Você está na página 1de 21

Implementação da ISO 31000:2018

GESTÃO DE RISCOS
Diretrizes para a Implementação
da ISO 31000:2018

PRÉ-VISUALIZAÇÃO DO MANUAL

Coordenação e revisão técnica:


Francesco De Cicco – Especialista em Gestão de Riscos e Segurança de
Sistemas. Instrutor-Líder Certificado CT31000 - Certified ISO 31000 Lead
Trainer. Diretor Executivo do QSP – Centro da Qualidade, Segurança e
Produtividade para o Brasil e América Latina.

Todos os direitos reservados. É expressamente proibida a reprodução total


ou parcial desta publicação, sem a prévia autorização do editor.
Copyright  2018 by Risk Tecnologia Editora.
Fone: (11) 3704-3200.

Risk Tecnologia Abril de 2018


Implementação da ISO 31000:2018

ÍNDICE

Introdução ..................................................................................................... 05
1 Escopo e generalidades ............................................................................ 06
1.1 Bases para a gestão de riscos .............................................................. 06
1.2 Benefícios da gestão de riscos ............................................................. 07
1.3 Aplicações da gestão de riscos ............................................................. 09
1.4 Governança corporativa ........................................................................ 10
2 Panorama do processo de gestão de riscos .......................................... 12
3 Comunicação e consulta .......................................................................... 14
3.1 Generalidades ........................................................................................ 14
3.2 O que é comunicação e consulta? ......................................................... 14
3.3 Por que a comunicação e a consulta são importantes .......................... 15
3.4 Desenvolvimento do processo de comunicação e consulta ................. 19
4 Escopo, contexto e critérios .................................................................... 21
4.1 Escopo e contexto ................................................................................. 21
4.2 Objetivos e ambiente .............................................................................. 21
4.3 Identificação e análise das partes interessadas ..................................... 23
4.4 Critérios .................................................................................................. 24
4.5 Critérios de consequência ...................................................................... 24
4.6 Elementos-chave ................................................................................... 25
4.7 Documentação dessa etapa .................................................................. 27
5 Identificação de riscos ............................................................................. 28
5.1 Propósito ............................................................................................... 28
5.2 Componentes de um risco ..................................................................... 28
5.3 Processo de identificação ...................................................................... 29
5.4 Informações para a identificação de riscos ........................................... 30
5.5 Abordagens para a identificação de riscos ............................................ 31
5.6 Documentação dessa etapa .................................................................. 31
6 Análise de riscos ..................................................................................... 32
6.1 Panorama.............................................................................................. 32
6.2 Tabelas de consequências e probabilidades ........................................ 39
6.3 Nível de risco ......................................................................................... 42

Risk Tecnologia 2
Implementação da ISO 31000:2018

6.4 Incerteza ................................................................................................ 44


6.5 Análise de oportunidades .................................................................... 45
6.6 Métodos de análise ............................................................................... 47
6.7 Perguntas-chave ao analisar um risco .................................................. 47
6.8 Documentação da análise ..................................................................... 48
7 Avaliação de riscos .................................................................................. 49
7.1 Panorama .............................................................................................. 49
7.2 Tipos de critérios de avaliação .............................................................. 49
7.3 Avaliação a partir de análise qualitativa ................................................ 50
7.4 Risco tolerável ....................................................................................... 50
7.5 Julgamento implícito nos critérios ......................................................... 52
7.6 Critérios de avaliação e eventos anteriores .......................................... 52
8 Tratamento de riscos ............................................................................... 54
8.1 Introdução ............................................................................................. 54
8.2 Identificação de opções ......................................................................... 55
8.3 Avaliação de opções de tratamento ...................................................... 61
8.4 Seleção de opções de tratamento ......................................................... 64
8.5 Preparação de planos de tratamento .................................................... 69
8.6 Risco residual ........................................................................................ 70
9 Monitoramento e análise crítica ............................................................... 71
9.1 Finalidade .............................................................................................. 71
9.2 Mudança do contexto e dos riscos ........................................................ 71
9.3 Garantia e monitoramento da gestão de riscos .................................... 72
9.4 Medição do desempenho da gestão de riscos ...................................... 75
9.5 Análise pós-evento ................................................................................ 76
10 Registro e relato do processo de gestão de riscos ............................... 78
10.1 Panorama .......................................................................................... 78
10.2 Declaração de conformidade e diligência .......................................... 79
10.3 Cadastro de riscos ............................................................................. 79
10.4 Plano de ação e programação do tratamento de riscos .................... 80
10.5 Documentos de monitoramento e auditoria ....................................... 80
10.6 Base de dados de incidentes e acidentes ......................................... 80
10.7 Manual de gestão de riscos ............................................................... 81

Risk Tecnologia 3
Implementação da ISO 31000:2018

11 Estabelecimento de uma gestão de riscos eficaz ................................ 86


11.1 Política ............................................................................................... 86
11.2 Liderança e comprometimento da Alta Direção ................................ 87
11.3 Responsabilidade e responsabilização ............................................ 87
11.4 Recursos e infraestrutura ................................................................. 87
11.5 Mudança de cultura ........................................................................... 88
11.6 Monitoramento e análise crítica da eficácia da gestão de riscos ....... 89
11.7 Desafio dos líderes – Integração ....................................................... 89
11.8 Desafio dos gerentes – Liderança ..................................................... 90
11.9 Desafio de todos – Melhoria contínua ................................................ 90
11.10 Mensagens e perguntas-chave para os gerentes .............................. 91

Risk Tecnologia 4
Implementação da ISO 31000:2018

INTRODUÇÃO
A gestão de riscos é um processo de negócios muito importante nos setores
público e privado no mundo todo. A implementação correta e eficaz da gestão de
riscos faz parte das melhores práticas de negócios, tanto no âmbito corporativo
quanto no estratégico, e é também uma maneira de buscar a melhoria das
atividades operacionais.

Neste Manual e na norma ISO 31000:2018, risco é descrito como o efeito da


incerteza nos objetivos. Em inglês, o uso da palavra ‘risk’ normalmente tem uma
conotação negativa e entende-se risco como algo a ser minimizado ou evitado.
Na definição mais genérica da ISO 31000, considera-se que as atividades
envolvendo riscos podem ter tanto resultados positivos quanto negativos. Os
processos descritos neste Manual da Coleção Risk Tecnologia podem ser
usados para identificar e explorar oportunidades de melhorar os resultados
organizacionais e de reduzir as consequências negativas.

A gestão de riscos, da maneira aqui descrita, é um processo holístico de gestão


que se aplica a todos os tipos de organização, em todos os níveis, e também a
indivíduos. Os leitores devem estar cientes de que este uso do termo difere de
sua forma mais restrita usada em outros setores. Por exemplo, em algumas
áreas, os termos ‘gestão de riscos’ e ‘controle de riscos’ são utilizados para
descrever as formas de se lidar com os riscos identificados, para as quais
empregamos aqui o termo ‘tratamento de riscos’.

Alguns outros termos adotados neste Manual também podem ter usos distintos.
Por exemplo, os termos ‘análise de riscos’, ‘processo de avaliação de riscos’ e
‘avaliação de riscos’ são utilizados de maneira variada em textos sobre gestão
de riscos. Eles geralmente têm definições que se sobrepõem ou que às vezes
são intercambiáveis, podendo incluir a etapa de identificação de riscos. Optamos
por utilizar a terminologia que serve de base para as normas internacionais
(especialmente o ABNT ISO Guia 73).

Em algumas áreas, há divisões de responsabilidade entre aqueles que realizam


o processo analítico de identificação e análise de riscos e aqueles que tomam
decisões sobre a avaliação de riscos e a seleção das ações para tratar os riscos
identificados. Isso pode ser útil, uma vez que é importante que a análise de
riscos seja vista como independente e seja preferencialmente realizada por
especialistas técnicos, sendo os aspectos relativos a decisões quanto à
avaliação de riscos e à seleção das opções de tratamento de riscos de
responsabilidade dos responsáveis seniores pela tomada de decisões. Este
Manual não aborda tais divisões de responsabilidade, mas elas são compatíveis
com os processos nele descritos.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.


Clique aqui para adquiri-lo.
Risk Tecnologia 5
Implementação da ISO 31000:2018

2 PANORAMA DO PROCESSO DE GESTÃO DE


RISCOS
Este capítulo está relacionado à seção 6 (Processo) da norma ISO 31000:2018.

O processo de gestão de riscos compreende as atividades descritas nas subseções


6.1 a 6.7 da nova edição da ISO 31000 e é apresentado na figura 2.1 a seguir.

Figura 2.1 - Processo de gestão de riscos

As diretrizes detalhadas sobre a aplicação de cada etapa do processo de gestão de


riscos são apresentadas na figura 2.2 e nos capítulos a seguir.

Risk Tecnologia 12
Implementação da ISO 31000:2018

3 COMUNICAÇÃO E CONSULTA

Este capítulo está relacionado à subseção 6.2 (Comunicação e consulta) da


norma ISO 31000:2018.

3.1 Generalidades

A gestão de riscos não é somente uma tarefa técnica, mas também um conjunto
de ações e decisões que acontecem em um contexto social. A comunicação e a
consulta são partes integrantes do processo de gestão de riscos e deveriam
sempre ser consideradas de maneira explícita. A gestão de riscos será
aprimorada por meio do entendimento das perspectivas de cada uma das partes
interessadas e, quando possível, por meio de sua participação ativa na tomada
de decisão.

A comunicação e a consulta apropriadas buscam:

 melhorar o entendimento que as pessoas têm dos riscos e do processo de


gestão de riscos;
 garantir que as diversas visões das partes interessadas sejam levadas em
consideração; e
 garantir que todos os participantes estejam cientes de seus papéis e
responsabilidades.

3.2 O que é comunicação e consulta?

O conceito de 'comunicação de riscos' geralmente é definido como um processo


interativo de troca de informações e opiniões, envolvendo múltiplas mensagens
sobre a natureza dos riscos e a gestão de riscos*. Isso se aplica internamente
nas organizações, departamentos ou unidades de negócio, ou externamente
para as partes interessadas. A comunicação de riscos não solucionará todos os
problemas nem todos os conflitos. A comunicação inadequada dos riscos pode
levar à perda de confiança e/ou à má gestão de riscos.

A consulta pode ser descrita como um processo de comunicação informativa


entre a organização e as partes interessadas, antes de ser tomada uma decisão
ou de se definir um posicionamento em relação a uma questão específica. A
consulta tem as seguintes características:

*
Adaptado do National Research Council. Improving risk communication (Melhoria da comunicação de
riscos). National Academy Press. Washington D.C.

Risk Tecnologia 14
Implementação da ISO 31000:2018

 É um processo e não um resultado.


 Impacta uma decisão por meio da influência, em vez da força do poder.
 Refere-se a contribuições para a tomada de decisão, e não necessariamente
a uma tomada de decisão em conjunto.

A comunicação e a consulta podem ser realizadas em diferentes níveis, de


acordo com o que a situação exigir. Em sua forma mais simplificada:

(a) a comunicação de via única significa fornecer informações, tais como relatos
anuais, boletins, atas de reuniões, etc; e
(b) a comunicação de duas vias significa compartilhar perspectivas, opiniões,
posicionamentos, etc. entre as partes interessadas (stakeholders), e entre
uma organização e as partes com ela envolvidas.

3.3 Por que a comunicação e a consulta são importantes

3.3.1 Generalidades

A comunicação e a consulta são intrínsecas ao processo de gestão de riscos e


deveriam ser contempladas em cada etapa. Um aspecto importante do
'estabelecimento do contexto' é a identificação das partes interessadas bem
como a identificação e a apreciação de suas necessidades. Pode ser
desenvolvido um plano de comunicação, que especifique a finalidade ou o
objetivo da comunicação, quem deveria ser consultado e por quem, quando
ocorrerá e como será avaliada.

Em uma organização, a boa comunicação é essencial para o desenvolvimento


de uma 'cultura' em que as dimensões positivas e negativas dos riscos são
reconhecidas e avaliadas. A comunicação dos riscos ajuda a organização a
estabelecer sua atitude em relação a eles.

Envolver outras pessoas, ou pelo menos olhar para as coisas de outro ponto de
vista, é um ingrediente essencial e crucial em uma abordagem eficaz de gestão
de riscos. O engajamento das partes interessadas torna a gestão de riscos
explícita e mais fundamentada, agregando valor à organização. É
particularmente importante quando as partes interessadas podem:

 ter um impacto na eficácia dos tratamentos de riscos propostos;


 ser afetadas por riscos de acidentes;
 agregar valor na análise e avaliação dos riscos;
 estar sujeitas a custos adicionais; ou
 ficar restritas devido aos controles de riscos futuros.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.


Implementação da ISO 31000:2018

4 ESCOPO, CONTEXTO E CRITÉRIOS

Este capítulo está relacionado à subseção 6.3 (Escopo, contexto e critérios) da


norma ISO 31000:2018.

4.1 Escopo e contexto

O propósito do estabelecimento do escopo, contexto e critérios é personalizar o


processo de gestão de riscos, permitindo um processo de avaliação de riscos
eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios
envolvem a definição do escopo do processo e a compreensão do contexto
externo e interno. Essa etapa é necessária para:

 esclarecer os objetivos organizacionais;


 identificar o ambiente no qual se buscam os objetivos;
 especificar o escopo principal e os objetivos para a gestão de riscos, as
condições limitativas e os resultados necessários;
 identificar um conjunto de critérios com base nos quais os riscos serão
mensurados; e
 definir um conjunto de elementos principais para a estruturação do processo
de avaliação de riscos.

Essa etapa visa a dar uma visão abrangente de todos os fatores que podem
influenciar a capacidade da organização de alcançar os resultados esperados. O
resultado dessa etapa será o relato conciso dos objetivos organizacionais e
critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão
de riscos, e um conjunto de elementos-chave para a estruturação da atividade
de identificação de riscos. É especialmente importante que o escopo seja
definido claramente, para que o restante do processo permaneça dentro dos
limites desejados.

4.2 Objetivos e ambiente

Risco é o efeito da incerteza nos objetivos. Sendo assim, para garantir que todos
os riscos significativos sejam identificados, é necessário conhecer os objetivos
da função ou atividade da organização que está sendo examinada. Os objetivos
são a essência da definição do contexto. Os critérios para o êxito organizacional
são a base para medir a consecução dos objetivos e, por isso, são utilizados
para identificar e mensurar os impactos e as consequências dos riscos que
podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis).

Risk Tecnologia 21
Implementação da ISO 31000:2018

O primeiro passo no estabelecimento do contexto é identificar os objetivos


organizacionais e os ambientes externo e interno nos quais se buscam os
objetivos. O segundo passo é estabelecer o escopo da atividade de gestão de
riscos e as principais questões e interesses da organização, bem como a relação
com a estratégia e os objetivos dos negócios da organização.

Pode-se consultar nessa etapa os documentos mais importantes, tais como o


plano estratégico, planos de negócios e orçamentos, relatos anuais, análises
econômicas e qualquer outra documentação pertinente referente à organização
e suas finalidades. Documentos externos, tais como a legislação pertinente,
também podem ser consultados. Documentos de análise estratégica, tais como
análises SWOT, podem ser úteis, pois ajudam a manter o foco nos aspectos
pertinentes dos ambientes externo e interno, conforme ilustra a figura 4.1,
adaptada do trabalho de Rowe, Mason, Dickel e Snyder.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

ENTRE POR AQUI PARA ADQUIRI-LO

Risk Tecnologia 22
Implementação da ISO 31000:2018

TABELA 4.3

Elementos para a estruturação do processo de avaliação de riscos

Finalidade, objetivos, questões pertinentes Base para a seleção dos


elementos
Planejamento do negócio e direcionamento estratégico Atividades do negócio
Restrições orçamentárias; financiamento externo Itens orçamentários, itens de custo
Questões operacionais; adequação ao uso; valor do dinheiro Funções do produto ou serviço
fornecido
Questões técnicas e ambientais; confiabilidade; alocação de Componentes físicos
esforços técnicos e gerenciais
Aspectos ambientais; efeito do meio ambiente nos resultados (por Localização física e atividades
exemplo, acesso, clima)
Prazos e programação; aspectos de relações industriais; riscos de Atividades do negócio ou do
implementação projeto
Riscos gerais do projeto, identificados no início da etapa de Fases do projeto
planejamento; decisão de parar/continuar; estruturação comercial;
estratégia geral de abordagem de compras
Questões ambientais e da comunidade; processos de aprovação; Partes interessadas
aspectos de financiamento

4.7 Documentação dessa etapa

Para uma análise mais abrangente, essa etapa deveria ser documentada para
demonstrar que a gama completa de fatores ambientais e contextuais foi
considerada.

Para uma atividade de nível inferior, um registro sucinto da análise pode ser
suficiente.

Convém que a documentação dessa etapa identifique os seguintes itens:

(a) escopo das atividades de gestão de riscos que serão realizadas e seus
resultados esperados;
(b) objetivos organizacionais e medidas do sucesso;
(c) fatores importantes no ambiente interno e externo;
(d) partes interessadas pertinentes;
(e) principais critérios de avaliação de riscos;
(f) documentos consultados ao se estabelecer o contexto; e
(g) elementos-chave por meio dos quais o restante do processo será estruturado.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia 27
Implementação da ISO 31000:2018

6 ANÁLISE DE RISCOS

Este capítulo está relacionado à subseção 6.4.3 (Análise de riscos) da norma


ISO 31000:2018.

6.1 Panorama

6.1.1 Generalidades

A análise de riscos visa a promover o entendimento da natureza do risco e suas


características, incluindo o nível de risco. Além do nível absoluto de risco, a
análise ajudará a definir as prioridades e opções de tratamento (ver capítulo 8).
O nível de risco é determinado por meio da combinação das consequências e da
probabilidade. As escalas e métodos adequados para tal combinação deveriam
ser compatíveis com os critérios definidos quando o contexto for estabelecido.
Para uma análise mais técnica, a natureza dos dados e a saída esperada
determinam os métodos de análise requeridos.

O processo de análise normalmente começa com uma abordagem qualitativa


simples, que proporciona uma compreensão genérica. Quando for necessário
um maior detalhamento ou uma melhor compreensão, também poderá ser
necessária uma investigação mais direcionada e aprofundada. Não se pode
pressupor que uma análise quantitativa seja superior a uma análise qualitativa. É
melhor garantir que seja utilizada a abordagem mais adequada para a situação
em estudo.

A análise pode ser realizada em diversos momentos, tais como no início de um


novo projeto, como parte da gestão contínua, ou como um estudo do que pode
ocorrer após os riscos terem sido tratados. Normalmente, a análise verifica e
compara o nível atual de riscos com os controles existentes.

6.1.2 Base da análise

A escolha do método de análise será influenciada pelo contexto, pelos objetivos


e pelos recursos disponíveis. Por exemplo, no âmbito estratégico, podem ser
identificadas e analisadas categorias amplas de riscos, para fornecer um perfil
dos riscos organizacionais que mostre quais são as questões importantes para
as quais precisam ser estabelecidos sistemas de gestão e tratamentos de riscos.
No âmbito de um projeto ou equipe, os gerentes precisam identificar e priorizar
os riscos específicos que afetam os objetivos que estão incumbidos de alcançar.

Risk Tecnologia 32
Implementação da ISO 31000:2018

Alguns riscos podem requerer um exame mais detalhado. As razões para uma
análise detalhada, que pode ser quantitativa ou qualitativa, são:

(a) obter mais informações sobre consequências ou probabilidades, para que a


decisão sobre prioridades seja tomada com base em informações e dados e
não em suposições;
(b) melhorar o entendimento que se tem dos riscos e de suas causas, para que
os planos de tratamento possam ser direcionados para as causas reais – e
não superficiais - do problema;
(c) fazer uma análise mais aprofundada, quando os critérios para a tomada de
decisão a exigirem (geralmente isso ocorre quando os critérios para a
tomada de decisão são expressos quantitativamente);
(d) auxiliar as pessoas a escolherem uma entre várias opções, quando cada
uma delas tiver custos e benefícios diferentes, derivadas de oportunidades e
ameaças potenciais;
(e) fazer com que as pessoas que devem operar com riscos compreendam
melhor esses riscos; ou
(f) fazer com que os riscos residuais sejam compreendidos, após terem sido
aplicadas as estratégias de tratamento.

6.1.3 Análise qualitativa

A análise qualitativa é um método de análise que utiliza a descrição em vez de


meios numéricos para definir o nível de risco, podendo incluir o fornecimento de
informações descritivas sobre a natureza das consequências (especialmente
quando há muitas consequências diferentes para partes interessadas diferentes,
ou quando algumas consequências são intangíveis).

Essas informações podem ser agrupadas e sumarizadas em uma única palavra


para descrever a consequência e a probabilidade, para serem utilizadas em uma
tabela de classificação de riscos. Entretanto, pode ser necessário registrar as
informações implícitas nas quais a classificação se baseia, para auxiliar os
responsáveis pela tomada de decisão e para dar embasamento às suas
conclusões.

A análise qualitativa pode ser utilizada:

(a) quando não é necessária a precisão quantitativa;


(b) para realizar uma avaliação inicial de riscos, antes de uma análise posterior
mais detalhada;
(c) quando o nível de risco não justifica o tempo e os recursos necessários para
a realização de uma análise numérica; ou

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia 33
Implementação da ISO 31000:2018

6.2 Tabelas de consequências e probabilidades

6.2.1 Generalidades

As tabelas de consequências e probabilidades são utilizadas a fim de fornecer


definições para as escalas de classificação, para que haja um entendimento
comum de seu significado. As tabelas deveriam ser compatíveis com os
objetivos específicos e o contexto da atividade de gestão de riscos.

Convém observar que os descritores nesses exemplos foram escolhidos de


modo a não usar os mesmos termos das escalas de consequências,
probabilidades e riscos, para evitar duplicação em qualquer matriz ou relato
posterior.

6.2.2 Consequências

A tabela 6.2 traz uma tabela qualitativa simples de consequências, que pode ser
utilizada por uma organização com critérios relacionados à segurança e saúde,
meio ambiente e sucesso financeiro. Também considera os impactos políticos e
financeiros dos riscos, da mesma forma que pode ser encontrada em uma
análise de programas do setor público. A tabela 6.3 traz uma tabela descritiva
simples.

Quando uma tabela traz tipos diferentes de consequências, ou quando o mesmo


descritor é utilizado para um determinado nível, então será inferida uma
equivalência entre cada consequência. Se isso não for verdadeiro, precisam ser
utilizados tabelas e descritores diferentes. Quando se busca a equivalência, é
preciso tomar cuidado para garantir que isso seja defensável e, quando possível,
convém obter a concordância das partes interessadas.

Risk Tecnologia 39
Implementação da ISO 31000:2018

Técnicas de engenharia de segurança de sistemas, como a Análise de Árvore de


Falhas, podem ser utilizadas para analisar as probabilidades em mais detalhes.

6.3 Nível de risco

A forma como o nível de risco é descrito dependerá do tipo de análise realizada.


A abordagem qualitativa somente pode descrever os riscos de maneira
qualitativa – e isso normalmente é feito com termos descritivos. Um exemplo
disso é apresentado na tabela 6.6. A análise quantitativa pode, por outro lado,
gerar um número, dado ou valor único ou um conjunto de dados detalhados.
Quando isso ocorrer, convém tomar cuidado para garantir que as unidades de
risco sejam definidas e compreendidas. Convém dar atenção especial à análise
quantitativa quando estiverem sendo examinadas consequências que são
intangíveis ou difíceis de quantificar, tais como efeitos no meio ambiente ou na
segurança, ou a reputação da organização.

As hipóteses e seus impactos, bem como seu nível de certeza, também


precisam ser definidos.

A tabela 6.6 ilustra também o processo e os descritores que podem ser


utilizados para combinar o nível das consequências com o nível de
probabilidade, para determinar o nível de risco. O número de categorias de risco
definidas em uma tabela como essa deveria refletir as necessidades do estudo.

Tabela 6.6
Exemplo de matriz para determinar o nível de risco

Classificação da Classificação das Consequências


Probabilidade I II III IV V
A Médio Alto Alto Muito alto Muito alto
B Médio Médio Alto Alto Muito alto
C Baixo Médio Alto Alto Alto
D Baixo Baixo Médio Médio Alto
E Baixo Baixo Médio Médio Alto
NOTA: A relação entre as consequências e a probabilidade será diferente para cada aplicação: o nível
de risco atribuído a cada célula deveria refletir isso.

As categorias podem estar associadas ao nível recomendado de atenção da Alta


Direção ou à escala do tempo necessário para a resposta requerida. Por
exemplo:

(a) Risco muito alto ou alto: necessária atenção da Alta Direção e especificação
de planos de ação e responsabilidades da Alta Direção.
(b) Risco médio: gestão por meio de monitoramento específico ou
procedimentos de resposta e especificação das responsabilidades da Alta
Direção.

Risk Tecnologia 42
Implementação da ISO 31000:2018

(c) Risco baixo: gestão por meio de procedimentos de rotina; provavelmente não
requer aplicação específica de recursos.

Outro exemplo simples é mostrado na tabela 6.7.

Tabela 6.7
Exemplo – Matriz simples de nível de risco

Consequências
Probabilidade Maior Moderada Menor
Provável Vermelho Vermelho Amarelo
Possível Vermelho Amarelo Verde
Improvável Amarelo Verde Verde

Legenda do Tratamento de Riscos

Vermelho Ação imediata


Amarelo Ação intensificada
Verde Negócios normais

Alta
'Problema'
Faixa de
resultados
P viáveis
r
o
 ?
b
a
b
i 'Catástrofe'
l
i
d
a
d

e

Baixa
Baixa Alta

Consequência

FIGURA 6.4 - RISCOS COM RESULTADOS DIVERSOS

Muitos eventos de risco podem surgir de diversas maneiras, dentro de uma faixa
de resultados e probabilidades associadas. Por exemplo, se um erro de
processamento ocorresse em uma organização, poderia ser um problema

Risk Tecnologia 43
Implementação da ISO 31000:2018

Região
Geralmente O risco não pode ser
Aumento dos Riscos Individuais e Intolerável justificado, a não ser em
Preocupações com a Sociedade (Limite de circunstâncias
Segurança extraordinárias.
Básico)
ALARP ou Conduzir os riscos para a
Região Região Aceitável
Tolerável Amplamente.
(Objetivo de
Segurança Risco residual tolerável,
Básico) somente se não for possível
nenhuma outra redução do
Região risco.
Aceitável
Amplamente Improvável que a redução
do risco seja requerida,
devido aos recursos serem
provavelmente muito
desproporcionais em
relação à redução obtida.

Risco Insignificante

FIGURA 7.1 - O PRINCÍPIO ‘ALARP’

7.5 Julgamento implícito nos critérios

Os julgamentos de valor estão implícitos em diversos critérios. Eles dependem


da familiaridade do indivíduo com o risco, da confiança na eficácia dos controles
de riscos existentes, bem como da percepção dos riscos e benefícios da
atividade.

O mesmo risco pode parecer insignificante para uma pessoa e muito alto para
outra. Portanto, os critérios deveriam tentar representar uma visão objetiva,
levando em consideração as necessidades de todos que forem afetados, bem
como as pessoas de fato sujeitas ao risco.

A comunicação e a consulta podem abordar esses pontos (ver capítulo 3).

7.6 Critérios de avaliação e eventos anteriores

Os critérios para definir se um determinado risco precisa ser tratado são


geralmente estabelecidos recorrendo-se a eventos de atividades semelhantes
ocorridos no passado, ou por meio dos antecedentes dos riscos vivenciados no
dia-a-dia. Entretanto, os dados podem ser distorcidos devido a:

Risk Tecnologia 52
Implementação da ISO 31000:2018

(a) Acidentes de grandes proporções, catástrofes ou sinistros que ocorrem uma


única vez e dominam o conjunto de dados.
(b) Um nível de riscos em queda, devido a controles aprimorados à medida que
se aprende com os incidentes e acidentes e são melhorados os padrões de
controle. Isso significa que critérios baseados em riscos históricos podem
não se mostrar rígidos o suficiente para controlar a situação atual.
(c) As mudanças ocorridas nas atividades ou nas circunstâncias agora cobertas
em relação à situação passada. Por exemplo, o risco geral proveniente de
uma amostra de atividades pode ter sido diferente no passado.

A definição de critérios de avaliação com base em estimativas de riscos


históricos apresenta os seguintes problemas:

 Um risco pode precisar ser tratado em diversas circunstâncias, mas não em


outras.
 Um risco pode ter sido “aceito” no passado, porém poderá não ser “aceitável”
atualmente, utilizando-se os métodos de análise vigentes e levando-se em
consideração o atual nível de tolerância da sociedade.
 Os antecedentes dos riscos são diferentes em situações distintas (por
exemplo, em países diferentes), levantando a dúvida se os critérios de
avaliação deveriam mesmo ser ajustados à situação e não aplicados
globalmente.

Como consequência de problemas como esses, julgamentos de cunho político


ou econômico podem ser utilizados adicionalmente aos dados disponíveis sobre
riscos.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia 53
Implementação da ISO 31000:2018

11 ESTABELECIMENTO DE UMA GESTÃO DE


RISCOS EFICAZ

Este capítulo está relacionado à seção 5 (Estrutura) da norma ISO 31000:2018.

NOTA: Para as organizações interessadas em implementar como Estrutura um Sistema de Gestão de


Riscos (SGR) baseado na ISO 31000:2018 e nas diretrizes centrais deste Manual, recomenda-se a
adoção da norma de requisitos QSP 31000, a qual também pode ser utilizada para fins de auditoria de
terceira parte. Mais informações podem ser obtidas pelo e-mail: qsp@qsp.org.br.

11.1 Política

Convém que a gestão de riscos seja integrada à filosofia de gestão da


organização. Convém que a Alta Direção e os executivos seniores sejam os
responsáveis pelo estabelecimento da política de gestão de riscos. A política é
um documento sucinto, de nível superior, que aprova uma abordagem para a
gestão de riscos e também cria as ligações com outras estratégias da
organização. Convém que a política de gestão de riscos seja incorporada às
demais políticas de gestão da organização.

Alguns exemplos de informações que podem ser incluídas na política de uma


organização são:

(a) os objetivos e a base para a gestão de riscos;


(b) as relações entre a política e os planos estratégico e operacional da
organização;
(c) a extensão ou gama de riscos que precisam ser gerenciados;
(d) diretrizes sobre o que deve ser considerado risco aceitável;
(e) autoridades, responsabilidades e responsabilizações;
(f) disponibilidade dos recursos necessários;
(g) a maneira pela qual os objetivos conflitantes são tratados;
(h) medição e relato no âmbito dos indicadores de desempenho da organização;
(i) o suporte e conhecimento disponíveis para auxiliar os responsáveis pela
gestão de riscos;
(j) o nível de documentação requerido; e
(k) os requisitos para monitorar e analisar criticamente o desempenho
organizacional em relação à política.

ESTA É UMA PRÉ-VISUALIZAÇÃO DO MANUAL DE IMPLEMENTAÇÃO DA ISO 31000:2018.

Risk Tecnologia 86
Implementação da ISO 31000:2018

consistentemente o processo for aplicado e quanto maior a maturidade da


prática da gestão de riscos, maiores serão os benefícios, conforme descritos no
item 1.2 deste Manual.

11.10 Mensagens e perguntas-chave para os gerentes

Os gerentes deveriam consistentemente sinalizar que:

(a) a gestão de riscos é dever de todos;


(b) a gestão de riscos é parte integrante dos negócios, não um trabalho extra ou
uma carga adicional; e
(c) o processo de gestão de riscos é lógico e sistemático, e deveria se tornar a
prática habitual.

As mensagens-chave incluem:

(i) Há riscos a serem gerenciados em todas as atividades.


(ii) Todos são responsáveis – e deveriam prestar contas (responsabilização)
- por gerenciar os riscos de suas atividades.
(iii) As pessoas deveriam ser estimuladas e apoiadas pelos seus líderes a
gerenciar riscos.
(iv) A ISO 31000:2018 fornece uma estrutura e abordagem sistemática para a
tomada de decisão sobre como melhor gerenciar os riscos.
(v) Deveriam ser considerados os requisitos legais e os ambientes político,
social e econômico ao gerenciar riscos.
(vi) As ações para gerenciar riscos deveriam ser integradas aos (e não
separada dos) planejamentos e processos operacionais existentes em
todos os níveis.
(vii) A gestão de riscos eficaz depende de informação com qualidade.

As principais perguntas que os gerentes deveriam fazer incluem:

(1) Os objetivos da gestão de riscos estão alinhados com os objetivos de


desempenho e com os valores organizacionais?
(2) Os resultados da gestão de riscos podem ser medidos nesses termos?
(3) Você pode determinar se a gestão de riscos tem agregado valor para a
organização?
(4) Os programas de gestão de riscos refletem a realidade do ambiente em
que você opera?
(5) Você repassa informações sobre a gestão de riscos, de forma clara e
concisa, para avaliação pela Alta Direção e gerências, como apropriado?

Risk Tecnologia 91
ENTRE POR AQUI PARA ADQUIRIR O MANUAL