Iso31000 Gestc3a3o de Riscos

NORMA
BRASILEIRA
ABNT NBR
ISO
31000
Primeira edio
30.11.2009
Vlida a partir de
30.12.2009
Gesto de riscos Princpios e diretrizes
Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31
Risk management Principles and guidelines
Impresso por: PETROBRAS
ICS 03.100.01
ISBN 978-85-07-01838-4
Nmero de referncia
ABNT NBR ISO 31000:2009
24 pginas
ISO 2009 - ABNT 2009
ISO 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito da ABNT,
nico representante da ISO no territrio brasileiro.
ABNT 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii
ISO 2009 - ABNT 2009 - Todos os direitos reservados
Sumrio
Pgina
Prefcio Nacional.......................................................................................................................................................iv
Introduo ...................................................................................................................................................................v
1
Escopo ............................................................................................................................................................1
Termos e definies ......................................................................................................................................1
Princpios .......................................................................................................................................................7
4
4.1
4.2
4.3
4.3.1
4.3.2
4.3.3
4.3.4
4.3.5
4.3.6
4.3.7
4.4
4.4.1
4.4.2
4.5
4.6
Estrutura.........................................................................................................................................................8
Generalidades ................................................................................................................................................8
Mandato e comprometimento ......................................................................................................................9
Concepo da estrutura para gerenciar riscos........................................................................................10
Entendimento da organizao e seu contexto .........................................................................................10
Estabelecimento da poltica de gesto de riscos ....................................................................................10
Responsabilizao ......................................................................................................................................11
Integrao nos processos organizacionais..............................................................................................11
Recursos ......................................................................................................................................................11
Estabelecimento de mecanismos de comunicao e reporte internos.................................................12
Estabelecimento de mecanismos de comunicao e reporte externos ................................................12
Implementao da gesto de riscos..........................................................................................................12
Implementao da estrutura para gerenciar riscos .................................................................................12
Implementao do processo de gesto de riscos ...................................................................................13
Monitoramento e anlise crtica da estrutura...........................................................................................13
Melhoria contnua da estrutura ..................................................................................................................13
5
5.1
5.2
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.5
5.5.1
5.5.2
5.5.3
5.6
5.7
Processo.......................................................................................................................................................13
Generalidades ..............................................................................................................................................13
Comunicao e consulta ............................................................................................................................14
Estabelecimento do contexto.....................................................................................................................15
Generalidades ..............................................................................................................................................15
Estabelecimento do contexto externo.......................................................................................................15
Estabelecimento do contexto interno .......................................................................................................15
Estabelecimento do contexto do processo de gesto de riscos ...........................................................16
Definio dos critrios de risco .................................................................................................................17
Processo de avaliao de riscos ...............................................................................................................17
Generalidades ..............................................................................................................................................17
Identificao de riscos ................................................................................................................................17
Anlise de riscos .........................................................................................................................................18
Avaliao de riscos .....................................................................................................................................18
Tratamento de riscos ..................................................................................................................................19
Generalidades ..............................................................................................................................................19
Seleo das opes de tratamento de riscos ..........................................................................................19
Preparando e implementando planos para tratamento de riscos ..........................................................20
Monitoramento e anlise crtica.................................................................................................................20
Registros do processo de gesto de riscos .............................................................................................21
Anexo A (infomativo) Atributos de uma gesto de riscos avanada ..................................................................22

A.1
Generalidades ..............................................................................................................................................22
A.2
Resultados-chave ........................................................................................................................................22
A.3
Atributos.......................................................................................................................................................22
A.3.1 Melhoria contnua ........................................................................................................................................22
A.3.2 Responsabilizao integral pelos riscos ..................................................................................................22
A.3.3 Aplicao da gesto de riscos em todas as tomadas de deciso .........................................................23
A.3.4 Comunicao contnua ...............................................................................................................................23
A.3.5 Integrao total na estrutura de governana da organizao ................................................................23
Bibliografia ................................................................................................................................................................24
iii
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidade, laboratrio e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos
elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO 31000 foi elaborada pela Comisso de Estudo Especial de Gesto de Riscos (CEE-63).
O Projeto circulou em Consulta Nacional conforme Edital n 08, de 07.08.2009 a 08.09.2009, com o nmero de
Projeto 63:000.01-001.
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO 31000:2009, que foi
elaborada pelo ISO Technical Management Board Working Group on risk management (ISO/TMB/WG), conforme
ISO/IEC Guide 21-1:2005.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard provides principles and generic guidelines on risk management.

This Standard can be used by any public, private or community enterprise, association, group or individual.
Therefore, this Standard is not specific to any industry or sector.
NOTE
For convenience, all the different users of this Standard are referred to by the general term organization.
This Standard can be applied throughout the life of an organization, and to a wide range of activities, including
strategies and decisions, operations, processes, functions, projects, products, services and assets.
This Standard can be applied to any type of risk, whatever its nature, whether having positive or negative
consequences.
Although this Standard provides generic guidelines, it is not intended to promote uniformity of risk management
across organizations. The design and implementation of risk management plans and frameworks will need to take
into account the varying needs of a specific organization, its particular objectives, context, structure, operations,
processes, functions, projects, products, services, or assets and specific practices employed.
It is intended that this Standard be utilized to harmonize risk management processes in existing and future
standards. It provides a common approach in support of standards dealing with specific risks and/or sectors, and
does not replace those standards.
This Standard is not intended for the purpose of certification.
iv
Introduo
Organizaes de todos os tipos e tamanhos enfrentam influncias e fatores internos e externos que tornam incerto
se e quando elas atingiro seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organizao
chamado de "risco".
Todas as atividades de uma organizao envolvem risco. As organizaes gerenciam o risco, identificando-o,
analisando-o e, em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender
a seus critrios de risco. Ao longo de todo este processo, elas comunicam e consultam as partes interessadas
e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum
tratamento de risco adicional seja requerido. Esta Norma descreve este processo sistemtico e lgico em detalhes.
Embora todas as organizaes gerenciem os riscos em algum grau, esta Norma estabelece um nmero
de princpios que precisam ser atendidos para tornar a gesto de riscos eficaz. Esta Norma recomenda que as
organizaes desenvolvam, implementem e melhorem continuamente uma estrutura1) cuja finalidade integrar
o processo para gerenciar riscos na governana, estratgia e planejamento, gesto, processos de reportar dados
e resultados, polticas, valores e cultura em toda a organizao.
A gesto de riscos pode ser aplicada a toda uma organizao, em suas vrias reas e nveis, a qualquer momento,
bem como a funes, atividades e projetos especficos.
Embora a prtica de gesto de riscos tenha sido desenvolvida ao longo do tempo e em muitos setores a fim de
atender s necessidades diversas, a adoo de processos consistentes em uma estrutura abrangente pode ajudar
a assegurar que o risco seja gerenciado de forma eficaz, eficiente e coerentemente ao longo de uma organizao.
A abordagem genrica descrita nesta Norma fornece os princpios e diretrizes para gerenciar qualquer forma de
risco de uma maneira sistemtica, transparente e confivel, dentro de qualquer escopo e contexto.
Cada setor especfico ou aplicao da gesto de riscos traz consigo necessidades particulares, vrios pblicos,
percepes e critrios. Portanto, uma caracterstica-chave desta Norma a incluso do estabelecimento do
contexto como uma atividade no incio deste processo genrico de gesto de riscos. O estabelecimento do
contexto captura os objetivos da organizao, o ambiente em que ela persegue esses objetivos, suas partes
interessadas e a diversidade de critrios de risco o que auxiliar a revelar e avaliar a natureza e a complexidade
de seus riscos.
O relacionamento entre os princpios para gerenciar riscos, a estrutura na qual ocorre e o processo de gesto de
riscos descritos nesta Norma so mostrados na Figura 1.
Quando implementada e mantida de acordo com esta Norma, a gesto dos riscos possibilita a uma organizao,
por exemplo:
aumentar a probabilidade de atingir os objetivos;
encorajar uma gesto pro-ativa;
estar atento para a necessidade de identificar e tratar os riscos atravs de toda a organizao;
1)
NOTA DA TRADUO: Para os efeitos desta Norma Brasileira traduziu-se o termo framework por estrutura.
melhorar a identificao de oportunidades e ameaas;

atender s normas internacionais e requisitos legais e regulatrios pertinentes;
melhorar o reporte das informaes financeiras;
melhorar a governana;
melhorar a confiana das partes interessadas;
estabelecer uma base confivel para a tomada de deciso e o planejamento;
melhorar os controles;
alocar e utilizar eficazmente os recursos para o tratamento de riscos;
melhorar a eficcia e a eficincia operacional;
melhorar o desempenho em sade e segurana, bem como a proteo do meio ambiente;
melhorar a preveno de perdas e a gesto de incidentes;
minimizar perdas;
melhorar a aprendizagem organizacional; e
aumentar a resilincia da organizao.
Esta Norma destinada a atender s necessidades de uma ampla gama de partes interessadas, incluindo:
a)
os responsveis pelo desenvolvimento da poltica de gesto de riscos no mbito de suas organizaes;
b)
os responsveis por assegurar que os riscos so eficazmente gerenciados na organizao como um todo
ou em uma rea, atividade ou projeto especficos;
c)
os que precisam avaliar a eficcia de uma organizao em gerenciar riscos; e
d)
desenvolvedores de normas, guias, procedimentos e cdigos de prticas que, no todo ou em parte,

estabelecem como o risco deve ser gerenciado dentro do contexto especfico desses documentos.
As atuais prticas e processos de gesto de muitas organizaes incluem componentes de gesto de riscos,
e muitas organizaes j adotaram um processo formal de gesto de riscos para determinados tipos de risco
ou circunstncias. Nesses casos, uma organizao pode decidir conduzir uma anlise crtica de suas prticas
e processos existentes, tomando como base esta Norma.
Nesta Norma, as expresses "gesto de riscos" e "gerenciando riscos" so ambas utilizadas. Em termos gerais,
"gesto de riscos" refere-se arquitetura (princpios, estrutura e processo) para gerenciar riscos eficazmente,
enquanto que "gerenciar riscos" refere-se aplicao dessa arquitetura para riscos especficos.
vi
Figura 1 Relacionamentos entre os princpios da gesto de riscos, estrutura e processo
vii
NORMA BRASILEIRA
Gesto de riscos Princpios e diretrizes
Escopo
Esta Norma fornece princpios e diretrizes genricas para a gesto de riscos.

Esta Norma pode ser utilizada por qualquer empresa pblica, privada ou comunitria, associao, grupo
ou indivduo. Portanto, esta Norma no especfica para qualquer indstria ou setor.
NOTA
Para convenincia, todos os diferentes usurios desta Norma so referidos pelo termo geral "organizao".
Esta Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de atividades, incluindo
estratgias, decises, operaes, processos, funes, projetos, produtos, servios e ativos.
Esta Norma pode ser aplicada a qualquer tipo de risco, independentemente de sua natureza, quer tenha
consequncias positivas ou negativas.
Embora esta Norma fornea diretrizes genricas, ela no pretende promover a uniformidade da gesto de riscos
entre organizaes. A concepo e a implementao de planos e estruturas para gesto de riscos precisaro levar
em considerao as necessidades variadas de uma organizao especfica, seus objetivos, contexto, estrutura,
operaes, processos, funes, projetos, produtos, servios ou ativos e prticas especficas empregadas.
Pretende-se que esta Norma seja utilizada para harmonizar os processos de gesto de riscos tanto em normas
atuais como em futuras. Esta Norma fornece uma abordagem comum para apoiar Normas que tratem de riscos
e/ou setores especficos, e no substitu-las.
Esta Norma no destinada para fins de certificao.
Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.

2.1
risco
efeito da incerteza nos objetivos
NOTA 1
Um efeito um desvio em relao ao esperado positivo e/ou negativo.
NOTA 2
Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e segurana e ambientais) e
podem aplicarse em diferentes nveis (tais como estratgico, em toda a organizao, de projeto, de produto e de processo).
NOTA 3
O risco muitas vezes caracterizado pela referncia aos eventos (2.17) potenciais e s consequncias (2.18), ou
uma combinao destes.
NOTA 4
O risco muitas vezes expresso em termos de uma combinao de consequncias de um evento (incluindo
mudanas nas circunstncias) e a probabilidade (2.19) de ocorrncia associada.
NOTA 5
A incerteza o estado, mesmo que parcial, da deficincia das informaes relacionadas a um evento, sua
compreenso, seu conhecimento, sua consequncia ou sua probabilidade.
[ABNT ISO GUIA 73:2009, definio 1.1]
2.2
gesto de riscos
atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos (2.1)
2.3
estrutura da gesto de riscos
conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepo,
implementao, monitoramento (2.28), anlise crtica e melhoria contnua da gesto de riscos (2.2) atravs
de toda a organizao
NOTA 1
Os fundamentos incluem a poltica, objetivos, mandatos e comprometimento para gerenciar riscos (2.1).
NOTA 2
Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades.
NOTA 3
A estrutura da gesto de riscos est incorporada no mbito das polticas e prticas estratgicas e operacionais de
toda a organizao.
[ABNT ISO GUIA 73:2009, definio 2.1.1]

2.4
poltica de gesto de riscos
declarao das intenes e diretrizes gerais de uma organizao relacionadas gesto de riscos (2.2)
2.5
atitude perante o risco
abordagem da organizao para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco (2.1)
[ABNT ISO GUIA 73:2009, definio 3.7.1.1]

2.6
plano de gesto de riscos
esquema dentro da estrutura da gesto de riscos (2.3), que especifica a abordagem, os componentes de gesto
e os recursos a serem aplicados para gerenciar riscos (2.1)
NOTA 1
Os componentes de gesto tipicamente incluem procedimentos, prticas, atribuio de responsabilidades,
seqncia e cronologia das atividades.
NOTA 2
O plano de gesto de riscos pode ser aplicado a um determinado produto, processo e projeto, em parte ou em toda
a organizao.

2.7
proprietrio do risco
pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco (2.1)
2.8
processo de gesto de riscos
aplicao sistemtica de polticas, procedimentos e prticas de gesto para as atividades de comunicao,
consulta, estabelecimento do contexto, e na identificao, anlise, avaliao, tratamento, monitoramento (2.28)
e anlise crtica dos riscos (2.1)
2
2.9
estabelecimento do contexto
definio dos parmetros externos e internos a serem levados em considerao ao gerenciar riscos,
e estabelecimento do escopo e dos critrios de risco (2.22) para a poltica de gesto de riscos (2.4)
2.10
contexto externo
ambiente externo no qual a organizao busca atingir seus objetivos
NOTA O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo,
seja internacional, nacional, regional ou local;
os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e
as relaes com partes interessadas (2.13) externas e suas percepes e valores.
2.11
contexto interno
ambiente interno no qual a organizao busca atingir seus objetivos
NOTA
O contexto interno pode incluir:
governana, estrutura organizacional, funes e responsabilidades;
polticas, objetivos e estratgias implementadas para atingi-los;
capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto formais como informais);
relaes com partes interessadas internas, e suas percepes e valores;
cultura da organizao;
normas, diretrizes e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.

2.12
comunicao e consulta
processos contnuos e iterativos que uma organizao conduz para fornecer, compartilhar ou obter informaes
e se envolver no dilogo com as partes interessadas (2.13) e outros, com relao a gerenciar riscos (2.1)
NOTA 1
As informaes podem referir-se existncia, natureza, forma, probabilidade (2.19), significncia, avaliao,
aceitabilidade, tratamento ou outros aspectos da gesto de riscos.
NOTA 2
A consulta um processo bidirecional de comunicao sistematizada entre uma organizao e suas partes
interessadas ou outros, antes de tomar uma deciso ou direcionar uma questo especfica. A consulta :
um processo que impacta uma deciso atravs da influncia ao invs do poder; e
uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em conjunto.

2.13
parte interessada
pessoa ou organizao que pode afetar, ser afetada, ou perceberse afetada por uma deciso ou atividade
NOTA
Um tomador de deciso pode ser uma parte interessada.

2.14
processo de avaliao de riscos2)
processo global de identificao de riscos (2.15), anlise de riscos (2.21) e avaliao de riscos (2.24)
2.15
identificao de riscos
processo de busca, reconhecimento e descrio de riscos (2.1)
NOTA 1 A identificao de riscos envolve a identificao das fontes de risco (2.16), eventos (2.17), suas causas e suas
consequncias (2.18) potenciais.
NOTA 2 A identificao de riscos pode envolver dados histricos, anlises tericas, opinies de pessoas informadas e
especialistas, e as necessidades das partes interessadas (2.13).

2.16
fonte de risco
elemento que, individualmente ou combinado, tem o potencial intrnseco para dar origem ao risco (2.1)
NOTA
Uma fonte de risco pode ser tangvel ou intangvel.

2.17
evento
ocorrncia ou mudana em um conjunto especfico de circunstncias
NOTA 1
Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2
Um evento pode consistir em alguma coisa no acontecer.
NOTA 3
Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".
NOTA 4
Um evento sem consequncias (2.18) tambm pode ser referido como um "quase acidente", ou um "incidente" ou
"por um triz".
2) NOTA DA TRADUO: Para os efeitos desta Norma Brasileira, o termo risk assessment foi traduzido como processo
de avaliao de riscos (2.14) para evitar conflito com o termo risk evaluation, que foi traduzido como avaliao de riscos
(2.24).
4
2.18
consequncia
resultado de um evento (2.17) que afeta os objetivos
NOTA 1
Um evento pode levar a uma srie de consequncias.
NOTA 2
Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos.
NOTA 3
As consequncias podem ser expressas qualitativa ou quantitativamente.
NOTA 4
As consequncias iniciais podem desencadear reaes em cadeia

2.19
probabilidade (likelihood)
chance de algo acontecer
NOTA 1
Na terminologia de gesto de riscos, a palavra probabilidade" utilizada para referir-se chance de algo
acontecer, no importando se definida, medida ou determinada objetiva ou subjetivamente, qualitativa ou quantitativamente,
ou se descrita utilizando-se termos gerais ou matemticos (tal como probabilidade ou frequncia durante um determinado
perodo de tempo).
NOTA 2
O termo em Ingls "likelihood" no tem um equivalente direto em algumas lnguas; em vez disso, o equivalente
do termo "probability" freqentemente utilizado. Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente
como uma expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood" utilizado com a mesma ampla
interpretao de que o termo "probability" tem em muitos outros idiomas alm do ingls.
2.20
perfil de risco
descrio de um conjunto qualquer de riscos (2.1)
NOTA
O conjunto de riscos pode conter riscos que dizem respeito a toda a organizao, parte da organizao,
ou referente ao qual tiver sido definido.

2.21
anlise de riscos
processo de compreender a natureza do risco (2.1) e determinar o nvel de risco (2.23)
NOTA 1
A anlise de riscos fornece a base para a avaliao de riscos (2.24) e para as decises sobre o tratamento de
riscos (2.25).
NOTA 2
A anlise de riscos inclui a estimativa de riscos.

2.22
critrios de risco
termos de referncia contra os quais a significncia de um risco (2.1) avaliada
NOTA 1
(2.11).
Os critrios de risco so baseados nos objetivos organizacionais e no contexto externo (2.10) e contexto interno
NOTA 2
Os critrios de risco podem ser derivados de normas, leis, polticas e outros requisitos.
2.23
nvel de risco
magnitude de um risco (2.1) ou combinao de riscos, expressa em termos da combinao das consequncias
(2.18) e de suas probabilidades (2.19)
2.24
avaliao de riscos
processo de comparar os resultados da anlise de riscos (2.21) com os critrios de risco (2.22) para determinar
se o risco (2.1) e/ou sua magnitude aceitvel ou tolervel
NOTA
A avaliao de riscos auxilia na deciso sobre o tratamento de riscos (2.25).

2.25
tratamento de riscos
processo para modificar o risco (2.1)
NOTA 1
O tratamento de risco pode envolver:
a ao de evitar o risco pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco;
assumir ou aumentar o risco, a fim de buscar uma oportunidade;
a remoo da fonte de risco (2.16);
a alterao da probabilidade (2.19);
a alterao das consequncias (2.18);
o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
a reteno do risco por uma escolha consciente.
NOTA 2
Os tratamentos de riscos relativos s consequncias negativas so muitas vezes referidos como "mitigao
de riscos", "eliminao de riscos", "preveno de riscos" e "reduo de riscos".
NOTA 3
O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

2.26
controle
medida que est modificando o risco (2.1)
NOTA 1
Os controles incluem qualquer processo, poltica, dispositivo, prtica ou outras aes que modificam o risco.
NOTA 2
Os controles nem sempre conseguem exercer o efeito de modificao pretendido ou presumido.

2.27
risco residual
risco (2.1) remanescente aps o tratamento do risco (2.25)
NOTA 1
O risco residual pode conter riscos no identificados.
6
NOTA 2
O risco residual tambm pode ser conhecido como "risco retido".

2.28
monitoramento
verificao, superviso, observao crtica ou identificao da situao, executadas de forma contnua, a fim de
identificar mudanas no nvel de desempenho requerido ou esperado
NOTA
O monitoramento pode ser aplicado estrutura da gesto de riscos (2.3), ao processo de gesto de riscos
(2.8), ao risco (2.1) ou ao controle (2.26).

2.29
anlise crtica
atividade realizada para determinar a adequao, suficincia e eficcia do assunto em questo para atingir
os objetivos estabelecidos
NOTA
A anlise crtica pode ser aplicada estrutura da gesto de riscos (2.3), ao processo de gesto de riscos (2.8),
ao risco (2.1) ou ao controle (2.26).
Princpios
Para a gesto de riscos ser eficaz, convm que uma organizao, em todos os nveis, atenda aos princpios
abaixo descritos.
a)
A gesto de riscos cria e protege valor.

A gesto de riscos contribui para a realizao demonstrvel dos objetivos e para a melhoria do desempenho
referente, por exemplo, segurana e sade das pessoas, segurana, conformidade legal e regulatria,
aceitao pblica, proteo do meio ambiente, qualidade do produto, ao gerenciamento de projetos,
eficincia nas operaes, governana e reputao.
b)
A gesto de riscos parte integrante de todos os processos organizacionais.

A gesto de riscos no uma atividade autnoma separada das principais atividades e processos
da organizao. A gesto de riscos faz parte das responsabilidades da administrao e parte integrante de
todos os processos organizacionais, incluindo o planejamento estratgico e todos os processos de gesto de
projetos e gesto de mudanas.
c)
A gesto de riscos parte da tomada de decises.

A gesto de riscos auxilia os tomadores de deciso a fazer escolhas conscientes, priorizar aes e distinguir
entre formas alternativas de ao.
d)
A gesto de riscos aborda explicitamente a incerteza.

A gesto de riscos explicitamente leva em considerao a incerteza, a natureza dessa incerteza, e como ela
pode ser tratada.
e)
A gesto de riscos sistemtica, estruturada e oportuna.

Uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos contribui para a eficincia e para
os resultados consistentes, comparveis e confiveis.
f)
A gesto de riscos baseia-se nas melhores informaes disponveis.

As entradas para o processo de gerenciar riscos so baseadas em fontes de informao, tais como dados
histricos, experincias, retroalimentao das partes interessadas, observaes, previses, e opinies
de especialistas. Entretanto, convm que os tomadores de deciso se informem e levem em considerao
quaisquer limitaes dos dados ou modelagem utilizados, ou a possibilidade de divergncias entre
especialistas.
g)
A gesto de riscos feita sob medida.

A gesto de riscos est alinhada com o contexto interno e externo da organizao e com o perfil do risco.
h)
A gesto de riscos considera fatores humanos e culturais.

A gesto de riscos reconhece as capacidades, percepes e intenes do pessoal interno e externo
que podem facilitar ou dificultar a realizao dos objetivos da organizao.
i)
A gesto de riscos transparente e inclusiva.

O envolvimento apropriado e oportuno de partes interessadas e, em particular, dos tomadores de deciso
em todos os nveis da organizao assegura que a gesto de riscos permanea pertinente e atualizada.
O envolvimento tambm permite que as partes interessadas sejam devidamente representadas e terem suas
opinies levadas em considerao na determinao dos critrios de risco.
j)
A gesto de riscos dinmica, iterativa e capaz de reagir a mudanas.

A gesto de riscos continuamente percebe e reage s mudanas. Na medida em que acontecem eventos
externos e internos, o contexto e o conhecimento modificam-se, o monitoramento e a anlise crtica de riscos
so realizados, novos riscos surgem, alguns se modificam e outros desaparecem.
k)
A gesto de riscos facilita a melhoria contnua da organizao.

Convm que as organizaes desenvolvam e implementem estratgias para melhorar a sua maturidade
na gesto de riscos juntamente com todos os demais aspectos da sua organizao.
O Anexo A fornece informaes adicionais para as organizaes que desejam gerenciar riscos de forma mais
eficaz.
4
4.1
Estrutura
Generalidades
O sucesso da gesto de riscos ir depender da eficcia da estrutura de gesto que fornece os fundamentos e os
arranjos que iro incorpor-la atravs de toda a organizao, em todos os nveis. A estrutura auxilia a gerenciar
riscos eficazmente atravs da aplicao do processo de gesto de riscos (ver Seo 5) em diferentes nveis e
dentro de contextos especficos da organizao. A estrutura assegura que a informao sobre riscos proveniente
desse processo seja adequadamente reportada e utilizada como base para a tomada de decises
e a responsabilizao em todos os nveis organizacionais aplicveis.
Esta seo descreve os componentes necessrios da estrutura para gerenciar riscos e a forma como eles se interrelacionam de maneira iterativa, conforme mostrado na Figura 2.
8
Figura 2 Relacionamento entre os componentes da estrutura para gerenciar riscos

Esta estrutura no pretende prescrever um sistema de gesto, mas antes auxiliar a organizao a integrar
a gesto de riscos em seu sistema de gesto global. Portanto, convm que as organizaes adaptem
os componentes da estrutura a suas necessidades especficas.
Se as prticas e processos de gesto existentes em uma organizao incluirem componentes de gesto de riscos
ou se a organizao tiver j adotado um processo formal de gesto de riscos para determinados tipos ou situaes
de risco, ento convm que estes sejam criticamente analisados e avaliados em relao a esta Norma, incluindo
os atributos contidos no Anexo A, a fim de determinar sua suficincia e eficcia.
4.2
Mandato e comprometimento
A introduo da gesto de riscos, e a garantia de sua contnua eficcia requerem comprometimento forte
e sustentado a ser assumido pela administrao da organizao, bem como um planejamento rigoroso
e estratgico para obter-se esse comprometimento em todos os nveis. Convm que a administrao:
defina e aprove a poltica de gesto de riscos;
assegure que a cultura da organizao e a poltica de gesto de riscos estejam alinhadas;
defina indicadores de desempenho para a gesto de riscos que estejam alinhados com os indicadores
de desempenho da organizao;
alinhe os objetivos da gesto de riscos com os objetivos e estratgias da organizao;
assegure a conformidade legal e regulatria;
atribua responsabilidades nos nveis apropriados dentro da organizao;

assegure que os recursos necessrios sejam alocados para a gesto de riscos;
comunique os benefcios da gesto de riscos a todas as partes interessadas; e
assegure que a estrutura para gerenciar riscos continue a ser apropriada.
4.3
Concepo da estrutura para gerenciar riscos
4.3.1
Entendimento da organizao e seu contexto
Antes de iniciar a concepo e a implementao da estrutura para gerenciar riscos, importante avaliar e
compreender os contextos externo e interno da organizao, uma vez que estes podem influenciar
significativamente a concepo da estrutura.
A avaliao do contexto externo da organizao pode incluir, mas no est limitada a:
a)
ambientes cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo,
quer seja internacional, nacional, regional ou local;
b)
fatoreschave e tendncias que tenham impacto sobre os objetivos da organizao; e
c)
relaes com partes interessadas externas e suas percepes e valores.
A avaliao do contexto interno da organizao pode incluir, mas no est limitada a:


capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas,
processos, sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com partes interessadas internas e suas percepes e valores;
normas, diretrizes e modelos adotados pela organizao; e
4.3.2
Estabelecimento da poltica de gesto de riscos
Convm que a poltica de gesto de riscos estabelea claramente os objetivos e o

organizao em relao gesto de riscos e, tipicamente, aborde:
comprometimento da
a justificativa da organizao para gerenciar riscos;

as ligaes entre os objetivos e polticas da organizao com a poltica de gesto de riscos;
as responsabilidades para gerenciar riscos;
a forma com que so tratados conflitos de interesses;
10
o comprometimento de tornar disponveis os recursos necessrios para auxiliar os responsveis pelo

gerenciamento dos riscos;
a forma com que o desempenho da gesto de riscos ser medido e reportado; e
o comprometimento de analisar criticamente e melhorar periodicamente a poltica e a estrutura da gesto
de riscos em resposta a um evento ou mudana nas circunstncias.
Convm que a poltica de gesto de riscos seja comunicada apropriadamente.
4.3.3
Responsabilizao
Convm que a organizao assegure que haja responsabilizao, autoridade e competncia apropriadas para
gerenciar riscos, incluindo implementar e manter o processo de gesto de riscos, e assegurar a suficincia,
a eficcia e a eficincia de quaisquer controles. Isto pode ser facilitado por:
identificar os proprietrios dos riscos que tm a responsabilidade e a autoridade para gerenciar riscos;
identificar os responsveis pelo desenvolvimento, implementao e manuteno da estrutura para gerenciar
riscos;
identificar outras responsabilidades das pessoas, em todos os nveis da organizao no processo de gesto
de riscos;
estabelecer medio de desempenho e processos de reporte internos ou externos e relao com os devidos
escales; e
assegurar nveis apropriados de reconhecimento.
4.3.4
Integrao nos processos organizacionais
Convm que a gesto de riscos seja incorporada em todas as prticas e processos da organizao, de forma que
seja pertinente, eficaz e eficiente. Convm que o processo de gesto de riscos se torne parte integrante, e no
separado, desses processos organizacionais. Em particular, convm que a gesto de riscos seja incorporada
no desenvolvimento de polticas, na anlise crtica, no planejamento estratgico e de negcios, e nos processos
de gesto de mudanas.
Convm que exista um plano de gesto de riscos para toda a organizao, a fim de assegurar que a poltica de
gesto de riscos seja implementada e que a gesto de riscos seja incorporada em todas as prticas e processos
da organizao. O plano de gesto de riscos pode ser integrado em outros planos organizacionais, tais como
um plano estratgico.
4.3.5
Recursos
Convm que a organizao aloque recursos apropriados para a gesto de riscos.

Convm que os seguintes aspectos sejam considerados:
pessoas, habilidades, experincias e competncias;
recursos necessrios para cada etapa do processo de gesto de riscos;
processos, mtodos e ferramentas da organizao para serem utilizados para gerenciar riscos;
processos e procedimentos documentados;
sistemas de gesto da informao e do conhecimento; e
programas de treinamento.
11
4.3.6
Estabelecimento de mecanismos de comunicao e reporte internos
Convm que a organizao estabelea mecanismos de comunicao interna e reporte a fim de apoiar e incentivar
a responsabilizao e a propriedade dos riscos. Convm que tais mecanismos assegurem que:
componentes-chave da estrutura da gesto de riscos, e quaisquer alteraes subsequentes, sejam
comunicados adequadamente;
exista um processo adequado de reporte interno sobre a estrutura, sua eficcia e os seus resultados;
as informaes pertinentes derivadas da aplicao da gesto de riscos estejam disponveis nos nveis e nos
momentos apropriados; e
haja processos de consulta s partes interessadas internas.
Convm que estes mecanismos incluam processos para consolidar a informao sobre os riscos, conforme
apropriado, a partir de uma variedade de fontes, levando em considerao sua sensibilidade.
4.3.7
Estabelecimento de mecanismos de comunicao e reporte externos
Convm que a organizao desenvolva e implemente um plano sobre como se comunicar com partes
interessadas externas. Convm que isto envolva:
engajar as partes interessadas externas apropriadas e assegurar a troca eficaz de informaes;
o reporte externo para atendimento de requisitos legais, regulatrios e de governana;
fornecer retroalimentao e reportar sobre a comunicao e consulta;
usar comunicao para construir confiana na organizao; e

comunicar as partes interessadas em evento de crise ou contingncia.
Convm que estes mecanismos incluam processos para consolidar a informao sobre os riscos, conforme
apropriado, a partir de uma variedade de fontes, levando em considerao sua sensibilidade.
4.4
4.4.1
Implementao da gesto de riscos

Implementao da estrutura para gerenciar riscos
Na implementao da estrutura para gerenciar riscos, convm que a organizao:

defina a estratgia e o momento apropriado para implementao da estrutura;
aplique a poltica e o processo de gesto de riscos aos processos organizacionais;
atenda aos requisitos legais e regulatrios;
assegure que a tomada de decises, incluindo o desenvolvimento e o estabelecimento de objetivos, esteja
alinhada com os resultados dos processos de gesto de riscos;
mantenha sesses de informao e treinamento; e
consulte e comunique-se com as partes interessadas para assegurar que a estrutura da gesto de riscos
continue apropriada.
12
4.4.2
Implementao do processo de gesto de riscos
Convm que a gesto de riscos seja implementada para assegurar que o processo de gesto de riscos descrito na
Seo 5 seja aplicado, atravs de um plano de gesto de riscos, em todos os nveis e funes pertinentes da
organizao, como parte de suas prticas e processos.
4.5
Monitoramento e anlise crtica da estrutura
A fim de assegurar que a gesto de riscos seja eficaz e continua a apoiar o desempenho organizacional, convm
que a organizao:
mea o desempenho da gesto de riscos utilizando indicadores, os quais devem ser analisados criticamente,
de forma peridica, para garantir sua adequao;
mea periodicamente o progresso obtido, ou o desvio, em relao ao plano de gesto de riscos;
analise criticamente de forma peridica se a poltica, o plano e a estrutura da gesto de riscos ainda so
apropriados, dado o contexto externo e interno das organizaes;
reporte sobre os riscos, sobre o progresso do plano de gesto de riscos e como a poltica de gesto de riscos
est sendo seguida; e
analise criticamente a eficcia da estrutura da gesto de riscos.
4.6
Melhoria contnua da estrutura
Com base nos resultados do monitoramento e das anlises crticas, convm que decises sejam tomadas sobre
como a poltica, o plano e a estrutura da gesto de riscos podem ser melhorados. Convm que essas decises
visem melhorias na capacidade de gerenciar riscos da organizao e em sua cultura de gesto de riscos.
5
5.1
Processo
Generalidades
Convm que o processo de gesto de riscos seja

parte integrante da gesto,
incorporado na cultura e nas prticas, e
adaptado aos processos de negcios da organizao.
Ele compreende as atividades descritas em 5.2 a 5.6. O processo de gesto de riscos mostrado na Figura 3.
13
Figura 3 Processo de gesto de riscos
5.2
Comunicao e consulta
Convm que a comunicao e a consulta s partes interessadas internas e externas aconteam durante todas as
fases do processo de gesto de riscos.
Portanto, convm que os planos de comunicao e consulta sejam desenvolvidos em um estgio inicial.
Convm que estes planos abordem questes relacionadas com o risco propriamente dito, suas causas, suas
consequncias (se conhecidas) e as medidas que esto sendo tomadas para trat-los. Convm que comunicao
e consulta interna e externa eficazes sejam realizadas a fim de assegurar que os responsveis pela
implementao do processo de gesto de riscos e as partes interessadas compreendam os fundamentos sobre
os quais as decises so tomadas e as razes pelas quais aes especficas so requeridas.
Uma abordagem de equipe consultiva pode:
auxiliar a estabelecer o contexto apropriadamente;
assegurar que os interesses das partes interessadas sejam compreendidos e considerados;
auxiliar a assegurar que os riscos sejam identificados adequadamente;
reunir diferentes reas de especializao em conjunto para anlise dos riscos;
assegurar que diferentes pontos de vista sejam devidamente considerados quando da definio dos critrios
de risco e na avaliao dos riscos;
garantir o aval e o apoio para um plano de tratamento;
aprimorar a gesto de mudanas durante o processo de gesto de riscos; e
desenvolver um plano apropriado para comunicao e consulta interna e externa.
14
A comunicao e consulta s partes interessadas so importantes na medida em que elas fazem julgamentos
sobre riscos com base em suas percepes. Essas percepes podem variar devido s diferenas de valores,
necessidades, suposies, conceitos e preocupaes das partes interessadas. Como os seus pontos de vista
podem ter um impacto significativo sobre as decises tomadas, convm que as percepes das partes
interessadas sejam identificadas, registradas e levadas em considerao no processo de tomada de deciso.
Convm que a comunicao e a consulta facilitem a troca de informaes verdadeiras, pertinentes, exatas
e compreensveis, levando em considerao os aspectos de confidencialidade e integridade das pessoas.
5.3
Estabelecimento do contexto
5.3.1
Generalidades
Ao estabelecer o contexto, a organizao articula seus objetivos, define os parmetros externos e internos
a serem levados em considerao ao gerenciar riscos, e estabelece o escopo e os critrios de risco para o
restante do processo. Mesmo que muitos destes parmetros sejam similares queles considerados na concepo
da estrutura da gesto de riscos (ver 4.3.1), ao se estabelecer o contexto para o processo de gesto de riscos,
eles precisam ser considerados com mais detalhe. Em particular, como eles se relacionam com o escopo do
respectivo processo de gesto de riscos.
5.3.2
Estabelecimento do contexto externo
O contexto externo o ambiente externo no qual a organizao busca atingir seus objetivos.
Entender o contexto externo importante para assegurar que os objetivos e as preocupaes das partes
interessadas externas sejam considerados no desenvolvimento dos critrios de risco. O contexto externo
baseado no contexto de toda a organizao, porm com detalhes especficos sobre requisitos legais
e regulatrios, percepes de partes interessadas e outros aspectos dos riscos especficos para o escopo
do processo de gesto de riscos.
O contexto externo pode incluir, mas no est limitado a:

ambientes cultural, social, poltico, legal, regulatrio, financeiro,
e competitivo, quer seja internacional, nacional, regional ou local;
tecnolgico,
econmico,
natural
fatoreschave e tendncias que tenham impacto sobre os objetivos da organizao; e

relaes com as partes interessadas externas e suas percepes e valores.
5.3.3
Estabelecimento do contexto interno
O contexto interno o ambiente interno no qual a organizao busca atingir seus objetivos.
Convm que o processo de gesto de riscos esteja alinhado com a cultura, processos, estrutura e estratgia da
organizao. O contexto interno algo dentro da organizao que pode influenciar a maneira pela qual uma
organizao gerenciar os riscos. Convm que ele seja estabelecido, porque:
a)
a gesto de riscos ocorre no contexto dos objetivos da organizao;
b)
convm que os objetivos e os critrios de um determinado projeto, processo ou atividade sejam considerados
tendo como base os objetivos da organizao como um todo; e
c)
algumas organizaes deixam de reconhecer oportunidades para atingir seus objetivos estratgicos,
de projeto ou de negcios, o que afeta o comprometimento, a credibilidade, a confiana e o valor
organizacional.
15
necessrio compreender o contexto interno. Isto pode incluir, mas no est limitado a:
capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas,
processos, sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, e suas percepes e valores;
normas, diretrizes e modelos adotados pela organizao, e
5.3.4
Estabelecimento do contexto do processo de gesto de riscos
Convm que sejam estebelecidos os objetivos, as estratgias, o escopo e os parmetros das atividades
da organizao, ou daquelas partes da organizao em que o processo de gesto de riscos est sendo aplicado.
Convm que a gesto dos riscos seja realizada com plena conscincia da necessidade de justificar os recursos
utilizados na gesto de riscos. Convm que os recursos requeridos, as responsabilidades e as autoridades, alm
dos registros a serem mantidos, tambm sejam especificados.
O contexto do processo de gesto de riscos ir variar de acordo com as necessidades de uma organizao.
Ele pode envolver, mas no est limitado a:
definio das metas e objetivos das atividades de gesto de riscos;

definio das responsabilidades pelo processo e dentro da gesto de riscos;
definio do escopo, bem como da profundidade e da amplitude das atividades da gesto de riscos a serem
realizadas, englobando incluses e excluses especficas;
definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e localizao;
definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos
ou atividades da organizao;
definio das metodologias de processo de avaliao de riscos;
definio da forma como so avaliados o desempenho e a eficcia na gesto dos riscos;
identificao e especificao das decises que tm que ser tomadas; e
identificao, definio ou elaborao dos estudos necessrios, de sua extenso e objetivos, e dos recursos
requeridos para tais estudos.
A ateno para estes e outros fatores pertinentes pode ajudar a assegurar que a abordagem adotada para
a gesto de riscos seja apropriada s circunstncias, organizao e aos riscos que afetam a realizao de seus
objetivos.
16
5.3.5
Definio dos critrios de risco
Convm que a organizao defina os critrios a serem utilizados para avaliar a significncia do risco. Convm que
os critrios reflitam os valores, objetivos e recursos da organizao. Alguns critrios podem ser impostos por,
ou derivados de requisitos legais e regulatrios e outros requisitos que a organizao subscreva. Convm que
os critrios de risco sejam compatveis com a poltica de gesto de riscos da organizao (ver 4.3.2), definidos
no incio de qualquer processo de gesto de riscos e analisados criticamente de forma contnua.
Ao definir os critrios de risco, convm que os fatores a serem considerados incluam os seguintes aspectos:
a natureza e os tipos de causas e de consequncias que podem ocorrer e como elas sero medidas;
como a probabilidade ser definida;
a evoluo no tempo da probabilidade e/ou consequncia(s);
como o nvel de risco deve ser determinado;
os pontos de vista das partes interessadas;
o nvel em que o risco se torna aceitvel ou tolervel; e
se convm que combinaes de mltiplos riscos sejam levadas em considerao e, em caso afirmativo,
como e quais combinaes convm que sejam consideradas.
5.4
5.4.1
Processo de avaliao de riscos

Generalidades
O processo de avaliao de riscos o processo global de identificao de riscos, anlise de riscos e avaliao
de riscos.
NOTA
5.4.2
A IEC 31010 fornece orientao sobre tcnicas de processo de avaliao de riscos.
Identificao de riscos
Convm que a organizao identifique as fontes de risco, reas de impactos, eventos (incluindo mudanas nas
circunstncias) e suas causas e consequncias potenciais. A finalidade desta etapa gerar uma lista abrangente
de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realizao dos
objetivos. importante identificar os riscos associados com no perseguir uma oportunidade. A identificao
abrangente crtica, pois um risco que no identificado nesta fase no ser includo em anlises posteriores.
Convm que a identificao inclua todos os riscos, estando suas fontes sob o controle da organizao ou no,
mesmo que as fontes ou causas dos riscos possam no ser evidentes. Convm que a identificao de riscos
inclua o exame de reaes em cadeia provocadas por consequncias especficas, incluindo os efeitos cumulativos
e em cascata. Convm que tambm seja considerada uma ampla gama de consequncias, ainda que a fonte
ou causa do risco no esteja evidente. Alm de identificar o que pode acontecer, necessrio considerar
possveis causas e cenrios que mostrem quais consequncias podem ocorrer. Convm que todas as causas
e consequncias significativas sejam consideradas.
Convm que a organizao aplique ferramentas e tcnicas de identificao de riscos que sejam adequadas aos
seus objetivos e capacidades e aos riscos enfrentados. Informaes pertinente e atualizadas so importantes
na identificao de riscos. Convm que incluam informaes adequadas sobre os fatos por trs dos
acontecimentos, sempre que possvel. Convm que pessoas com um conhecimento adequado sejam envolvidas
na identificao dos riscos.
17
5.4.3
Anlise de riscos
A anlise de riscos envolve desenvolver a compreenso dos riscos. A anlise de riscos fornece uma entrada para
a avaliao de riscos e para as decises sobre a necessidade dos riscos serem tratados, e sobre as estratgias
e mtodos mais adequados de tratamento de riscos. A anlise de riscos tambm pode fornecer uma entrada para
a tomada de decises em que escolhas precisam ser feitas e as opes envolvem diferentes tipos e nveis
de risco.
A anlise de riscos envolve a apreciao das causas e as fontes de risco, suas consequncias positivas e
negativas, e a probabilidade de que essas consequncias possam ocorrer. Convm que os fatores que afetam as
consequncias e a probabilidade sejam identificados. O risco analisado determinandose as conseqncias e
sua probabilidade, e outros atributos do risco. Um evento pode ter vrias consequncias e pode afetar vrios
objetivos. Convm que os controles existentes e sua eficcia e eficincia tambm sejam levados em considerao.
Convm que a forma em que as consequncias e a probabilidade so expressas e o modo com que elas so
combinadas para determinar um nvel de risco reflitam o tipo de risco, as informaes disponveis e a finalidade
para a qual a sada do processo de avaliao de riscos ser utilizada. Convm que isso tudo seja compatvel com
os critrios de risco. tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
Convm que a confiana na determinao do nvel de risco e sua sensibilidade a condies prvias e premissas
sejam consideradas na anlise e comunicadas eficazmente para os tomadores de deciso e, quando apropriado,
a outras partes interessadas. Convm que sejam estabelecidos e ressaltados fatores como a divergncia
de opinio entre especialistas, a incerteza, a disponibilidade, a qualidade, a quantidade e a contnua pertinncia
das informaes, ou as limitaes sobre a modelagem.
A anlise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade
da anlise e das informaes, dados e recursos disponveis. Dependendo das circunstncias, a anlise pode ser
qualitativa, semiquantitativa ou quantitativa, ou uma combinao destas.
As consequncias e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento
ou conjunto de eventos, ou por extrapolao a partir de estudos experimentais ou a partir dos dados disponveis.
As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Em alguns casos,
necessrio mais que um valor numrico ou descritor para especificar as consequncias e suas probabilidades
em diferentes perodos, locais, grupos ou situaes.
5.4.4
Avaliao de riscos
A finalidade da avaliao de riscos auxiliar na tomada de decises com base nos resultados da anlise
de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementao do tratamento.
A avaliao de riscos envolve comparar o nvel de risco encontrado durante o processo de anlise com os critrios
de risco estabelecidos quando o contexto foi considerado. Com base nesta comparao, a necessidade
do tratamento pode ser considerada.
Convm que as decises levem em conta o contexto mais amplo do risco e considerem a tolerncia aos riscos
assumida por partes que no a prpria organizao que se beneficia do risco. Convm que as decises sejam
tomadas de acordo com os requisitos legais, regulatrios e outros requisitos.
Em algumas circunstncias, a avaliao de riscos pode levar deciso de se proceder a uma anlise mais
aprofundada. A avaliao de riscos tambm pode levar deciso de no se tratar o risco de nenhuma outra forma
que seja manter os controles existentes. Esta deciso ser influenciada pela atitude perante o risco
da organizao e pelos critrios de risco que foram estabelecidos.
18
5.5
Tratamento de riscos
5.5.1
Generalidades
O tratamento de riscos envolve a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes.
Tratar riscos envolve um processo cclico composto por:
avaliao do tratamento de riscos j realizado;
deciso se os nveis de risco residual so tolerveis;
se no forem tolerveis, a definio e implementao de um novo tratamento para os riscos; e
avaliao da eficcia desse tratamento.
As opes de tratamento de riscos no so necessariamente mutuamente exclusivas ou adequadas em todas

as circunstncias. As opes podem incluir os seguintes aspectos:
a)
ao de evitar o risco ao se decidir no iniciar ou descontinuar a atividade que d origem ao risco;
b)
tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade;
c)
remoo da fonte de risco;
d)
alterao da probabilidade;
e)
alterao das consequncias;
f)
compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
g)
reteno do risco por uma deciso consciente e bem embasada.
5.5.2
Seleo das opes de tratamento de riscos
Selecionar a opo mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforos
de implementao e, de outro, os benefcios decorrentes, relativos a requisitos legais, regulatrios ou quaisquer
outros, tais como o da responsabilidade social e o da proteo do ambiente natural. Convm que as decises
tambm levem em considerao os riscos que demandam um tratamento economicamente no justificvel, como,
por exemplo, riscos severos (com grande consequncia negativa), porm raros (com probabilidade muito baixa).
Vrias opes de tratamento podem ser consideradas e aplicadas individualmente ou combinadas. A organizao,
normalmente, beneficia-se com a adoo de uma combinao de opes de tratamento.
Ao selecionar as opes de tratamento de riscos, convm que a organizao considere os valores
e as percepes das partes interessadas, e as formas mais adequadas para se comunicar com elas. Quando as
opes de tratamento de riscos podem afetar o risco no resto da organizao ou com as partes interessadas,
convm que todos os envolvidos participem da deciso. Embora igualmente eficazes, alguns tratamentos podem
ser mais aceitveis para algumas das partes interessadas do que para outras.
Convm que o plano de tratamento identifique claramente a ordem de prioridade em que cada tratamento deva
ser implementado.
O tratamento de riscos, por si s, pode introduzir riscos. Um risco significativo pode derivar do fracasso ou da
ineficcia das medidas de tratamento de riscos. O monitoramento precisa fazer parte do plano de tratamento
de forma a garantir que as medidas permaneam eficazes.
19
O tratamento de riscos tambm pode introduzir riscos secundrios que necessitam ser avaliados, tratados,
monitorados e analisados criticamente. Convm que esses riscos secundrios sejam incorporados no mesmo
plano de tratamento do risco original e no tratados como um novo risco. Convm que a ligao entre estes riscos
seja identificada e preservada.
5.5.3
Preparando e implementando planos para tratamento de riscos
A finalidade dos planos de tratamento de riscos documentar como as opes de tratamento escolhidas sero
implementadas. Convm que as informaes fornecidas nos planos de tratamento incluam:
as razes para a seleo das opes de tratamento, incluindo os benefcios que se espera obter;
os responsveis pela aprovao do plano e os responsveis pela implementao do plano;
aes propostas;
os recursos requeridos, incluindo contingncias;
medidas de desempenho e restries;
requisitos para a apresentao de informaes e de monitoramento; e
cronograma e programao.
Convm que os planos de tratamento sejam integrados com os processos de gesto da organizao e discutidos
com as partes interessadas apropriadas.
Convm que os tomadores de deciso e outras partes interessadas estejam cientes da natureza e da extenso do
risco residual aps o tratamento do risco. Convm que o risco residual seja documentado e submetido
a monitoramento, anlise crtica e, quando apropriado, a tratamento adicional.
5.6
Monitoramento e anlise crtica
Convm que o monitoramento e a anlise crtica sejam planejados como parte do processo de gesto de riscos
e envolvam a checagem ou vigilncia regulares. Podem ser peridicos ou acontecer em resposta a um fato
especfico.
Convm que as responsabilidades relativas ao monitoramento e anlise crtica sejam claramente definidas.
Convm que os processos de monitoramento e anlise crtica da organizao abranjam todos os aspectos do
processo da gesto de riscos com a finalidade de:
garantir que os controles sejam eficazes e eficientes no projeto e na operao;
obter informaes adicionais para melhorar o processo de avaliao dos riscos;
analisar os eventos (incluindo os quase incidentes), mudanas, tendncias, sucessos e fracassos
e aprender com eles;
detectar mudanas no contexto externo e interno, incluindo alteraes nos critrios de risco e no prprio risco,
as quais podem requerer reviso dos tratamentos dos riscos e suas prioridades; e
identificar os riscos emergentes.
20
O progresso na implementao dos planos de tratamento de riscos proporciona uma medida de desempenho.
Os resultados podem ser incorporados na gesto, na mensurao e na apresentao de informaes (tanto
externa quanto internamente) a respeito do desempenho global da organizao.
Convm que os resultados do monitoramento e da anlise crtica sejam registrados e reportados externa
e internamente conforme apropriado, e tambm convm que sejam utilizados como entrada para a anlise crtica
da estrutura de gesto de riscos (ver 4.5).
5.7
Registros do processo de gesto de riscos
Convm que as atividades de gesto de riscos sejam rastreveis. No processo de gesto de riscos, os registros
fornecem os fundamentos para a melhoria dos mtodos e ferramentas, bem como de todo o processo.
Convm que as decises relativas criao de registros levem em considerao:
a necessidade da organizao de aprendizado contnuo;
os benefcios da reutilizao de informaes para fins de gesto;
os custos e os esforos envolvidos na criao e manuteno de registros;
as necessidades de registros legais, regulatrios e operacionais;
o mtodo de acesso, facilidade de recuperao e meios de armazenamento;
o perodo de reteno; e
a sensibilidade das informaes.
21
Anexo A
(infomativo)
Atributos de uma gesto de riscos avanada
A.1 Generalidades
Convm que as organizaes visem um nvel de desempenho apropriado de sua estrutura da gesto de riscos em
consonncia com a criticidade das decises a serem tomadas. A lista de atributos abaixo representa um nvel alto
de desempenho para gerenciar riscos. Para auxiliar as organizaes a medir seu prprio desempenho a partir
desses critrios, alguns indicadores tangveis so fornecidos para cada atributo.
A.2 Resultados-chave
A.2.1
A organizao tem um entendimento atual, correto e abrangente de seus riscos.
A.2.2
Os riscos da organizao esto dentro de seus critrios de risco.
A.3 Atributos
A.3.1 Melhoria contnua

A nfase colocada sobre a melhoria contnua na gesto de riscos atravs do estabelecimento de metas de
desempenho organizacional, atravs da mensurao e de anlises crticas, alm das subsequentes mudanas de
processos, sistemas, recursos, capacidade e habilidades.
Isso pode ser indicado pela existncia de metas explcitas de desempenho contra as quais o desempenho da
gerncia individual e da organizao medido. O desempenho da organizao pode ser publicado e comunicado.
Normalmente, haver pelo menos uma anlise crtica anual de desempenho e, em seguida, uma reviso de
processos e o estabelecimento de objetivos de desempenho revisados para o perodo seguinte.
Esta avaliao de desempenho da gesto dos riscos parte integrante do sistema corporativo de avaliao
e mensurao do desempenho de departamentos e indivduos.
A.3.2 Responsabilizao integral pelos riscos

Formas avanadas de gesto de riscos incluem uma forma de responsabilizao abrangente, integralmente aceita
e muito bem definida, relativa aos riscos, controles e tarefas do tratamento dos riscos. Indivduos designados
aceitam suas responsabilidades, so adequadamente qualificados, e possuem recursos adequados para verificar
controles, monitorar riscos, melhorar os controles, e comunicar-se eficazmente com as partes interessadas
internas e externas sobre os riscos e sua gesto.
Isto pode ser indicado quando todos os membros de uma organizao esto totalmente conscientes dos riscos,
controles e tarefas para os quais so responsveis. Normalmente, isso estar registrado em descries de
cargo/posio, em bancos de dados ou sistemas de informao. Convm que a definio das funes
e responsabilidades relativas gesto dos riscos faa parte de todos os programas de formao da organizao.
22
A organizao assegura que aqueles responsveis esto equipados para desempenhar completamente as suas
funes, fornecendo-lhes a autoridade, tempo, treinamento, recursos e habilidades suficientes para assumirem
suas responsabilidades.
A.3.3 Aplicao da gesto de riscos em todas as tomadas de deciso

O processo de tomada de deciso dentro da organizao, seja qual for o nvel de sua importncia e significncia,
envolve explicitamente a considerao dos riscos e aplicao da gesto de riscos em algum grau apropriado.
Isto pode ser indicado por registros de reunies e decises que demonstrem que discusses explcitas sobre
os riscos ocorreram. Alm disso, convm que seja possvel ver que todos os componentes da gesto de riscos
esto representados dentro dos processos-chave para a tomada de deciso na organizao, por exemplo, para as
decises sobre a alocao de capital, sobre grandes projetos e sobre reestruturao e mudanas organizacionais.
Por estas razes, uma base slida de gesto de riscos vista dentro da organizao como fornecendo a base
para a governana eficaz.
A.3.4 Comunicao contnua

Formas avanadas de gesto de riscos incluem comunicaes contnuas com partes interessadas internas
e externas, incluindo informativos ou relatrios abrangentes e freqentes a respeito do desempenho da gesto de
riscos, como parte da boa governana.
Isto pode ser indicado pela comunicao com as partes interessadas como parte integrante e essencial da gesto
de riscos. A comunicao corretamente vista como um processo bidirecional, de tal forma que decises bem
informadas possam ser tomadas sobre o nvel de riscos e sobre a necessidade de tratamento, de acordo com
critrios de risco abrangentes e adequadamente estabelecidos.
Reportes externos e internos, abrangentes e freqentes, sobre os riscos significativos e sobre o desempenho da
gesto de riscos, contribuem substancialmente para uma governana eficaz dentro de uma organizao.
A.3.5 Integrao total na estrutura de governana da organizao

A gesto de riscos vista como central nos processos de gesto da organizao, de tal forma que os riscos sejam
considerados em termos do efeito da incerteza sobre os objetivos. O processo e a estrutura de governana so
baseados na gesto de riscos. A gesto de riscos eficaz considerada por gestores como sendo essencial para
a realizao dos objetivos da organizao.
Isto indicado pela linguagem dos gestores e por importantes materiais escritos na organizao que utilizam
o termo "incerteza" em conexo com riscos. Esse atributo normalmente tambm aparece refletido nas declaraes
de poltica da organizao, em especial as relativas gesto de riscos. Normalmente, esse atributo verificado
por meio de entrevistas com gestores e da evidncia de suas aes e declaraes.
23
Bibliografia
[1] ABNT ISO GUIA 73:2009, Gesto de riscos Vocabulrio .
[2] IEC 31010, Risk management Risk assessment guidelines.
24

Iso31000 Gestc3a3o de Riscos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Iso31000 Gestc3a3o de Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA

Gesto de riscos Princpios e diretrizes

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

Risk management Principles and guidelines

Impresso por: PETROBRAS

ISO 2009 - ABNT 2009

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

ABNT NBR ISO 31000:2009

ISO 2009 - ABNT 2009 - Todos os direitos reservados

ABNT NBR ISO 31000:2009

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

Termos e definies ......................................................................................................................................1

Anexo A (infomativo) Atributos de uma gesto de riscos avanada ..................................................................22

ISO 2009 - ABNT 2009 - Todos os direitos reservados

Impresso por: PETROBRAS

ABNT NBR ISO 31000:2009

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

This Standard provides principles and generic guidelines on risk management.

ISO 2009 - ABNT 2009 - Todos os direitos reservados

ABNT NBR ISO 31000:2009

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

ISO 2009 - ABNT 2009 - Todos os direitos reservados

Impresso por: PETROBRAS

ABNT NBR ISO 31000:2009

melhorar a identificao de oportunidades e ameaas;

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

os responsveis pelo desenvolvimento da poltica de gesto de riscos no mbito de suas organizaes;

os que precisam avaliar a eficcia de uma organizao em gerenciar riscos; e

desenvolvedores de normas, guias, procedimentos e cdigos de prticas que, no todo ou em parte,

ISO 2009 - ABNT 2009 - Todos os direitos reservados

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

ABNT NBR ISO 31000:2009

Figura 1 Relacionamentos entre os princpios da gesto de riscos, estrutura e processo

ISO 2009 - ABNT 2009 - Todos os direitos reservados

Impresso por: PETROBRAS

Impresso por: PETROBRAS

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

ABNT NBR ISO 31000:2009

Gesto de riscos Princpios e diretrizes

Esta Norma fornece princpios e diretrizes genricas para a gesto de riscos.

Esta Norma no destinada para fins de certificao.

Para os efeitos deste documento, aplicam-se os seguintes termos e definies.

Um efeito um desvio em relao ao esperado positivo e/ou negativo.

[ABNT ISO GUIA 73:2009, definio 1.1]

ISO 2009 - ABNT 2009 - Todos os direitos reservados

Impresso por: PETROBRAS

ABNT NBR ISO 31000:2009

Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e atividades.

[ABNT ISO GUIA 73:2009, definio 2.1.1]

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

[ABNT ISO GUIA 73:2009, definio 3.7.1.1]

[ABNT ISO GUIA 73:2009, definio 2.1.3]

ISO 2009 - ABNT 2009 - Todos os direitos reservados

ABNT NBR ISO 31000:2009

Exemplar para uso exclusivo - PETROLEO BRASILEIRO - 33.000.167/0036-31

O contexto interno pode incluir:

governana, estrutura organizacional, funes e responsabilidades;

polticas, objetivos e estratgias implementadas para atingi-los;

relaes com partes interessadas internas, e suas percepes e valores;

normas, diretrizes e modelos adotados pela organizao; e

forma e extenso das relaes contratuais.

[ABNT ISO GUIA 73:2009, definio 3.3.1.2]

um processo que impacta uma deciso atravs da influncia ao invs do poder; e

ISO 2009 - ABNT 2009 - Todos os direitos reservados