Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASILEIRA
ABNT NBR
ISO
31000
Primeira edio
30.11.2009
Vlida a partir de
30.12.2009
ICS 03.100.01
ISBN 978-85-07-01838-4
Nmero de referncia
ABNT NBR ISO 31000:2009
24 pginas
ISO 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito da ABNT,
nico representante da ISO no territrio brasileiro.
ABNT 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii
Impresso por: PETROBRAS
Sumrio
Pgina
Prefcio Nacional.......................................................................................................................................................iv
Introduo ...................................................................................................................................................................v
1
Escopo ............................................................................................................................................................1
Princpios .......................................................................................................................................................7
4
4.1
4.2
4.3
4.3.1
4.3.2
4.3.3
4.3.4
4.3.5
4.3.6
4.3.7
4.4
4.4.1
4.4.2
4.5
4.6
Estrutura.........................................................................................................................................................8
Generalidades ................................................................................................................................................8
Mandato e comprometimento ......................................................................................................................9
Concepo da estrutura para gerenciar riscos........................................................................................10
Entendimento da organizao e seu contexto .........................................................................................10
Estabelecimento da poltica de gesto de riscos ....................................................................................10
Responsabilizao ......................................................................................................................................11
Integrao nos processos organizacionais..............................................................................................11
Recursos ......................................................................................................................................................11
Estabelecimento de mecanismos de comunicao e reporte internos.................................................12
Estabelecimento de mecanismos de comunicao e reporte externos ................................................12
Implementao da gesto de riscos..........................................................................................................12
Implementao da estrutura para gerenciar riscos .................................................................................12
Implementao do processo de gesto de riscos ...................................................................................13
Monitoramento e anlise crtica da estrutura...........................................................................................13
Melhoria contnua da estrutura ..................................................................................................................13
5
5.1
5.2
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.5
5.5.1
5.5.2
5.5.3
5.6
5.7
Processo.......................................................................................................................................................13
Generalidades ..............................................................................................................................................13
Comunicao e consulta ............................................................................................................................14
Estabelecimento do contexto.....................................................................................................................15
Generalidades ..............................................................................................................................................15
Estabelecimento do contexto externo.......................................................................................................15
Estabelecimento do contexto interno .......................................................................................................15
Estabelecimento do contexto do processo de gesto de riscos ...........................................................16
Definio dos critrios de risco .................................................................................................................17
Processo de avaliao de riscos ...............................................................................................................17
Generalidades ..............................................................................................................................................17
Identificao de riscos ................................................................................................................................17
Anlise de riscos .........................................................................................................................................18
Avaliao de riscos .....................................................................................................................................18
Tratamento de riscos ..................................................................................................................................19
Generalidades ..............................................................................................................................................19
Seleo das opes de tratamento de riscos ..........................................................................................19
Preparando e implementando planos para tratamento de riscos ..........................................................20
Monitoramento e anlise crtica.................................................................................................................20
Registros do processo de gesto de riscos .............................................................................................21
iii
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidade, laboratrio e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos
elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO 31000 foi elaborada pela Comisso de Estudo Especial de Gesto de Riscos (CEE-63).
O Projeto circulou em Consulta Nacional conforme Edital n 08, de 07.08.2009 a 08.09.2009, com o nmero de
Projeto 63:000.01-001.
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO 31000:2009, que foi
elaborada pelo ISO Technical Management Board Working Group on risk management (ISO/TMB/WG), conforme
ISO/IEC Guide 21-1:2005.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
For convenience, all the different users of this Standard are referred to by the general term organization.
This Standard can be applied throughout the life of an organization, and to a wide range of activities, including
strategies and decisions, operations, processes, functions, projects, products, services and assets.
This Standard can be applied to any type of risk, whatever its nature, whether having positive or negative
consequences.
Although this Standard provides generic guidelines, it is not intended to promote uniformity of risk management
across organizations. The design and implementation of risk management plans and frameworks will need to take
into account the varying needs of a specific organization, its particular objectives, context, structure, operations,
processes, functions, projects, products, services, or assets and specific practices employed.
It is intended that this Standard be utilized to harmonize risk management processes in existing and future
standards. It provides a common approach in support of standards dealing with specific risks and/or sectors, and
does not replace those standards.
This Standard is not intended for the purpose of certification.
iv
Impresso por: PETROBRAS
Introduo
Organizaes de todos os tipos e tamanhos enfrentam influncias e fatores internos e externos que tornam incerto
se e quando elas atingiro seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organizao
chamado de "risco".
Todas as atividades de uma organizao envolvem risco. As organizaes gerenciam o risco, identificando-o,
analisando-o e, em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender
a seus critrios de risco. Ao longo de todo este processo, elas comunicam e consultam as partes interessadas
e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum
tratamento de risco adicional seja requerido. Esta Norma descreve este processo sistemtico e lgico em detalhes.
Embora todas as organizaes gerenciem os riscos em algum grau, esta Norma estabelece um nmero
de princpios que precisam ser atendidos para tornar a gesto de riscos eficaz. Esta Norma recomenda que as
organizaes desenvolvam, implementem e melhorem continuamente uma estrutura1) cuja finalidade integrar
o processo para gerenciar riscos na governana, estratgia e planejamento, gesto, processos de reportar dados
e resultados, polticas, valores e cultura em toda a organizao.
A gesto de riscos pode ser aplicada a toda uma organizao, em suas vrias reas e nveis, a qualquer momento,
bem como a funes, atividades e projetos especficos.
Embora a prtica de gesto de riscos tenha sido desenvolvida ao longo do tempo e em muitos setores a fim de
atender s necessidades diversas, a adoo de processos consistentes em uma estrutura abrangente pode ajudar
a assegurar que o risco seja gerenciado de forma eficaz, eficiente e coerentemente ao longo de uma organizao.
A abordagem genrica descrita nesta Norma fornece os princpios e diretrizes para gerenciar qualquer forma de
risco de uma maneira sistemtica, transparente e confivel, dentro de qualquer escopo e contexto.
Cada setor especfico ou aplicao da gesto de riscos traz consigo necessidades particulares, vrios pblicos,
percepes e critrios. Portanto, uma caracterstica-chave desta Norma a incluso do estabelecimento do
contexto como uma atividade no incio deste processo genrico de gesto de riscos. O estabelecimento do
contexto captura os objetivos da organizao, o ambiente em que ela persegue esses objetivos, suas partes
interessadas e a diversidade de critrios de risco o que auxiliar a revelar e avaliar a natureza e a complexidade
de seus riscos.
O relacionamento entre os princpios para gerenciar riscos, a estrutura na qual ocorre e o processo de gesto de
riscos descritos nesta Norma so mostrados na Figura 1.
Quando implementada e mantida de acordo com esta Norma, a gesto dos riscos possibilita a uma organizao,
por exemplo:
aumentar a probabilidade de atingir os objetivos;
encorajar uma gesto pro-ativa;
estar atento para a necessidade de identificar e tratar os riscos atravs de toda a organizao;
1)
NOTA DA TRADUO: Para os efeitos desta Norma Brasileira traduziu-se o termo framework por estrutura.
Esta Norma destinada a atender s necessidades de uma ampla gama de partes interessadas, incluindo:
a)
b)
os responsveis por assegurar que os riscos so eficazmente gerenciados na organizao como um todo
ou em uma rea, atividade ou projeto especficos;
c)
d)
As atuais prticas e processos de gesto de muitas organizaes incluem componentes de gesto de riscos,
e muitas organizaes j adotaram um processo formal de gesto de riscos para determinados tipos de risco
ou circunstncias. Nesses casos, uma organizao pode decidir conduzir uma anlise crtica de suas prticas
e processos existentes, tomando como base esta Norma.
Nesta Norma, as expresses "gesto de riscos" e "gerenciando riscos" so ambas utilizadas. Em termos gerais,
"gesto de riscos" refere-se arquitetura (princpios, estrutura e processo) para gerenciar riscos eficazmente,
enquanto que "gerenciar riscos" refere-se aplicao dessa arquitetura para riscos especficos.
vi
Impresso por: PETROBRAS
vii
NORMA BRASILEIRA
Escopo
Para convenincia, todos os diferentes usurios desta Norma so referidos pelo termo geral "organizao".
Esta Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de atividades, incluindo
estratgias, decises, operaes, processos, funes, projetos, produtos, servios e ativos.
Esta Norma pode ser aplicada a qualquer tipo de risco, independentemente de sua natureza, quer tenha
consequncias positivas ou negativas.
Embora esta Norma fornea diretrizes genricas, ela no pretende promover a uniformidade da gesto de riscos
entre organizaes. A concepo e a implementao de planos e estruturas para gesto de riscos precisaro levar
em considerao as necessidades variadas de uma organizao especfica, seus objetivos, contexto, estrutura,
operaes, processos, funes, projetos, produtos, servios ou ativos e prticas especficas empregadas.
Pretende-se que esta Norma seja utilizada para harmonizar os processos de gesto de riscos tanto em normas
atuais como em futuras. Esta Norma fornece uma abordagem comum para apoiar Normas que tratem de riscos
e/ou setores especficos, e no substitu-las.
Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31
Termos e definies
NOTA 2
Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e segurana e ambientais) e
podem aplicarse em diferentes nveis (tais como estratgico, em toda a organizao, de projeto, de produto e de processo).
NOTA 3
O risco muitas vezes caracterizado pela referncia aos eventos (2.17) potenciais e s consequncias (2.18), ou
uma combinao destes.
NOTA 4
O risco muitas vezes expresso em termos de uma combinao de consequncias de um evento (incluindo
mudanas nas circunstncias) e a probabilidade (2.19) de ocorrncia associada.
NOTA 5
A incerteza o estado, mesmo que parcial, da deficincia das informaes relacionadas a um evento, sua
compreenso, seu conhecimento, sua consequncia ou sua probabilidade.
2.2
gesto de riscos
atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos (2.1)
[ABNT ISO GUIA 73:2009, definio 2.1]
2.3
estrutura da gesto de riscos
conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepo,
implementao, monitoramento (2.28), anlise crtica e melhoria contnua da gesto de riscos (2.2) atravs
de toda a organizao
NOTA 1
Os fundamentos incluem a poltica, objetivos, mandatos e comprometimento para gerenciar riscos (2.1).
NOTA 2
NOTA 3
A estrutura da gesto de riscos est incorporada no mbito das polticas e prticas estratgicas e operacionais de
toda a organizao.
2.5
atitude perante o risco
abordagem da organizao para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco (2.1)
2
Impresso por: PETROBRAS
2.9
estabelecimento do contexto
definio dos parmetros externos e internos a serem levados em considerao ao gerenciar riscos,
e estabelecimento do escopo e dos critrios de risco (2.22) para a poltica de gesto de riscos (2.4)
[ABNT ISO GUIA 73:2009, definio 3.3.1]
2.10
contexto externo
ambiente externo no qual a organizao busca atingir seus objetivos
NOTA O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo,
seja internacional, nacional, regional ou local;
os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e
as relaes com partes interessadas (2.13) externas e suas percepes e valores.
[ABNT ISO GUIA 73:2009, definio 3.3.1.1]
2.11
contexto interno
ambiente interno no qual a organizao busca atingir seus objetivos
NOTA
capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto formais como informais);
cultura da organizao;
uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em conjunto.
Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2
NOTA 3
NOTA 4
Um evento sem consequncias (2.18) tambm pode ser referido como um "quase acidente", ou um "incidente" ou
"por um triz".
2) NOTA DA TRADUO: Para os efeitos desta Norma Brasileira, o termo risk assessment foi traduzido como processo
de avaliao de riscos (2.14) para evitar conflito com o termo risk evaluation, que foi traduzido como avaliao de riscos
(2.24).
4
Impresso por: PETROBRAS
2.18
consequncia
resultado de um evento (2.17) que afeta os objetivos
NOTA 1
NOTA 2
Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos.
NOTA 3
NOTA 4
2.20
perfil de risco
descrio de um conjunto qualquer de riscos (2.1)
NOTA
O conjunto de riscos pode conter riscos que dizem respeito a toda a organizao, parte da organizao,
ou referente ao qual tiver sido definido.
Os critrios de risco so baseados nos objetivos organizacionais e no contexto externo (2.10) e contexto interno
NOTA 2
Os critrios de risco podem ser derivados de normas, leis, polticas e outros requisitos.
2.23
nvel de risco
magnitude de um risco (2.1) ou combinao de riscos, expressa em termos da combinao das consequncias
(2.18) e de suas probabilidades (2.19)
[ABNT ISO GUIA 73:2009, definio 3.6.1.8]
2.24
avaliao de riscos
processo de comparar os resultados da anlise de riscos (2.21) com os critrios de risco (2.22) para determinar
se o risco (2.1) e/ou sua magnitude aceitvel ou tolervel
NOTA
NOTA 1
a ao de evitar o risco pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco;
o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
NOTA 2
Os tratamentos de riscos relativos s consequncias negativas so muitas vezes referidos como "mitigao
de riscos", "eliminao de riscos", "preveno de riscos" e "reduo de riscos".
NOTA 3
Os controles incluem qualquer processo, poltica, dispositivo, prtica ou outras aes que modificam o risco.
NOTA 2
6
Impresso por: PETROBRAS
NOTA 2
Princpios
Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda aos princpios
abaixo descritos.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
O Anexo A fornece informaes adicionais para as organizaes que desejam gerenciar riscos de forma mais
eficaz.
4
4.1
Estrutura
Generalidades
O sucesso da gesto de riscos ir depender da eficcia da estrutura de gesto que fornece os fundamentos e os
arranjos que iro incorpor-la atravs de toda a organizao, em todos os nveis. A estrutura auxilia a gerenciar
riscos eficazmente atravs da aplicao do processo de gesto de riscos (ver Seo 5) em diferentes nveis e
dentro de contextos especficos da organizao. A estrutura assegura que a informao sobre riscos proveniente
desse processo seja adequadamente reportada e utilizada como base para a tomada de decises
e a responsabilizao em todos os nveis organizacionais aplicveis.
Esta seo descreve os componentes necessrios da estrutura para gerenciar riscos e a forma como eles se interrelacionam de maneira iterativa, conforme mostrado na Figura 2.
8
Impresso por: PETROBRAS
4.2
Mandato e comprometimento
A introduo da gesto de riscos, e a garantia de sua contnua eficcia requerem comprometimento forte
e sustentado a ser assumido pela administrao da organizao, bem como um planejamento rigoroso
e estratgico para obter-se esse comprometimento em todos os nveis. Convm que a administrao:
defina e aprove a poltica de gesto de riscos;
assegure que a cultura da organizao e a poltica de gesto de riscos estejam alinhadas;
defina indicadores de desempenho para a gesto de riscos que estejam alinhados com os indicadores
de desempenho da organizao;
alinhe os objetivos da gesto de riscos com os objetivos e estratgias da organizao;
assegure a conformidade legal e regulatria;
4.3
4.3.1
Antes de iniciar a concepo e a implementao da estrutura para gerenciar riscos, importante avaliar e
compreender os contextos externo e interno da organizao, uma vez que estes podem influenciar
significativamente a concepo da estrutura.
A avaliao do contexto externo da organizao pode incluir, mas no est limitada a:
a)
ambientes cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo,
quer seja internacional, nacional, regional ou local;
b)
c)
comprometimento da
10
Impresso por: PETROBRAS
Responsabilizao
Convm que a organizao assegure que haja responsabilizao, autoridade e competncia apropriadas para
gerenciar riscos, incluindo implementar e manter o processo de gesto de riscos, e assegurar a suficincia,
a eficcia e a eficincia de quaisquer controles. Isto pode ser facilitado por:
identificar os proprietrios dos riscos que tm a responsabilidade e a autoridade para gerenciar riscos;
identificar os responsveis pelo desenvolvimento, implementao e manuteno da estrutura para gerenciar
riscos;
identificar outras responsabilidades das pessoas, em todos os nveis da organizao no processo de gesto
de riscos;
estabelecer medio de desempenho e processos de reporte internos ou externos e relao com os devidos
escales; e
assegurar nveis apropriados de reconhecimento.
4.3.4
Convm que a gesto de riscos seja incorporada em todas as prticas e processos da organizao, de forma que
seja pertinente, eficaz e eficiente. Convm que o processo de gesto de riscos se torne parte integrante, e no
separado, desses processos organizacionais. Em particular, convm que a gesto de riscos seja incorporada
no desenvolvimento de polticas, na anlise crtica, no planejamento estratgico e de negcios, e nos processos
de gesto de mudanas.
Convm que exista um plano de gesto de riscos para toda a organizao, a fim de assegurar que a poltica de
gesto de riscos seja implementada e que a gesto de riscos seja incorporada em todas as prticas e processos
da organizao. O plano de gesto de riscos pode ser integrado em outros planos organizacionais, tais como
um plano estratgico.
4.3.5
Recursos
11
4.3.6
Convm que a organizao estabelea mecanismos de comunicao interna e reporte a fim de apoiar e incentivar
a responsabilizao e a propriedade dos riscos. Convm que tais mecanismos assegurem que:
componentes-chave da estrutura da gesto de riscos, e quaisquer alteraes subsequentes, sejam
comunicados adequadamente;
exista um processo adequado de reporte interno sobre a estrutura, sua eficcia e os seus resultados;
as informaes pertinentes derivadas da aplicao da gesto de riscos estejam disponveis nos nveis e nos
momentos apropriados; e
haja processos de consulta s partes interessadas internas.
Convm que estes mecanismos incluam processos para consolidar a informao sobre os riscos, conforme
apropriado, a partir de uma variedade de fontes, levando em considerao sua sensibilidade.
4.3.7
Convm que a organizao desenvolva e implemente um plano sobre como se comunicar com partes
interessadas externas. Convm que isto envolva:
engajar as partes interessadas externas apropriadas e assegurar a troca eficaz de informaes;
o reporte externo para atendimento de requisitos legais, regulatrios e de governana;
fornecer retroalimentao e reportar sobre a comunicao e consulta;
4.4
4.4.1
12
Impresso por: PETROBRAS
4.4.2
Convm que a gesto de riscos seja implementada para assegurar que o processo de gesto de riscos descrito na
Seo 5 seja aplicado, atravs de um plano de gesto de riscos, em todos os nveis e funes pertinentes da
organizao, como parte de suas prticas e processos.
4.5
A fim de assegurar que a gesto de riscos seja eficaz e continua a apoiar o desempenho organizacional, convm
que a organizao:
mea o desempenho da gesto de riscos utilizando indicadores, os quais devem ser analisados criticamente,
de forma peridica, para garantir sua adequao;
mea periodicamente o progresso obtido, ou o desvio, em relao ao plano de gesto de riscos;
analise criticamente de forma peridica se a poltica, o plano e a estrutura da gesto de riscos ainda so
apropriados, dado o contexto externo e interno das organizaes;
reporte sobre os riscos, sobre o progresso do plano de gesto de riscos e como a poltica de gesto de riscos
est sendo seguida; e
analise criticamente a eficcia da estrutura da gesto de riscos.
4.6
Com base nos resultados do monitoramento e das anlises crticas, convm que decises sejam tomadas sobre
como a poltica, o plano e a estrutura da gesto de riscos podem ser melhorados. Convm que essas decises
visem melhorias na capacidade de gerenciar riscos da organizao e em sua cultura de gesto de riscos.
5
5.1
Processo
Generalidades
13
5.2
Comunicao e consulta
Convm que a comunicao e a consulta s partes interessadas internas e externas aconteam durante todas as
fases do processo de gesto de riscos.
Portanto, convm que os planos de comunicao e consulta sejam desenvolvidos em um estgio inicial.
Convm que estes planos abordem questes relacionadas com o risco propriamente dito, suas causas, suas
consequncias (se conhecidas) e as medidas que esto sendo tomadas para trat-los. Convm que comunicao
e consulta interna e externa eficazes sejam realizadas a fim de assegurar que os responsveis pela
implementao do processo de gesto de riscos e as partes interessadas compreendam os fundamentos sobre
os quais as decises so tomadas e as razes pelas quais aes especficas so requeridas.
Uma abordagem de equipe consultiva pode:
auxiliar a estabelecer o contexto apropriadamente;
assegurar que os interesses das partes interessadas sejam compreendidos e considerados;
auxiliar a assegurar que os riscos sejam identificados adequadamente;
reunir diferentes reas de especializao em conjunto para anlise dos riscos;
assegurar que diferentes pontos de vista sejam devidamente considerados quando da definio dos critrios
de risco e na avaliao dos riscos;
garantir o aval e o apoio para um plano de tratamento;
aprimorar a gesto de mudanas durante o processo de gesto de riscos; e
desenvolver um plano apropriado para comunicao e consulta interna e externa.
14
Impresso por: PETROBRAS
A comunicao e consulta s partes interessadas so importantes na medida em que elas fazem julgamentos
sobre riscos com base em suas percepes. Essas percepes podem variar devido s diferenas de valores,
necessidades, suposies, conceitos e preocupaes das partes interessadas. Como os seus pontos de vista
podem ter um impacto significativo sobre as decises tomadas, convm que as percepes das partes
interessadas sejam identificadas, registradas e levadas em considerao no processo de tomada de deciso.
Convm que a comunicao e a consulta facilitem a troca de informaes verdadeiras, pertinentes, exatas
e compreensveis, levando em considerao os aspectos de confidencialidade e integridade das pessoas.
5.3
Estabelecimento do contexto
5.3.1
Generalidades
Ao estabelecer o contexto, a organizao articula seus objetivos, define os parmetros externos e internos
a serem levados em considerao ao gerenciar riscos, e estabelece o escopo e os critrios de risco para o
restante do processo. Mesmo que muitos destes parmetros sejam similares queles considerados na concepo
da estrutura da gesto de riscos (ver 4.3.1), ao se estabelecer o contexto para o processo de gesto de riscos,
eles precisam ser considerados com mais detalhe. Em particular, como eles se relacionam com o escopo do
respectivo processo de gesto de riscos.
5.3.2
O contexto externo o ambiente externo no qual a organizao busca atingir seus objetivos.
Entender o contexto externo importante para assegurar que os objetivos e as preocupaes das partes
interessadas externas sejam considerados no desenvolvimento dos critrios de risco. O contexto externo
baseado no contexto de toda a organizao, porm com detalhes especficos sobre requisitos legais
e regulatrios, percepes de partes interessadas e outros aspectos dos riscos especficos para o escopo
do processo de gesto de riscos.
tecnolgico,
econmico,
natural
O contexto interno o ambiente interno no qual a organizao busca atingir seus objetivos.
Convm que o processo de gesto de riscos esteja alinhado com a cultura, processos, estrutura e estratgia da
organizao. O contexto interno algo dentro da organizao que pode influenciar a maneira pela qual uma
organizao gerenciar os riscos. Convm que ele seja estabelecido, porque:
a)
b)
convm que os objetivos e os critrios de um determinado projeto, processo ou atividade sejam considerados
tendo como base os objetivos da organizao como um todo; e
c)
algumas organizaes deixam de reconhecer oportunidades para atingir seus objetivos estratgicos,
de projeto ou de negcios, o que afeta o comprometimento, a credibilidade, a confiana e o valor
organizacional.
15
necessrio compreender o contexto interno. Isto pode incluir, mas no est limitado a:
governana, estrutura organizacional, funes e responsabilidades;
polticas, objetivos e estratgias implementadas para atingi-los;
capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas,
processos, sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, e suas percepes e valores;
cultura da organizao;
normas, diretrizes e modelos adotados pela organizao, e
forma e extenso das relaes contratuais.
5.3.4
Convm que sejam estebelecidos os objetivos, as estratgias, o escopo e os parmetros das atividades
da organizao, ou daquelas partes da organizao em que o processo de gesto de riscos est sendo aplicado.
Convm que a gesto dos riscos seja realizada com plena conscincia da necessidade de justificar os recursos
utilizados na gesto de riscos. Convm que os recursos requeridos, as responsabilidades e as autoridades, alm
dos registros a serem mantidos, tambm sejam especificados.
O contexto do processo de gesto de riscos ir variar de acordo com as necessidades de uma organizao.
Ele pode envolver, mas no est limitado a:
16
Impresso por: PETROBRAS
5.3.5
Convm que a organizao defina os critrios a serem utilizados para avaliar a significncia do risco. Convm que
os critrios reflitam os valores, objetivos e recursos da organizao. Alguns critrios podem ser impostos por,
ou derivados de requisitos legais e regulatrios e outros requisitos que a organizao subscreva. Convm que
os critrios de risco sejam compatveis com a poltica de gesto de riscos da organizao (ver 4.3.2), definidos
no incio de qualquer processo de gesto de riscos e analisados criticamente de forma contnua.
Ao definir os critrios de risco, convm que os fatores a serem considerados incluam os seguintes aspectos:
a natureza e os tipos de causas e de consequncias que podem ocorrer e como elas sero medidas;
como a probabilidade ser definida;
a evoluo no tempo da probabilidade e/ou consequncia(s);
como o nvel de risco deve ser determinado;
os pontos de vista das partes interessadas;
o nvel em que o risco se torna aceitvel ou tolervel; e
se convm que combinaes de mltiplos riscos sejam levadas em considerao e, em caso afirmativo,
como e quais combinaes convm que sejam consideradas.
5.4
5.4.1
O processo de avaliao de riscos o processo global de identificao de riscos, anlise de riscos e avaliao
de riscos.
NOTA
5.4.2
Identificao de riscos
Convm que a organizao identifique as fontes de risco, reas de impactos, eventos (incluindo mudanas nas
circunstncias) e suas causas e consequncias potenciais. A finalidade desta etapa gerar uma lista abrangente
de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realizao dos
objetivos. importante identificar os riscos associados com no perseguir uma oportunidade. A identificao
abrangente crtica, pois um risco que no identificado nesta fase no ser includo em anlises posteriores.
Convm que a identificao inclua todos os riscos, estando suas fontes sob o controle da organizao ou no,
mesmo que as fontes ou causas dos riscos possam no ser evidentes. Convm que a identificao de riscos
inclua o exame de reaes em cadeia provocadas por consequncias especficas, incluindo os efeitos cumulativos
e em cascata. Convm que tambm seja considerada uma ampla gama de consequncias, ainda que a fonte
ou causa do risco no esteja evidente. Alm de identificar o que pode acontecer, necessrio considerar
possveis causas e cenrios que mostrem quais consequncias podem ocorrer. Convm que todas as causas
e consequncias significativas sejam consideradas.
Convm que a organizao aplique ferramentas e tcnicas de identificao de riscos que sejam adequadas aos
seus objetivos e capacidades e aos riscos enfrentados. Informaes pertinente e atualizadas so importantes
na identificao de riscos. Convm que incluam informaes adequadas sobre os fatos por trs dos
acontecimentos, sempre que possvel. Convm que pessoas com um conhecimento adequado sejam envolvidas
na identificao dos riscos.
17
5.4.3
Anlise de riscos
A anlise de riscos envolve desenvolver a compreenso dos riscos. A anlise de riscos fornece uma entrada para
a avaliao de riscos e para as decises sobre a necessidade dos riscos serem tratados, e sobre as estratgias
e mtodos mais adequados de tratamento de riscos. A anlise de riscos tambm pode fornecer uma entrada para
a tomada de decises em que escolhas precisam ser feitas e as opes envolvem diferentes tipos e nveis
de risco.
A anlise de riscos envolve a apreciao das causas e as fontes de risco, suas consequncias positivas e
negativas, e a probabilidade de que essas consequncias possam ocorrer. Convm que os fatores que afetam as
consequncias e a probabilidade sejam identificados. O risco analisado determinandose as conseqncias e
sua probabilidade, e outros atributos do risco. Um evento pode ter vrias consequncias e pode afetar vrios
objetivos. Convm que os controles existentes e sua eficcia e eficincia tambm sejam levados em considerao.
Convm que a forma em que as consequncias e a probabilidade so expressas e o modo com que elas so
combinadas para determinar um nvel de risco reflitam o tipo de risco, as informaes disponveis e a finalidade
para a qual a sada do processo de avaliao de riscos ser utilizada. Convm que isso tudo seja compatvel com
os critrios de risco. tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
Convm que a confiana na determinao do nvel de risco e sua sensibilidade a condies prvias e premissas
sejam consideradas na anlise e comunicadas eficazmente para os tomadores de deciso e, quando apropriado,
a outras partes interessadas. Convm que sejam estabelecidos e ressaltados fatores como a divergncia
de opinio entre especialistas, a incerteza, a disponibilidade, a qualidade, a quantidade e a contnua pertinncia
das informaes, ou as limitaes sobre a modelagem.
A anlise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade
da anlise e das informaes, dados e recursos disponveis. Dependendo das circunstncias, a anlise pode ser
qualitativa, semiquantitativa ou quantitativa, ou uma combinao destas.
As consequncias e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento
ou conjunto de eventos, ou por extrapolao a partir de estudos experimentais ou a partir dos dados disponveis.
As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Em alguns casos,
necessrio mais que um valor numrico ou descritor para especificar as consequncias e suas probabilidades
em diferentes perodos, locais, grupos ou situaes.
5.4.4
Avaliao de riscos
A finalidade da avaliao de riscos auxiliar na tomada de decises com base nos resultados da anlise
de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementao do tratamento.
A avaliao de riscos envolve comparar o nvel de risco encontrado durante o processo de anlise com os critrios
de risco estabelecidos quando o contexto foi considerado. Com base nesta comparao, a necessidade
do tratamento pode ser considerada.
Convm que as decises levem em conta o contexto mais amplo do risco e considerem a tolerncia aos riscos
assumida por partes que no a prpria organizao que se beneficia do risco. Convm que as decises sejam
tomadas de acordo com os requisitos legais, regulatrios e outros requisitos.
Em algumas circunstncias, a avaliao de riscos pode levar deciso de se proceder a uma anlise mais
aprofundada. A avaliao de riscos tambm pode levar deciso de no se tratar o risco de nenhuma outra forma
que seja manter os controles existentes. Esta deciso ser influenciada pela atitude perante o risco
da organizao e pelos critrios de risco que foram estabelecidos.
18
Impresso por: PETROBRAS
5.5
Tratamento de riscos
5.5.1
Generalidades
O tratamento de riscos envolve a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes.
Tratar riscos envolve um processo cclico composto por:
avaliao do tratamento de riscos j realizado;
deciso se os nveis de risco residual so tolerveis;
se no forem tolerveis, a definio e implementao de um novo tratamento para os riscos; e
avaliao da eficcia desse tratamento.
b)
c)
d)
alterao da probabilidade;
e)
f)
compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
g)
5.5.2
Selecionar a opo mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforos
de implementao e, de outro, os benefcios decorrentes, relativos a requisitos legais, regulatrios ou quaisquer
outros, tais como o da responsabilidade social e o da proteo do ambiente natural. Convm que as decises
tambm levem em considerao os riscos que demandam um tratamento economicamente no justificvel, como,
por exemplo, riscos severos (com grande consequncia negativa), porm raros (com probabilidade muito baixa).
Vrias opes de tratamento podem ser consideradas e aplicadas individualmente ou combinadas. A organizao,
normalmente, beneficia-se com a adoo de uma combinao de opes de tratamento.
Ao selecionar as opes de tratamento de riscos, convm que a organizao considere os valores
e as percepes das partes interessadas, e as formas mais adequadas para se comunicar com elas. Quando as
opes de tratamento de riscos podem afetar o risco no resto da organizao ou com as partes interessadas,
convm que todos os envolvidos participem da deciso. Embora igualmente eficazes, alguns tratamentos podem
ser mais aceitveis para algumas das partes interessadas do que para outras.
Convm que o plano de tratamento identifique claramente a ordem de prioridade em que cada tratamento deva
ser implementado.
O tratamento de riscos, por si s, pode introduzir riscos. Um risco significativo pode derivar do fracasso ou da
ineficcia das medidas de tratamento de riscos. O monitoramento precisa fazer parte do plano de tratamento
de forma a garantir que as medidas permaneam eficazes.
19
O tratamento de riscos tambm pode introduzir riscos secundrios que necessitam ser avaliados, tratados,
monitorados e analisados criticamente. Convm que esses riscos secundrios sejam incorporados no mesmo
plano de tratamento do risco original e no tratados como um novo risco. Convm que a ligao entre estes riscos
seja identificada e preservada.
5.5.3
A finalidade dos planos de tratamento de riscos documentar como as opes de tratamento escolhidas sero
implementadas. Convm que as informaes fornecidas nos planos de tratamento incluam:
as razes para a seleo das opes de tratamento, incluindo os benefcios que se espera obter;
os responsveis pela aprovao do plano e os responsveis pela implementao do plano;
aes propostas;
os recursos requeridos, incluindo contingncias;
medidas de desempenho e restries;
requisitos para a apresentao de informaes e de monitoramento; e
cronograma e programao.
Convm que os planos de tratamento sejam integrados com os processos de gesto da organizao e discutidos
com as partes interessadas apropriadas.
Convm que os tomadores de deciso e outras partes interessadas estejam cientes da natureza e da extenso do
risco residual aps o tratamento do risco. Convm que o risco residual seja documentado e submetido
a monitoramento, anlise crtica e, quando apropriado, a tratamento adicional.
5.6
Convm que o monitoramento e a anlise crtica sejam planejados como parte do processo de gesto de riscos
e envolvam a checagem ou vigilncia regulares. Podem ser peridicos ou acontecer em resposta a um fato
especfico.
Convm que as responsabilidades relativas ao monitoramento e anlise crtica sejam claramente definidas.
Convm que os processos de monitoramento e anlise crtica da organizao abranjam todos os aspectos do
processo da gesto de riscos com a finalidade de:
garantir que os controles sejam eficazes e eficientes no projeto e na operao;
obter informaes adicionais para melhorar o processo de avaliao dos riscos;
analisar os eventos (incluindo os quase incidentes), mudanas, tendncias, sucessos e fracassos
e aprender com eles;
detectar mudanas no contexto externo e interno, incluindo alteraes nos critrios de risco e no prprio risco,
as quais podem requerer reviso dos tratamentos dos riscos e suas prioridades; e
identificar os riscos emergentes.
20
Impresso por: PETROBRAS
O progresso na implementao dos planos de tratamento de riscos proporciona uma medida de desempenho.
Os resultados podem ser incorporados na gesto, na mensurao e na apresentao de informaes (tanto
externa quanto internamente) a respeito do desempenho global da organizao.
Convm que os resultados do monitoramento e da anlise crtica sejam registrados e reportados externa
e internamente conforme apropriado, e tambm convm que sejam utilizados como entrada para a anlise crtica
da estrutura de gesto de riscos (ver 4.5).
5.7
Convm que as atividades de gesto de riscos sejam rastreveis. No processo de gesto de riscos, os registros
fornecem os fundamentos para a melhoria dos mtodos e ferramentas, bem como de todo o processo.
Convm que as decises relativas criao de registros levem em considerao:
a necessidade da organizao de aprendizado contnuo;
os benefcios da reutilizao de informaes para fins de gesto;
os custos e os esforos envolvidos na criao e manuteno de registros;
as necessidades de registros legais, regulatrios e operacionais;
o mtodo de acesso, facilidade de recuperao e meios de armazenamento;
o perodo de reteno; e
21
Anexo A
(infomativo)
Atributos de uma gesto de riscos avanada
A.1 Generalidades
Convm que as organizaes visem um nvel de desempenho apropriado de sua estrutura da gesto de riscos em
consonncia com a criticidade das decises a serem tomadas. A lista de atributos abaixo representa um nvel alto
de desempenho para gerenciar riscos. Para auxiliar as organizaes a medir seu prprio desempenho a partir
desses critrios, alguns indicadores tangveis so fornecidos para cada atributo.
A.2 Resultados-chave
A.2.1
A.2.2
A.3 Atributos
22
Impresso por: PETROBRAS
A organizao assegura que aqueles responsveis esto equipados para desempenhar completamente as suas
funes, fornecendo-lhes a autoridade, tempo, treinamento, recursos e habilidades suficientes para assumirem
suas responsabilidades.
23
Bibliografia
24
Impresso por: PETROBRAS