NBR ISO 31000

ISO 31000

ISO 31000 é uma norma da família de gestão de risco criada pela International
Organization for Standardization. O objetivo da ISO 31000: 2009 é estabelecer
princípios e orientações genéricas sobre gestão de riscos. ISO 31000
criou framework universal reconhecido para possam gerenciar os processos de
diversos tipos de riscos de qualquer organização de qualquer segmento
independente do tamanho.

A ISO 3100 é composta por três normas:

ISO 31000 – Informações básicas, princípios e diretrizes para a implementação

da gestão de riscos.

ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos.

ISO Guia 73 – Vocabulário relacionado à gestão de riscos.

Introdução

ISO 31000 foi publicado em 13 de Novembro de 2009 fornecendo um padrão

sobre a implementação da gestão de risco. A revista e harmonizada ISO / IEC
Guia 73, foi publicado ao mesmo tempo. O objetivo da ISO 31000: 2009 é ser
aplicável e adaptável para "qualquer entidade pública, empresa privada ou
comunidade, associação, grupo ou individual."

Certificação

A ISO 31000 não foi desenvolvida com a intenção de ser uma norma
certificadora (2009).

ISO 31000 é uma norma da família de gestão de risco criada pela International
Organization for Standardization. O objetivo da ISO 31000: 2009 é estabelecer
princípios e orientações genéricas sobre gestão de riscos. ... ISO/IEC 31010 –
Técnicas de avaliação e gestão de riscos.

Os danos à reputação ou à marca, crime cibernético, risco político e terrorismo

são alguns dos riscos que as organizações privadas e públicas de todos os
tipos e tamanhos do mundo devem enfrentar cada vez mais.

Para gerenciar todos esses tipos de riscos nas organizações, acaba de ser
lançada a nova versão da ISO 31000 - Gestão de riscos - Diretrizes, que
substitui a atual ISO 31000:2009. A norma fornece diretrizes gerais para
gerenciar riscos, em quaisquer atividades, incluindo a tomada de decisão em
todos os níveis. Além disso, fornece também uma abordagem comum que
pode ser personalizada para cada tipo de organização e seus contextos.

A revisão da norma oferece um guia mais claro, mais curto e mais conciso que
ajudará as organizações a usar os princípios de gerenciamento de risco para
melhorar o planejamento e tomar melhores decisões. A seguir estão as
principais mudanças desde a edição anterior:

• Revisão dos princípios da gestão de riscos, que são os principais critérios

para o seu sucesso;
• Foco na liderança da alta administração, que deve assegurar que o
gerenciamento de riscos seja integrado em todas as atividades
organizacionais, começando pela governança da organização;
• Maior ênfase na natureza iterativa da gestão de riscos, aproveitando novas
experiências, conhecimento e análise para a revisão de elementos de
processo, ações e controles em cada etapa do
processo;

• Racionalização do conteúdo com maior foco na manutenção de um modelo

de sistemas abertos que regularmente troque feedback com seu ambiente
externo para atender a múltiplas necessidades e contextos.

No Brasil, esta nova versão foi elaborada pela Comissão de Estudo Especial de
Gestão de Riscos (ABNT/CEE-063) e será lançada em breve como Norma
Brasileira (NBR), substituindo a versão vigente de 2009.

O texto em português contou com a participação de 69 profissionais de várias

empresas de diversos segmentos e está em Consulta Nacional até o dia 08 de
março. Esta consulta tem como objetivo divulgar o projeto para os interessados
recebendo comentários e voto de aprovação (ou não) como Norma Brasileira.
Caso existam observações e objeções técnicas, estas serão analisadas antes
que seja publicada como Norma Brasileira.

Outras normas de gestão de riscos e gestão de continuidade de negócios

(GCN) estão sendo trabalhadas pela ABNT/CEE-063 e os interessados em
participar podem enviar email para a analista responsável.

Sobre a ABNT
A ABNT é o Foro Nacional de Normalização, por reconhecimento da sociedade
brasileira desde a sua fundação, em 28 de setembro de 1940, e confirmado
pelo Governo Federal por meio de diversos instrumentos legais. É responsável
pela gestão do processo de elaboração das Normas Brasileiras (NBR),
destinadas aos mais diversos setores. A ABNT participa da normalização
regional na Associação Mercosul de Normalização (AMN) e na Comissão Pan-
Americana de Normas Técnicas (Copant) e da normalização internacional na
International Organization for Standardization (ISO) e na International
Electrotechnical Commission (IEC), influenciando o conteúdo de normas e
procurando garantir condições de competitividade aos produtos e serviços
brasileiros, além de exercer seu papel social. Além disso, a ABNT também é
um Organismo de Avaliação da Conformidade acreditado pelo Inmetro para a
certificação de diversos produtos, sistemas e programas ambientais, como o
rótulo ecológico e a verificação de inventários de gases de efeito estufa.

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de

Normalização. A elaboração das Normas Brasileiras é de responsabilidade dos
Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial
(ABNT/ONS) e das Comissões de Estudo Especiais Temporárias
(ABNT/CEET).

A Norma, em primeiro momento, não é destinada para fins de certificação. Será

sim, para atender às necessidades de uma ampla gama de partes
interessadas, tais como os responsáveis pelo desenvolvimento da política de
gestão de riscos no âmbito de suas organizações; com a finalidade de
assegurar que os riscos serão eficazmente gerenciados na organização como
um todo ou em uma área específica, atividade ou projeto específico; bem como
aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.

Assim, adiante relaciono termos e definições para conhecimento:

1) Risco: efeito da incerteza nos objetivos. Nota: Um efeito é um desvio em

relação ao esperado – positivo e/ou negativo. Os objetivos podem ter diferentes
aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e
podem aplicar–se em diferentes níveis (tais como estratégico, em toda a
organização, de projeto, de produto e de processo). O risco é muitas vezes
caracterizado pela referência aos eventos potenciais e às conseqüências, ou
uma combinação destes, expressas em termos de uma soma de
conseqüências de um evento (incluindo mudanças nas circunstâncias) e a
probabilidade de ocorrência associada. A incerteza é o estado, mesmo que
parcial, da deficiência das informações relacionadas a um evento, sua
compreensão, conhecimento, sua conseqüência ou probabilidade.
2) Gestão de riscos: atividades coordenadas para dirigir e controlar uma
organização no que se refere ao risco.
3) Estrutura da gestão de riscos: conjunto de componentes que fornecem os
fundamentos e os arranjos organizacionais para a concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos através
de toda a organização. Nota: Os fundamentos incluem a política, objetivos,
mandatos e comprometimento para gerenciar riscos. Os arranjos
organizacionais incluem planos, relacionamentos, responsabilidades, recursos,
processos e atividades. A estrutura da gestão de riscos está incorporada no
âmbito das políticas e práticas estratégicas e operacionais de toda a
organização.
4) Política de gestão de riscos: declaração das intenções e diretrizes gerais de
uma organização relacionadas à gestão de riscos.
5) Atitude perante o risco: abordagem da organização para avaliar e
eventualmente buscar, manter, assumir ou afastar-se do mesmo.
6) Apetite pelo risco: quantidade e tipo de riscos que uma organização está
preparada para buscar, manter ou assumir.
7) Aversão ao risco: atitude de afastar–se dos riscos.
8) Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos,
especificando a abordagem, os componentes de gestão e os recursos a serem
aplicados para gerenciá-los. Nota: Os componentes de gestão, tipicamente,
incluem procedimentos, práticas, atribuição de responsabilidades, seqüência e
a cronologia das atividades, podendo ser aplicado a um determinado produto,
processo e projeto, em parte ou em toda a organização.
9) Proprietário do risco: pessoa ou entidade com a responsabilidade e a
autoridade para gerenciar o risco
10) Processo de gestão de riscos: aplicação sistemática de políticas,
procedimentos e práticas de gestão para as atividades de comunicação,
consulta, estabelecimento do contexto, e na identificação, análise, avaliação,
tratamento, monitoramento e análise crítica dos riscos.
11) Estabelecimento do contexto: definição dos parâmetros externos e internos
a serem levados em consideração ao se efetuar o gerenciamento de riscos, e
estabelecimento do escopo e dos critérios de risco para a política de sua
gestão.
12) Contexto externo: ambiente externo no qual a organização busca atingir
seus objetivos. Nota: O contexto externo pode incluir os ambientes: cultural,
social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural
e competitivo, seja internacional, nacional, regional ou local; os fatores–chave e
as tendências que tenham impacto sobre os objetivos da organização; e as
relações com partes interessadas externas, e suas percepções e valores.
13) Contexto interno: ambiente interno no qual a organização busca atingir
seus objetivos. Nota: O contexto interno pode incluir:
a) Governança, estrutura organizacional, funções e responsabilidades;
b) Políticas, objetivos e as estratégias implementadas para atingi–los;
c) A capacidade, compreendida em termos de recursos e conhecimento (por
exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
d) Percepções e valores das partes interessadas internas;
e) Sistemas de informação, fluxos de informação e processos de tomada de
decisão (tanto formais como informais);
f) Relações com partes interessadas internas, e suas percepções e valores;
g) A cultura da organização;
h) Normas, diretrizes e modelos adotados pela organização;
i) Forma e extensão das relações contratuais.
14) Comunicação e consulta: processos contínuos e interativos que uma
organização conduz para fornecer, compartilhar ou obter informações, com
relação ao gerenciamento de riscos. Nota: As informações podem referir-se à
existência, natureza, forma, probabilidade, severidade, avaliação,
aceitabilidade, tratamento ou outros aspectos da gestão de riscos. A consulta é
um processo bidirecional de comunicação sistematizada entre uma
organização e suas partes interessadas ou outros.
15) Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou
perceber–se afetada por uma decisão ou atividade. Nota: Um tomador de
decisão pode ser uma parte interessada.
16) Processo de avaliação de riscos: processo global de identificação de riscos,
análise de riscos e avaliação dos riscos.
17) Identificação dos riscos: processo de busca, reconhecimento e descrição
de riscos. Nota: A identificação de riscos envolve a identificação das fontes de
riscos, suas causas e suas conseqüências potenciais. A identificação de riscos
pode envolver dados históricos, análises teóricas, opiniões de pessoas
informadas e especialistas, e as necessidades das partes interessadas.
18) Fonte de risco: elemento que, individualmente ou combinado, tem o
potencial intrínseco para dar origem ao risco. Nota: Uma fonte de risco pode
ser tangível ou intangível.
19) Evento: ocorrência ou alteração em um conjunto específico de
circunstâncias. Nota: Um evento pode consistir em uma ou mais ocorrências,
podendo ter várias causas. Um evento pode consistir em algo que não venha
acontecer. Um evento pode algumas vezes ser referido como um "incidente" ou
um "acidente". Um evento sem conseqüências também pode ser referido como
um "quase acidente", ou um "incidente" ou "quase sucesso".
20) Conseqüência: resultado de um evento que afeta os objetivos. Nota: Um
evento pode levar a uma série de conseqüências. Uma conseqüência pode ser
certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. As
conseqüências podem ser expressas qualitativa ou quantitativamente. As
conseqüências iniciais podem desencadear reações em cadeia
21) Probabilidade: chance de algo acontecer. Nota: Na terminologia de gestão
de riscos, a palavra “probabilidade" é utilizada para referir-se à chance de algo
acontecer, não importando se definida, medida ou determinada, objetiva ou
subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se
termos gerais ou matemáticos (tal como uma probabilidade ou uma freqüência
durante um determinado período de tempo).
22) Perfil de risco: descrição de um conjunto qualquer de riscos. Nota: O
conjunto de riscos pode conter riscos que dizem respeito a toda a organização,
parte da organização, ou referente ao que tiver sido definido.
23) Análise de riscos: processo pelo qual se busca compreender a natureza do
risco e determinar o nível do mesmo. Nota: A análise de riscos fornece a base
para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo
a estimativa de riscos.
24) Critérios de risco: termos de referência contra a qual o significado de um
risco é avaliado. Nota: Os critérios de risco são baseados nos objetivos
organizacionais e no contexto externo e interno e podendo ser derivados de
normas, leis, políticas e outros requisitos.
25) Nível de risco: magnitude de um risco, expressa em termos da combinação
das conseqüências e de suas probabilidades.
26) Avaliação de riscos: processo de comparação dos resultados da análise de
riscos com os critérios de risco para determinar se o risco e/ou sua magnitude
é aceitável ou tolerável. Nota: A avaliação de riscos auxilia na decisão sobre o
tratamento de riscos
27) Tratamento de riscos: processo para modificar o risco. Nota: O tratamento
de risco pode envolver a ação de evitá-lo o risco pela decisão de não iniciar ou
descontinuar a atividade que dá origem ao mesmo; assumir ou aumentar o
risco a fim de buscar uma oportunidade; a remoção da fonte de risco; a
alteração da probabilidade; a alteração das conseqüências; o
compartilhamento do risco com outra parte ou partes (incluindo contratos e
financiamento do risco); e a retenção do risco por uma escolha consciente. Os
tratamentos de riscos relativos a conseqüências negativas são muitas vezes
referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de
riscos" e "redução de riscos". O tratamento de riscos pode criar novos riscos ou
modificar riscos existentes.
28) Controle: medida que está modificando o risco. Nota: Os controles incluem
qualquer processo, política, dispositivo, prática ou outras ações que visam
modificar o risco e nem sempre conseguem exercer o efeito de modificação
pretendido ou presumido.
29) Risco residual: risco remanescente após o tratamento do risco. Nota: O
risco residual pode conter riscos não identificados podendo também, ser
conhecido como "risco retido".
30) Monitoramento: verificação, supervisão, observação crítica ou identificação
da situação, executadas de forma contínua, a fim de identificar mudanças no
nível de desempenho requerido ou esperado. Nota: O monitoramento pode ser
aplicado à estrutura da gestão de riscos, ao processo de gestão de riscos, ao
risco ou aos controles.
31) Análise crítica: atividade realizada para determinar a adequação,
suficiência e eficácia do assunto em questão para atingir os objetivos
estabelecidos. Nota: A análise crítica pode ser aplicada à estrutura da gestão,
ao processo de gestão ou aos controles dos riscos.
As organizações sofrem todos os dias do efeito da incerteza, denominado de
"risco", que afeta os objetivos da organização.

Atualmente nas organizações, os departamentos agem isoladamente,

avaliando os seus riscos, por meio de diversas ferramentas, dessa forma, o
propósito fundamental da norma será que as organizações desenvolvam,
programem e melhorem continuamente uma estrutura cuja finalidade é integrar
o processo para gerenciar riscos na governança, na estratégia e planejamento,
na gestão, nos processos de reportar dados e resultados, nas políticas, valores
e cultura de toda a organização.

Portanto, a característica chave da Norma NBR-ISO 31000 será a inclusão do

contexto como uma atividade no início do processo genérico de gestão de
riscos.

ISO 31000 - Gestão de Risco

As organizações que gerenciam riscos de maneira eficaz têm mais

possibilidades de se proteger e de serem bem-sucedidas na expansão de seus
negócios. O desafio de qualquer empresa é integrar boas práticas em suas
operações diárias e aplicá-las aos aspectos mais amplos de sua prática
organizacional.

O que é a ISO 31000?

A ISO 31000 é a norma internacional para gestão de risco. Ao fornecer

princípios e diretivas abrangentes, esta norma ajuda organizações em suas
análises e avaliações de riscos. Quer você trabalhe em uma empresa pública,
privada ou comunitária, poderá se beneficiar da ISO 31000 pois ela se aplica à
maioria das atividades de negócios, incluindo planejamento, operações de
gestão e processos de comunicação. Apesar de todas as organizações
gerenciarem riscos de alguma maneira, as recomendações de melhores
práticas dessa norma internacional foram desenvolvidas para melhorar as
técnicas de gestão e garantir a segurança no local de trabalho em todos os
momentos.

Ao aplicar os princípios e diretivas da ISO 31000 em sua organização, você

será capaz de melhorar a eficiência operacional, governança e confiança das
partes interessadas, minimizando perdas. Esta norma internacional também
ajuda você a melhorar o desempenho em saúde e segurança, estabelecer uma
base sólida para a tomada de decisões e incentivar a gestão pró-ativa em
todas as áreas.

Quais são os benefícios?

Melhora proativamente a eficiência operacional e a governança

Constrói a confiança das partes interessadas na sua utilização de técnicas de

risco

Aplica controles de sistema de gestão à análise de riscos para minimizar

perdas

Melhora o desempenho e a resiliência do sistema de gestão

Responde às mudanças de forma eficaz e protege a sua empresa conforme ela

cresce

A ABNT (Associação Brasileira de Normas Técnicas) publicou a versão ABNT

NBR ISO 31000:2018 – Gestão de Riscos – Diretrizes, que revisa a norma
ABNT NBR ISO 31000:2009. O documento fornece diretrizes para gerenciar
riscos enfrentados pelas organizações. A aplicação destas diretrizes pode ser
personalizada para qualquer organização e seu contexto.

A revisão da norma oferece um guia mais claro, mais curto e mais conciso que
ajudará as organizações a usar os princípios de gerenciamento de risco para
melhorar o planejamento e tomar melhores decisões.

No Brasil, esta nova versão foi elaborada pela Comissão de Estudo Especial de
Gestão de Riscos (ABNT/CEE-063). O texto em português contou com a
participação de 69 profissionais de várias empresas de diversos segmentos.

ABNT lança nova versão da ISO 31000 – Gestão de riscos

A Associação Brasileira de Normas Técnicas (ABNT) lançou nova versão da

ISO 31000 – Gestão de riscos. A norma substitui a atual ISO 31000:2009 com
o objetivo de gerenciar os danos à reputação ou à marca, crime cibernético,
risco político e terrorismo. Esta nova versão foi elaborada pela Comissão de
Estudo Especial de Gestão de Riscos (ABNT/CEE-063) e será lançada em
breve como Norma Brasileira (NBR), substituindo a versão vigente de 2009.

O texto em português contou com a participação de 69 profissionais de várias

empresas de diversos segmentos. A revisão oferece um guia mais claro, curto
e conciso que ajudará as organizações a usarem os princípios de
gerenciamento de risco para melhorar o planejamento e facilitar a tomada de
melhores decisões. Além disso, fornece também uma abordagem que pode ser
personalizada para cada tipo de organização.

As principais mudanças foram:

Revisão dos princípios da gestão de riscos;

Foco na liderança da alta administração (gerenciamento de riscos integrado)

Maior ênfase na natureza iterativa da gestão de riscos

Manutenção de modelo de sistemas abertos

Gerenciamento de risco

Gerenciamento de risco (português brasileiro) ou gestão de risco (português

europeu) (GRIS) realiza-se com a adoção de melhores práticas de
infraestrutura, políticas e metodologias, permitindo uma melhor gestão dos
limites de risco aceitáveis, do capital, da precificação e do gerenciamento da
carteira.

Risco significa incerteza sobre a ocorrência ou não de uma perda ou prejuízo, e

a forma de se controlar os riscos é através de seu gerenciamento. Ser capaz
de gerenciar o risco significa "tentar evitar perdas, tentar diminuir a frequência
ou severidade de perdas ou pagar as perdas de todos os esforços em
contrário", entendendo-se 'frequência de perdas' como a quantidade de vezes
que a perda ocorre, enquanto a severidade seria o custo do prejuízo decorrente
da perda.

Conforme Jorion, no Gerenciamento de Risco financeiro considera-se, em

primeira instância, os riscos financeiros que compreendem aqueles que
ocasionam ganhos ou perdas de recursos financeiros para instituição. Quanto à
volatilidade, são observados resultados inesperados relacionados ao valor de
ativos ou passivos de interesse

Pode-se classificar os riscos financeiros como estratégicos e não estratégicos.

Os estratégicos são aqueles assumidos voluntariamente. Uma cautelosa
exposição a esses tipos de riscos é fator fundamental para o sucesso das
atividades comerciais. Já os riscos não-estratégicos são aqueles que não
podem ser controlados e não condicionam fator estratégico, e por isso
denominado desta forma.

De acordo com Jorion, instituições financeiras têm, por objetivo principal,

gerenciar ativamente os riscos financeiros, assumindo, intermediando e
oferecendo conselhos. Compreender os riscos enquanto incertezas inevitáveis
trazem aos administradores financeiros meios que prever e minimizar eventos
adversos, estando preparados de maneira mais eficiente. E, conforme o autor,
o aumento da volatilidade dos mercados financeiros, no começo dos anos
1970, trazia uma única constante em relação a todos os fatos ocorridos, que é
a imprevisibilidade, em que rápidas mudanças do cenário econômico geravam
grandes perdas financeiras. O gerenciamento de risco, neste sentido, fornece
proteção parcial contra essas fontes de risco.

Corporações assumem posturas de gerenciamento de risco mais ativas,

segundo Crouhy, Galai e Mark , onde risco sempre foi um elemento relevante
nas tomadas decisões de novos investimentos. Ao desconsiderar projetos mais
arriscados, as organizações podem perder oportunidades com excelentes
retornos. O problema maior é como quantificar os riscos, precificando-os
adequadamente.

Para Juvenil Alves, da Casa do Contribuinte, Gerenciamento de Risco

Tributário tem o seguinte conceito: Gerenciamento de Risco Tributário.
Consiste em conhecer e identificar as rotinas tributárias de um contribuinte e
suas escriturações, para cotejando-as com o sistema legal (leis e outros
aparatos legais), com a jurisprudência e com tendências futuras de
entendimentos, possa identificar eventuais distorções, evitando aplicação de
multas, processos criminais e perdas patrimoniais, para sócios,
administradores e contadores.

Tipos de riscos

Crouhy, Galai e Mark, classificam os riscos financeiros de uma instituição

como:

Risco de mercado,

Risco de crédito

Risco de liquidez

Risco operacional

Risco legal

Risco do fator humano

Risco de mercado é o risco de que mudanças nos preços e nas taxas no

mercado financeiro reduzam o valor das posições de um título ou de uma
carteira." Os riscos de mercado de um fundo normalmente são medidos com
base em um índice ou carteira benchmark.

Risco de crédito é o "risco de que uma mudança na quantidade do crédito de

uma contraparte possa afetar o valor da posição de um banco. Neste tipo de
risco, a contraparte não quer ou não pode cumprir com suas obrigações
contratuais e, eventualmente, sofre rebaixamento por parte de uma agência
classificadora de risco.

Risco de liquidez compreende tanto o risco de financiamento de liquidez quanto

o risco de liquidez relacionado às negociações, [...]. Risco de financiamento de
liquidez se relaciona à capacidade de uma instituição financeira de levantar o
caixa necessário para rolar sua dívida, para atender exigências de caixa,
margem e garantias das contrapartes e (no caso de fundos) de satisfazer
retiradas de capital. O risco de liquidez relacionado a negociações, [...], é o
risco de que uma instituição não seja capaz de executar uma transação ao
preço prevalecente de mercado porque não há, temporariamente, qualquer
apetite pelo negócio "do outro lado" do mercado. O risco de financiamento de
liquidez e o risco de liquidez relacionado às negociações "definem-se como
duas dimensões do risco de liquidez". Quando uma transação não puder ser
adiada, sua execução pode levar a uma perda substancial na posição. É um
risco difícil de ser quantificado.
O risco operacional, por sua vez, "[...] se refere às perdas potenciais
resultantes de sistemas inadequados, falha da gerência, controles defeituosos,
fraude e erro humano". Relacionado ao risco operacional, existem vários casos
de falhas operacionais relacionadas a uso de derivativos, caracterizadas por
transações alavancadas, ao contrário das transações à vista. Um negociante
pode fazer comprometimentos muito grandes em nome da instituição
financeira, gerando exposições futuras enormes, utilizando pequeno volume de
dinheiro.

O risco jurídico "surge por toda uma série de razões. Por exemplo, uma
contraparte pode não ter a autoridade legal ou regulatória para se engajar em
uma transação. Riscos Jurídicos geralmente só se tornam aparentes quando
uma contraparte, ou investidor, perde dinheiro em uma transação e decide
acionar o banco para evitar o descumprimento de suas obrigações".

O risco do fator humano é assim definido como “uma forma especial de risco
operacional. Relaciona-se às perdas que podem resultar em erros humanos
como apertar o botão errado em um computador, inadvertidamente destruir um
arquivo ou inserir um valor errado para um parâmetro de entrada de um modelo

Etapas fundamentais para uma gestão de riscos eficaz

Riscos são importantes para as decisões estratégicas, são também a principal

causa das incertezas nas organizações e estão presentes nas atividades mais
simples de uma empresa. Uma abordagem ampla e corporativa da gestão de
riscos permite que uma organização contabilize o potencial impacto de todos
os tipos de risco em todos os seus processos, atividades, produtos e serviços.

A premissa inerente à gestão de riscos corporativos (ERM – Enterprise Risk

Management) é que toda organização existe para gerar valor às partes
interessadas. Todas as organizações enfrentam incertezas e o desafio de seus
administradores é determinar até que ponto aceitar essa incerteza e definir
como ela pode interferir no esforço para gerar valor às partes interessadas.

Incertezas representam riscos e oportunidades que têm potencial para destruir

ou agregar valor. A gestão de riscos corporativos possibilita aos
administradores tratar com eficácia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar
valor.

Uma iniciativa bem-sucedida de gestão de riscos corporativos pode afetar a

probabilidade e o impacto de possíveis riscos, assim como proporcionar
benefícios relacionados a decisões estratégicas mais bem fundamentadas,
processos de mudança bem-sucedidos e aumento da eficiência operacional.

Outros benefícios incluem a redução do custo do capital, relatórios financeiros

mais precisos, vantagem competitiva, melhoria da percepção da organização,
melhor presença de mercado e, no caso de organizações de serviço público,
aprimoramento no apoio político e comunitário.

Em um processo de gestão de riscos podem existir várias etapas e atividades.

Mas o ciclo de vida completo da gestão de riscos pode ser resumido em
apenas 5 delas, que são a base para os principais regulamentos de gestão de
riscos, incluindo o COSO e a ISO 31000. São elas:

1. Identificação

O ponto de partida é descobrir os riscos e defini-los com algum detalhamento e

em um formato estruturado.

2. Avaliação

Os riscos são avaliados quanto a probabilidade e o impacto de sua ocorrência.

3. Tratamento

Uma abordagem para o tratamento de cada risco deve ser definida, que em
alguns casos pode ser não fazer nada. Isso requer uma análise da
aceitabilidade do risco, podendo requerer um plano de ação para prevenir,
reduzir ou transferir o risco.

4. Monitoramento

Um processo contínuo de revisão é essencial para uma gestão de riscos

proativa, reavaliando os riscos e monitorando a situação dos tratamentos e
controles implementados.

5. Comunicação

A comunicação em cada uma destas quatro etapas anteriores é parte

fundamental para um processo de tomada de decisão efetivo na gestão de
riscos.