foram estabelecidos.
5.5 Tratamento do risco
5.5.1 Generalidades
O tratamento do risco implica a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes. Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cclico que inclui:
Im
NP
ISO 31000
2013
p. 26 de 30
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
as aes propostas;
a calendarizao e o cronograma.
Im
Os planos de tratamento devero ser integrados com os processos de gesto da organizao e discutidos
com as partes interessadas apropriadas.
Os decisores e outras partes interessadas devero estar cientes da natureza e dimenso do risco residual
aps o tratamento do risco. O risco residual dever ser documentado e sujeito a monitorizao, reviso e,
onde apropriado, tratamento posterior.
5.6 Monitorizao e reviso
A monitorizao e a reviso devero ser uma parte planeada do processo da gesto do risco e envolver
verificao ou vigilncia regular. Pode ser peridica ou ad hoc.
As responsabilidades pela monitorizao e reviso devero estar claramente definidas.
Os processos de monitorizao e reviso da organizao devero abranger todos os aspetos do processo da
gesto do risco com o objetivo de:
NP
ISO 31000
2013
p. 27 de 30
detetar alteraes no contexto externo e interno, incluindo alteraes aos critrios do risco e ao prprio
risco, que podem requerer a reviso dos tratamentos do risco e das prioridades;
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
O progresso na implementao dos planos de tratamento do risco fornece uma medida do desempenho. Os
resultados podem ser incorporados na gesto global do desempenho da organizao, na sua medio e nas
atividades de reporte externo e interno.
Os resultados da monitorizao e reviso devero ser registados e reportados externa e internamente
conforme apropriado, e devero ser usados tambm, como uma entrada para a reviso da estrutura da gesto
do risco (ver 4.5).
5.7 Registo do processo da gesto do risco
As atividades da gesto do risco devero ser rastreveis. No processo da gesto do risco, os registos
fornecem a base para melhoria dos mtodos e das ferramentas, bem como do processo na sua globalidade.
As decises relativas criao de registos devero ter em conta:
as necessidades de aprendizagem contnua da organizao;
o perodo de reteno;
a sensibilidade da informao.
Im
NP
ISO 31000
2013
p. 28 de 30
Anexo A
(informativo)
Atributos da gesto do risco reforada
A.1 Generalidades
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Todas as organizaes devero procurar atingir um nvel apropriado do desempenho da sua estrutura da
gesto do risco em linha com a criticidade das decises que tero de ser tomadas. A lista dos atributos
abaixo apresentada, representa um alto nvel de desempenho ao gerir o risco. Para apoiar as organizaes na
medio do seu prprio desempenho relativamente a estes critrios, so fornecidos alguns indicadores
tangveis para cada atributo.
A.2.1 A organizao tem uma compreenso atual, correta e abrangente dos seus riscos.
A.2.2 Os riscos da organizao esto dentro dos seus critrios do risco.
A.3 Atributos
A.3.1 Melhoria contnua
Im
Isto pode ser indicado pela existncia de objetivos de desempenho explcitos, relativamente aos quais so
medidos os desempenhos da organizao e do gestor. O desempenho da organizao pode ser publicado e
comunicado. Habitualmente, existir pelo menos uma reviso anual do desempenho e a subsequente reviso
dos processos e o estabelecimento de objetivos do desempenho, revistos para o perodo seguinte.
A avaliao de desempenho da gesto do risco uma parte integrante da avaliao do desempenho global
da organizao e do sistema de avaliao para departamentos e indivduos.
A.3.2 Responsabilizao total pelos riscos
A gesto do risco reforada inclui uma responsabilizao abrangente, completamente definida e
integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivduos designados
aceitam integralmente a responsabilizao, possuem competncias apropriadas e dispem dos recursos
adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente
acerca dos riscos e respetiva gesto s partes interessadas externas e internas.
Tal pode ser indicado pelo facto de todos os membros de uma organizao estarem totalmente cientes dos
riscos, controlos e tarefas pelos quais so responsveis. Usualmente, tal estar registado nas descries de
funo/cargo, bases de dados ou sistemas de informao. A definio das funes na gesto do risco,
responsabilizao e responsabilidades devero fazer parte de todos os programas de acolhimento e
integrao de uma organizao.
NP
ISO 31000
2013
p. 29 de 30
A organizao assegura que aqueles que so responsabilizados esto aptos para cumprir a sua funo
atribuindo-lhes autoridade, tempo, formao e treino, recursos e competncias suficientes para assumirem a
sua responsabilizao.
A.3.3 Aplicao da gesto do risco em todas as tomadas de deciso
Todas as tomadas de deciso no seio da organizao, qualquer que seja o respetivo nvel de importncia e
significncia, envolvem consideraes explcitas do risco e a aplicao da gesto do risco a um nvel
adequado.
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
Tal pode ser indicado pelos registos das reunies e decises, evidenciando que tiveram lugar discusses
explcitas sobre o risco. Adicionalmente, dever ser possvel ver que todas as componentes da gesto do
risco esto representadas nos processos chave de tomada de deciso na organizao, por exemplo, em
decises para atribuio de capital, para projetos importantes e para a reestruturao ou mudanas da
organizao. Por estas razes, uma gesto do risco consistente vista dentro da organizao como a base
para a governao eficaz.
A.3.4 Comunicaes continuadas
A gesto do risco reforada inclui comunicaes continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gesto do risco, como parte da boa
governao.
Isto pode ser indicado pela comunicao com as partes interessadas como uma componente integrante e
essencial da gesto do risco. A comunicao corretamente vista como um processo de dois sentidos, de tal
modo que decises adequadamente informadas, possam ser tomadas quanto ao nvel do risco e
necessidade de tratamento do risco face a critrios do risco adequadamente estabelecidos e abrangentes.
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
da gesto do risco, contribui substancialmente para uma governao eficaz no seio da organizao.
A.3.5 Integrao total na estrutura de governao da organizao
Im
A gesto do risco vista como central nos processos da gesto da organizao, de tal forma que os riscos
so considerados em termos do efeito da incerteza na consecuo dos objetivos. A estrutura e o processo de
governao so baseados na gesto do risco. A gesto do risco eficaz considerada pelos gestores, como
sendo essencial para a consecuo dos objetivos da organizao.
Isto indicado atravs da linguagem dos gestores e dos documentos relevantes da organizao usando o
termo incerteza associado aos riscos. Este atributo tambm normalmente refletido nas declaraes de
poltica da organizao, particularmente nas relacionadas com a gesto do risco. Normalmente, este atributo
ser verificado atravs de entrevistas com os gestores e atravs da evidncia das suas aes e declaraes.
NP
ISO 31000
2013
p. 30 de 30
Bibliografia
Guia ISO 73:2009
[2]
ISO/IEC 31010
Im
pr
es
s o
IP de
Q
re doc
pr u m
od
u ent
o o e
pr lec
oib tr
ida nic
o
[1]