Você está na página 1de 30

Norma NP

ISO 31000

Portuguesa 2013

Gestão do risco
Princípios e linhas de orientação
(ISO 31000:2009)

Management du risque
Principes et lignes directrices
(ISO 31000:2009)

Risk management

o
ida nic
Principles and guidelines
(ISO 31000:2009)
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr

ICS HOMOLOGAÇÃO
Im

03.100.01 Termo de Homologação n.º 47/2013, de 2013-02-20


A presente Norma resulta da revisão da NP ISO 31000:2012
(Ed. 1)

CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da ISO 31000:2009 CT 180 (APQ)

2ª EDIÇÃO
fevereiro de 2013

CÓDIGO DE PREÇO
X008

 IPQ reprodução proibida

Rua António Gião, 2


2829-513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 948 101


E-mail: ipq@ipq.pt Internet: www.ipq.pt
Preâmbulo nacional
A presente Norma é idêntica à Norma ISO 31000:2009, “Risk management – Principles and guidelines”.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos análogos. A ISO não deve ser considerada responsável por não ter
identificado tais direitos de propriedade intelectual nem por não ter avisado da sua existência.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete da gestão técnica da ISO relativo à Gestão
do risco.
Esta Norma contém cor. A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta
Norma.
A presente Norma foi preparada pela Comissão Técnica de Normalização CT 180 “Gestão do risco”, cuja
coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa para a
Qualidade (ONS/APQ).
A revisão da NP ISO 31000:2012 constante nesta Norma refere-se à formatação e às correções

o
editorais.

ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im
NP
ISO 31000
2013

p. 3 de 30

Sumário Página

Preâmbulo nacional.................................................................................................................................... 2
Introdução ................................................................................................................................................... 5
1 Objetivo e campo de aplicação ............................................................................................................... 8
2 Termos e definições ................................................................................................................................. 8
3 Princípios.................................................................................................................................................. 13

o
4 Estrutura .................................................................................................................................................. 15

ida nic
4.1 Generalidades ......................................................................................................................................... 15

oib tró
4.2 Mandato e compromisso ........................................................................................................................ 16
pr lec
4.3 Conceção da estrutura para gerir o risco ................................................................................................ 16
ão o e

4.3.1 Compreensão da organização e do seu contexto ................................................................................. 16


uç ent

4.3.2 Estabelecimento da política da gestão do risco ................................................................................... 17


pr u m

4.3.3 Responsabilização ............................................................................................................................... 17


re doc
od

4.3.4 Integração nos processos organizacionais ........................................................................................... 17


IP de

4.3.5 Recursos .............................................................................................................................................. 18


© sã o
Q

4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos ............................................... 18


es

4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos .............................................. 18


pr

4.4 Implementação da gestão do risco.......................................................................................................... 19


Im

4.4.1 Implementação da estrutura para gerir o risco..................................................................................... 19


4.4.2 Implementação do processo da gestão do risco ................................................................................... 19
4.5 Monitorização e revisão da estrutura ...................................................................................................... 19
4.6 Melhoria contínua da estrutura ............................................................................................................... 19
5 Processo .................................................................................................................................................... 20
5.1 Generalidades ......................................................................................................................................... 20
5.2 Comunicação e consulta ......................................................................................................................... 20
5.3 Estabelecimento do contexto .................................................................................................................. 21
5.3.1 Generalidades ...................................................................................................................................... 21
5.3.2 Estabelecimento do contexto externo .................................................................................................. 21
NP
ISO 31000
2013

p. 4 de 30

5.3.3 Estabelecimento do contexto interno................................................................................................... 22


5.3.4 Estabelecimento do contexto do processo da gestão do risco ............................................................. 22
5.3.5 Definição dos critérios do risco ........................................................................................................... 23
5.4 Apreciação do risco ................................................................................................................................ 23
5.4.1 Generalidades ...................................................................................................................................... 23
5.4.2 Identificação do risco .......................................................................................................................... 23
5.4.3 Análise do risco ................................................................................................................................... 24

o
ida nic
5.4.4 Avaliação do risco ............................................................................................................................... 25

oib tró
5.5 Tratamento do risco ................................................................................................................................ 25
pr lec
5.5.1 Generalidades ...................................................................................................................................... 25
ão o e

5.5.2 Seleção de opções de tratamento do risco ........................................................................................... 25


uç ent

5.5.3 Preparação e implementação dos planos de tratamento do risco......................................................... 26


pr u m

5.6 Monitorização e revisão ......................................................................................................................... 26


re doc

5.7 Registo do processo da gestão do risco .................................................................................................. 27


od
IP de

Anexo A (informativo) Atributos da gestão do risco reforçada .............................................................. 28


Bibliografia ................................................................................................................................................. 30
© sã o
Q
es
pr
Im
NP
ISO 31000
2013

p. 5 de 30

Introdução
As organizações de todos os tipos e dimensões enfrentam fatores e influências, internos e externos, que
tornam incerto se, e quando, atingirão os seus objetivos. O efeito que esta incerteza tem nos objetivos de
uma organização designa-se por “risco”.
Todas as atividades de uma organização envolvem risco. As organizações gerem o risco mediante a sua
identificação e análise, após o que avaliam a necessidade da sua alteração, tratando-o de forma a satisfazer
os seus critérios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que estão a alterá-lo, de forma a assegurarem que não
é necessário um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processo
sistemático e lógico.

o
ida nic
Apesar de todas as organizações gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princípios que deverão ser cumpridos de modo a tornar eficaz a gestão do risco. Esta Norma recomenda que

oib tró
as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo é
pr lec
integrar o processo para gerir o risco na governação, estratégia e planeamento, gestão, processos de reporte,
políticas, valores e cultura.
ão o e

A gestão do risco pode ser aplicada a uma organização na sua globalidade, nas suas diversas áreas e níveis,
uç ent

a qualquer momento, bem como a funções, projetos e atividades específicos.


Se bem que a prática da gestão do risco tenha vindo a ser desenvolvida ao longo do tempo e em vários
pr u m

sectores de modo a responder a necessidades diversas, a adoção de processos consistentes numa estrutura
re doc

abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od

toda a organização. A abordagem genérica descrita nesta Norma fornece os princípios e as linhas de
orientação para a gestão de qualquer tipo de risco de modo sistemático, transparente e credível, qualquer
IP de

que seja o âmbito e o contexto.


© sã o

Cada setor específico ou aplicação particular da gestão do risco implicam necessidades, públicos, perceções
Q

e critérios próprios. Por esta razão uma característica essencial desta Norma é a inclusão do
es

“estabelecimento do contexto” como a atividade inicial do processo genérico da gestão do risco. O


pr

estabelecimento do contexto vai permitir apreender os objetivos da organização, o ambiente em que procura
atingi-los, as suas partes interessadas e a diversidade dos critérios do risco – que na sua globalidade
Im

ajudarão a identificar e apreciar a natureza e complexidade dos seus riscos.


As relações entre os princípios para a gestão do risco, a estrutura onde esta ocorre e o processo da gestão do
risco descritos nesta Norma estão representados na Figura 1.
A implementação e manutenção da gestão do risco de acordo com esta Norma permitem a uma
organização, por exemplo:
− aumentar a verosimilhança de atingir os seus objetivos;
− encorajar a gestão proativa;
− estar ciente da necessidade de identificar e tratar o risco em toda a organização;
− melhorar a identificação das oportunidades e ameaças;
− cumprir as obrigações legais e regulamentares e normas internacionais aplicáveis;
− melhorar os relatos obrigatórios e voluntários;
− melhorar a governação;
− aumentar a confiança das partes interessadas e a credibilidade da organização;
NP
ISO 31000
2013

p. 6 de 30

− estabelecer uma base fiável para tomada de decisões e planeamento;


− melhorar os controlos;
− afetar e utilizar os recursos no tratamento do risco de forma eficaz;
− melhorar a eficácia e a eficiência operacionais;
− reforçar o desempenho no domínio da segurança e saúde, bem como na proteção ambiental;
− melhorar a prevenção de perdas e a gestão de incidentes;
− minimizar as perdas;
− melhorar a aprendizagem organizacional;

o
ida nic
− melhorar a resiliência organizacional.

oib tró
Esta Norma pretende responder às necessidades de uma grande diversidade de partes interessadas,
pr lec
incluindo:
ão o e

a) os responsáveis pela elaboração da política da gestão do risco dentro da sua organização;


b) as pessoas encarregadas de assegurar que o risco é gerido eficazmente na organização como um todo, ou
uç ent

numa área, projeto ou atividade específicos;


pr u m

c) as pessoas que necessitam de avaliar a eficácia da organização para gerir o risco;


re doc

d) os que elaboram normas, guias, procedimentos e regras de boas práticas, que definem, total ou
od

parcialmente, como deverá ser gerido o risco no contexto específico destes documentos.
IP de

As práticas e processos atuais da gestão de muitas organizações incluem componentes da gestão do risco,
tendo muitas organizações já adotado um processo formal da gestão do risco, para determinados tipos de
© sã o

risco ou circunstâncias particulares. Nestes casos, uma organização pode decidir realizar uma revisão crítica
Q

dos seus processos e práticas existentes à luz desta Norma.


es

Nesta Norma os termos ou expressões “gestão do risco” e “gerir o risco” são ambos utilizados. Em geral a
pr

“gestão do risco” refere-se à arquitetura (princípios, estrutura e processo) para gerir os riscos com eficácia,
Im

enquanto que “gerir o risco” se refere à aplicação dessa arquitetura a riscos particulares.
a) Cria valor

b) Parte integrante de todos os Mandato e


processos organizacionais compromisso
(4.2)
Estabelecimento do contexto
c) Parte da tomada de decisão Im (5.3)

d) Considera explicitamente a
pr
incerteza Apreciação do risco (5.4)
es
Conceção da estrutura
e) Sistemática, estruturada e © sã o para gerir o risco
atempada IP de (4.3) Identificação do risco (5.4.2)

f) Baseia-se na melhor
Q
informação disponível
re doc
Melhoria Implementação
pr u m
g) Feita à medida contínua da da gestão do risco Análise do risco (5.4.3)
od
estrutura (4.4)
h) Tem em conta fatores (4.6)
uç ent
humanos e culturais
ão o e

Comunicação e consulta (5.2)


i) Transparente e participada
Monitorização e revisão (5.6)

pr lec
Monitorização e revisão (5.6)

Avaliação do risco (5.4.4)


oib tró
j) Dinâmica, iterativa e reativa Monitorização
à mudança
ida nic
e revisão da o
estrutura (4.5)
k) Facilita a melhoria contínua
e a melhoria da organização Tratamento do risco (5.5)

Princípios
(secção 3) Estrutura
(secção 4) Processo
(secção 5)
NP

Figura 1 – Relações entre os princípios, a estrutura e o processo da gestão do risco


2013
ISO 31000

p. 7 de 30
NP
ISO 31000
2013

p. 8 de 30

1 Objetivo e campo de aplicação


Esta Norma fornece princípios e linhas de orientação gerais sobre a gestão do risco.
A presente Norma pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação,
grupo ou indivíduo. Por esta razão a presente Norma não é específica de qualquer indústria ou setor.
NOTA: Por conveniência, todos os utilizadores da presente Norma são referidos pelo termo genérico de “organização”.

A presente Norma pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de
atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e
ativos.
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as

o
ida nic
consequências sejam positivas ou negativas.
Apesar da presente Norma fornecer linhas de orientação gerais, não se destina a promover a uniformidade

oib tró
da gestão do risco nas organizações. A conceção e a implementação dos planos e estruturas da gestão do
pr lec
risco necessitarão de ter em conta as diversas necessidades de uma organização específica, dos seus
objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ativos e práticas
ão o e

específicas utilizadas.
uç ent

Pretende-se que esta Norma seja utilizada na harmonização dos processos da gestão do risco em normas
existentes e futuras. A presente Norma permite uma abordagem comum de apoio às normas relativas a
pr u m

riscos e/ou setores específicos, não as substituindo.


re doc

A presente Norma não se destina a fins de certificação.


od

2 Termos e definições
IP de
© sã o

Para os fins da presente Norma aplicam-se os seguintes termos e definições:


Q
es

2.1 risco
Efeito da incerteza na consecução dos objetivos.
pr
Im

NOTA 1: Um efeito é um desvio, positivo ou negativo, relativamente ao esperado.


NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de saúde e segurança, ambientais, entre outros) e podem ser
aplicados a diferentes níveis (estratégico, em toda a organização, de projeto, de produto e de processo).
NOTA 3: O risco é frequentemente caracterizado pela referência aos eventos (2.17) potenciais e consequências (2.18), ou à
combinação de ambos.
NOTA 4: O risco é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das
circunstâncias) e a respetiva probabilidade (2.19) de ocorrência.
NOTA 5: A incerteza é o estado, ainda que parcial, de deficiência de informação relacionado com a compreensão ou
conhecimento de um evento, sua consequência ou probabilidade.

[Guia ISO 73:2009, definição 1.1]

2.2 gestão do risco


Atividades coordenadas para dirigir e controlar uma organização no que respeita ao risco (2.1).
[Guia ISO 73:2009, definição 2.1]
NP
ISO 31000
2013

p. 9 de 30

2.3 estrutura da gestão do risco


Conjunto de elementos que fornecem os fundamentos e disposições organizacionais, para conceber,
implementar, monitorizar (2.28), rever e melhorar continuamente a gestão do risco (2.2), em toda a
organização.
NOTA 1: Os fundamentos incluem a política, os objetivos, o mandato e o compromisso para gerir o risco (2.1).
NOTA 2: As disposições organizacionais incluem os planos, as relações, a responsabilização, os recursos, os processos e as
atividades.
NOTA 3: A estrutura da gestão do risco é parte integrante das políticas estratégicas e operacionais globais e das práticas da
organização.

[Guia ISO 73:2009, definição 2.1.1]

o
ida nic
2.4 política da gestão do risco
Declaração das intenções gerais e da orientação de uma organização em relação à gestão do risco (2.2).
[Guia ISO 73:2009, definição 2.1.2]
oib tró
pr lec
ão o e

2.5 atitude face ao risco


Abordagem da organização para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco (2.1).
uç ent

[Guia ISO 73:2009, definição 3.7.1.1]


pr u m

2.6 plano da gestão do risco


re doc

Programa incluído na estrutura da gestão do risco (2.2) que especifica a abordagem, os componentes da
od

gestão e os recursos a aplicar à gestão do risco (2.1).


IP de

NOTA 1: Os elementos da gestão incluem tipicamente os procedimentos, as práticas, a atribuição de responsabilidades, a


sequência e a calendarização das atividades.
© sã o

NOTA 2: O plano da gestão do risco poderá ser aplicado a um produto, processo ou projeto específicos, a parte ou à totalidade de
Q

uma organização.
es

[Guia ISO 73:2009, definição 2.1.3]


pr
Im

2.7 dono do risco


Pessoa ou entidade com a responsabilização e com a autoridade para gerir o risco (2.1).
[Guia ISO 73:2009, definição 3.5.1.5]

2.8 processo da gestão do risco


Aplicação sistemática de políticas, procedimentos e práticas da gestão às atividades de comunicação,
consulta, estabelecimento do contexto e identificação, análise, avaliação, tratamento, monitorização (2.28)
e revisão do risco (2.1).
[Guia ISO 73:2009, definição 3.1]

2.9 estabelecimento do contexto


Definição dos parâmetros externos e internos a ter em consideração quando se gere o risco e se define o
âmbito e o critério do risco (2.22), para a política da gestão do risco (2.4).
[Guia ISO 73:2009, definição 3.3.1]
NP
ISO 31000
2013

p. 10 de 30

2.10 contexto externo


Ambiente externo no qual a organização procura atingir os seus objetivos.
NOTA: O contexto externo pode incluir:
− o ambiente cultural, social, político, legal, regulamentar, financeiro, tecnológico, económico, natural e concorrencial, a nível
internacional, nacional, regional ou local;
− os fatores chave e tendências com impacto nos objetivos da organização; e
− as relações com as partes interessadas (2.13) externas, as suas perceções e valores.

[Guia ISO 73:2009, definição 3.3.1.1]

2.11 contexto interno

o
Ambiente interno no qual a organização procura atingir os seus objetivos.

ida nic
NOTA: O contexto interno pode incluir:

oib tró
− a governação, a estrutura organizacional, as funções e a responsabilização;
pr lec
− as políticas, os objetivos e as estratégias implementadas para os atingir;
− as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
ão o e

− os sistemas de informação, os fluxos de informação e processos de tomada de decisão (formais e informais);


uç ent

− as relações com as partes interessadas internas, as suas perceções e valores;


− a cultura da organização;
pr u m

− as normas, linhas de orientação e modelos adotados pela organização;


re doc

− a forma e extensão das relações contratuais.


od

[Guia ISO 73:2009, definição 3.3.1.2]


IP de

2.12 comunicação e consulta


© sã o
Q

Processos contínuos e iterativos que uma organização conduz de forma a fornecer, partilhar ou obter
informações, e para se envolver em diálogo com as partes interessadas (2.13), no que respeita à gestão do
es

risco (2.1).
pr

NOTA 1: A informação pode estar relacionada com a existência, natureza, forma, verosimilhança (2.19), significância, avaliação,
Im

aceitabilidade, tratamento ou outros aspetos da gestão do risco.


NOTA 2: A consulta é um processo de comunicação informada nos dois sentidos entre uma organização e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma decisão ou ser definida uma orientação sobre esse assunto. A
consulta é:
− um processo que causa impacto na decisão mais pela influência do que pelo poder, e;
− um contributo para a tomada de decisão, não uma tomada de decisão conjunta.

[Guia ISO 73:2009, definição 3.2.1]

2.13 partes interessadas


Pessoa ou organização que pode afetar, ser afetada ou sentir-se afetada por uma decisão ou atividade.
NOTA: Quem exerce o poder de decisão pode ser uma parte interessada.

[Guia ISO 73:2009, definição 3.2.1.1]

2.14 apreciação do risco


Processo global de identificação do risco (2.15), de análise do risco (2.21) e de avaliação do risco (2.24).
[Guia ISO 73:2009, definição 3.4.1]
NP
ISO 31000
2013

p. 11 de 30

2.15 identificação do risco


Processo de pesquisa, de reconhecimento e de descrição dos riscos (2.1).
NOTA 1: A identificação do risco envolve a identificação das fontes do risco (2.16), dos eventos (2.17), respetivas causas e
potenciais consequências (2.18).
NOTA 2: A identificação do risco pode recorrer a dados históricos, a análises teóricas, a opiniões informadas e de especialistas e
ter em consideração as necessidades das partes interessadas (2.13).

[Guia ISO 73:2009, definição 3.5.1]

2.16 fonte do risco


O elemento que, por si só ou em combinação com outros, tem o potencial intrínseco de originar um risco
(2.1).

o
ida nic
NOTA: Uma fonte do risco pode ser tangível ou intangível.

oib tró
[Guia ISO 73:2009, definição 3.5.1.2]
pr lec
2.17 evento
ão o e

Ocorrência ou alteração de um conjunto particular de circunstâncias.


NOTA 1: Um evento pode consistir numa ou mais ocorrências, e pode ter várias causas.
uç ent

NOTE 2: Um evento pode consistir em algo que não ocorra.


pr u m

NOTE 3: Um evento pode algumas vezes ser referido como um “incidente” ou “acidente”.
re doc

NOTE 4: Um evento sem consequências (2.18) pode também ser referido como “quase acidente”, “incidente” ou “quase
od

sucesso”.

[Guia ISO 73:2009, definição 3.5.1.3]


IP de
© sã o

2.18 consequência
Q

Resultado de um evento (2.17) que afeta objetivos.


es

NOTA 1: Um evento pode levar a um conjunto de consequências.


pr

NOTA 2: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
Im

NOTA 3: As consequências pode ser expressas qualitativa ou quantitativamente.


NOTA 4: As consequências iniciais pode intensificar-se através de reações em cadeia.

[Guia ISO 73:2009, definição 3.6.1.3]

2.19 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gestão do risco, a palavra verosimilhança é utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemáticos [como uma probabilidade (2.19) ou uma frequência num determinado período de
tempo].
NOTA 2: O termo inglês “likelihood” (verosimilhança) não tem uma equivalência direta em algumas línguas; em vez disso, é
frequentemente utilizado como termo equivalente “probability” (probabilidade). No entanto, em inglês, o termo “probability” está
muitas vezes limitado à sua interpretação matemática. Por consequência, na terminologia da gestão do risco, o termo “likelihood”
é utilizado com a finalidade de que deverá ter a mesma interpretação lata que o termo “probability” tem, em muitas outras línguas
que não o inglês.

[Guia ISO 73:2009, definição 3.6.1.1]


NP
ISO 31000
2013

p. 12 de 30

2.20 perfil do risco


Descrição de um qualquer conjunto de riscos (2.1).
NOTA: O conjunto de riscos pode incluir os riscos que digam respeito a toda a organização, a parte da organização ou ao que
estiver definido.

[Guia ISO 73:2009, definição 3.8.2.5]

2.21 análise do risco


Processo destinado a compreender a natureza do risco (2.1) e a determinar o nível do risco (2.23).
NOTA 1: A análise do risco fornece a base para a avaliação do risco (2.24) e as decisões sobre o tratamento do risco (2.25).
NOTA 2: A análise do risco inclui a estimação do risco.

o
ida nic
[Guia ISO 73:2009, definição 3.6.1]

oib tró
2.22 critérios do risco
Termos de referência em relação aos quais a significância de um risco (2.1) é avaliada.
pr lec
NOTA 1: Os critérios do risco são baseados nos objetivos da organização e nos contextos externo (2.10) e interno (2.11).
ão o e

NOTA 2: Os critérios do risco podem resultar de normas, leis, políticas e de outros requisitos.
uç ent

[Guia ISO 73:2009, definição 3.3.1.3]


pr u m

2.23 nível do risco


re doc

Magnitude de um risco (2.1) ou combinação de riscos, expressa em termos da combinação de


od

consequências (2.18) e respetivas verosimilhanças (2.19).


IP de

[Guia ISO 73:2009, definição 3.6.1.8]


© sã o

2.24 avaliação do risco


Q

Processo de comparação dos resultados da análise do risco (2.21) com os critérios do risco (2.22) para
es

determinar se o risco (2.1) e/ou a respetiva magnitude é aceitável ou tolerável.


pr

NOTA: A avaliação do risco apoia a decisão sobre o tratamento do risco (2.25).


Im

[Guia ISO 73:2009, definição 3.7.1]

2.25 tratamento do risco


Processo para modificar o risco (2.1).
NOTA 1: O tratamento do risco pode envolver o seguinte:
− evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco;
− assumir ou aumentar o risco de forma a perseguir uma oportunidade;
− remover a fonte do risco (2.16);
− alterar a verosimilhança (2.19);
− alterar as consequências (2.18);
− partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
− reter o risco com base em decisão informada.
NOTA 2: Os tratamentos do risco que lidam com consequências negativas, são por vezes referidos como “mitigação do risco”,
“eliminação do risco”, “prevenção do risco” e “redução do risco”.
NP
ISO 31000
2013

p. 13 de 30

NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.

[Guia ISO 73:2009, definição 3.8.1]

2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, política, dispositivo, prática ou outra ação que modifique o risco.
NOTA 2: O controlo poderá nem sempre produzir o efeito modificador pretendido ou assumido.

[Guia ISO 73:2009, definição 3.8.1.1]

2.27 risco residual

o
Risco (2.1) que subsiste após o tratamento do risco (2.25).

ida nic
NOTA 1: Um risco residual pode incluir um risco não identificado.

oib tró
NOTA 2: Um risco residual pode também ser designado como “risco retido”.
pr lec
[Guia ISO 73:2009, definição 3.8.1.6]
ão o e

2.28 monitorização
uç ent

Verificação, supervisão, observação crítica ou a determinação do estado, de modo a identificar


continuadamente alterações do nível de desempenho requerido ou esperado.
pr u m

NOTA: A monitorização pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao
re doc

risco (2.1) ou ao controlo (2.26) do risco.


od

[Guia ISO 73:2009, definição 3.8.2.1]


IP de

2.29 revisão
© sã o

Atividade levada a cabo para determinar a adaptação, adequação e a eficácia, da matéria visada para atingir
Q

os objetivos estabelecidos.
es

NOTA: A revisão pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao risco ou
ao controlo (2.26) de um risco.
pr
Im

[Guia ISO 73:2009, definição 3.8.2.2]

3 Princípios
Para que a gestão do risco seja eficaz, uma organização deverá, a todos os níveis, atuar em conformidade
com os princípios abaixo referidos.
a) A gestão do risco cria e protege o valor.
A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho,
como por exemplo, na saúde e segurança, security*), na conformidade legal e regulamentar, na aceitação
pública, na proteção ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das
operações, na governação e reputação.

*)
“security” no original em inglês, pode entender-se fundamentalmente como “proteção e preservação das pessoas, bens e
informação quer tangível quer intangível” (nota nacional).
NP
ISO 31000
2013

p. 14 de 30

b) A gestão do risco é parte integrante de todos os processos organizacionais.


A gestão do risco não é uma atividade isolada, separada das atividades principais e dos processos da
organização. A gestão do risco faz parte das responsabilidades da gestão e é uma parte integrante de
todos os processos organizacionais, incluindo o planeamento estratégico e todos os processos da gestão
de projetos e da gestão da mudança.
c) A gestão do risco é parte da tomada de decisão.
A gestão do risco apoia os decisores na escolha informada, na priorização das ações e na diferenciação
entre linhas de ação alternativas.
d) A gestão do risco considera explicitamente a incerteza.

o
A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como

ida nic
pode ser considerada.

oib tró
e) A gestão do risco é sistemática, estruturada e atempada.
pr lec
Uma abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e
ão o e

para resultados consistentes, comparáveis e fiáveis.


f) A gestão do risco baseia-se na melhor informação disponível.
uç ent

As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como dados
pr u m

históricos, experiência, retorno da informação das partes interessadas, observações, previsões e


pareceres de especialistas. No entanto, os decisores deverão informar-se e ter em conta quaisquer
re doc

limitações dos dados ou modelos utilizados ou a possibilidade de existência de divergências entre


od

especialistas.
IP de

g) A gestão do risco é feita à medida.


© sã o

A gestão do risco é alinhada com os contextos externo e interno e com o perfil do risco da organização.
Q

h) A gestão do risco tem em conta fatores humanos e culturais.


es
pr

A gestão do risco reconhece as competências, perceções e intenções de pessoas externas e internas à


organização que possam facilitar ou impedir a consecução dos objetivos da organização.
Im

i) A gestão do risco é transparente e participada.


O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os
níveis da organização, assegura que a gestão do risco permanece pertinente e atualizada. O
envolvimento permite também, que as partes interessadas sejam devidamente representadas e que os
seus pontos de vista sejam tidos em conta na determinação dos critérios do risco.
j) A gestão do risco é dinâmica, iterativa e reativa à mudança.
A gestão do risco deteta e responde, continuamente, à mudança. À medida que ocorrem eventos
externos e internos, que o contexto e o conhecimento se alteram e que têm lugar a monitorização e a
revisão, emergem novos riscos, alguns alteram-se e outros desaparecem.
k) A gestão do risco facilita a melhoria contínua da organização.
As organizações deverão elaborar e implementar estratégias visando melhorar a maturidade da sua
gestão do risco, assim como em todos os outros aspetos da organização.
O Anexo A disponibiliza aconselhamento suplementar para as organizações que desejem gerir o risco
de forma mais eficaz.
NP
ISO 31000
2013

p. 15 de 30

4 Estrutura

4.1 Generalidades
O sucesso da gestão do risco dependerá da eficácia da estrutura da gestão em fornecer os fundamentos e as
disposições que permitem a sua integração em todos os níveis da organização. A estrutura apoia uma gestão
eficaz dos riscos no decurso da aplicação do processo da gestão do risco (ver secção 5), em diferentes níveis
e em contextos específicos da organização. A estrutura garante que a informação sobre o risco que decorre
do processo da gestão do risco é corretamente reportada e serve de base à tomada de decisão e à
responsabilização a todos os níveis da organização envolvidos.
Esta secção descreve as componentes necessárias da estrutura para gerir o risco e a forma como se

o
ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.

oib tró
Mandato e compromisso (4.2)
pr lec
ão o e
uç ent

Conceção da estrutura para gerir o risco (4.3)


pr u m

Compreensão da organização e do seu contexto (4.3.1)


re doc

Estabelecimento da política da gestão do risco (4.3.2)


od

Responsabilização (4.3.3)
IP de

Integração nos processos organizacionais (4.3.4)


© sã o

Recursos (4.3.5)
Q

Estabelecimento de mecanismos de comunicação e de relato


es

internos (4.3.6)
pr

Estabelecimento de mecanismos de comunicação e de relato


Im

externos (4.3.7)

Melhoria contínua da
Implementação da gestão do risco (4.4)
estrutura (4.6)
Implementação da estrutura para gerir o
risco (4.4.1)
Implementação do processo da gestão
do risco (4.4.2)

Monitorização e revisão da estrutura (4.5)

Figura 2 – Relações entre as componentes da estrutura para gerir o risco


NP
ISO 31000
2013

p. 16 de 30

Esta estrutura não se destina a prescrever um sistema de gestão, mas sim a apoiar a organização, a integrar a
gestão do risco na globalidade do seu sistema de gestão. As organizações deverão, portanto, adaptar as
componentes da estrutura às suas necessidades específicas.
Se as práticas e processos da gestão existentes numa organização incluem componentes da gestão do risco,
ou se a organização já adotou um processo formal da gestão do risco para tipos de situações ou de riscos
específicos, então estes deverão ser revistos de forma crítica e apreciados face à presente Norma, incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequação e eficácia.

4.2 Mandato e compromisso


A introdução da gestão do risco e assegurar a sua contínua eficácia requerem um compromisso forte e

o
sustentado por parte da gestão de topo da organização, bem como um planeamento estratégico e rigoroso

ida nic
para conduzir a um compromisso a todos os níveis. A gestão de topo deverá:

oib tró
− definir e aprovar a política da gestão do risco;
pr lec
− assegurar que a cultura da organização e a sua política da gestão do risco estão alinhadas;
ão o e

− determinar indicadores de desempenho da gestão do risco coerentes com os indicadores de desempenho


da organização;
uç ent

− alinhar os objetivos da gestão do risco com os objetivos e estratégias da organização;


pr u m

− assegurar a conformidade legal e regulamentar;


re doc

− atribuir responsabilizações e responsabilidades aos níveis apropriados da organização;


od

− assegurar que os recursos necessários são alocados à gestão do risco;


IP de

− comunicar as vantagens da gestão do risco a todas as partes interessadas;


© sã o
Q

− assegurar que a estrutura para gerir o risco se mantém apropriada.


es
pr

4.3 Conceção da estrutura para gerir o risco


Im

4.3.1 Compreensão da organização e do seu contexto


Antes de iniciar a conceção e implementação da estrutura para gerir o risco, é importante avaliar e
compreender o contexto interno e externo da organização, dado que podem influenciar significativamente a
conceção da estrutura.
A avaliação do contexto externo de uma organização poderá incluir, nomeadamente:
a) envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural e
competitiva, quer ao nível internacional, nacional, regional ou local;
b) fatores chave e tendências que tenham impacto sobre os objetivos da organização;
c) relações com as partes interessadas externas, suas perceções e seus valores.
A avaliação do contexto interno de uma organização poderá incluir, nomeadamente:
− governação, estrutura organizacional, funções e responsabilizações;
− políticas, objetivos e as estratégias implementadas para os alcançar;
NP
ISO 31000
2013

p. 17 de 30

− capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
− sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− relações com as partes interessadas internas, suas perceções e seus valores;
− cultura da organização;
− normas, linhas de orientação e modelos adotados pela organização;
− forma e extensão das relações contratuais.

o
4.3.2 Estabelecimento da política da gestão do risco

ida nic
A política da gestão do risco deverá estabelecer de forma clara os objetivos e o compromisso da

oib tró
organização, em matéria da gestão do risco e tipicamente aborda o seguinte:
− a fundamentação da organização para gerir o risco;
pr lec
− ligações entre os objetivos e as políticas da organização e a política da gestão do risco;
ão o e

− responsabilizações e responsabilidades para gerir o risco;


uç ent

− a forma como se lida com os conflitos de interesses;


pr u m

− compromisso em disponibilizar os recursos necessários para apoiar as pessoas responsabilizáveis e


re doc

responsáveis por gerir o risco;


od

− a forma como o desempenho da gestão do risco será medido e relatado;


IP de

− o compromisso para rever e melhorar a política e a estrutura da gestão do risco, periodicamente e em


© sã o

resposta a um evento ou alteração de circunstâncias.


Q

A política da gestão do risco deverá ser comunicada de forma apropriada.


es
pr

4.3.3 Responsabilização
Im

A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para
gerir o risco, incluindo implementar e manter o processo da gestão do risco e assegurar a adequação, a
eficácia e a eficiência de quaisquer controlos. Isto, poderá ser facilitado:
− identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos;
− identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para
gerir o risco;
− identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da
gestão do risco;
− estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a
um nível superior;
− assegurando níveis de reconhecimento apropriados.

4.3.4 Integração nos processos organizacionais


A gestão do risco deverá ser integrada em todos os processos e práticas da organização, de modo a ser
pertinente, eficaz e eficiente. O processo da gestão do risco deverá tornar-se parte e não ser separado desses
NP
ISO 31000
2013

p. 18 de 30

processos organizacionais. Em particular, a gestão do risco deverá ser integrada no desenvolvimento da


política, no planeamento estratégico e do negócio e na sua revisão, e nos processos da gestão da mudança.
Deverá existir um plano da gestão do risco para toda a organização de modo a assegurar que a política da
gestão do risco é implementada e que a gestão do risco é integrada em todos os processos e práticas da
organização. O plano da gestão do risco poderá ser integrado noutros planos organizacionais, como por
exemplo o plano estratégico.

4.3.5 Recursos
A organização deverá afetar os recursos necessários à gestão do risco.
Deverá ser tido em conta:

o
ida nic
− pessoas, aptidões, experiência e competências;

oib tró
− recursos necessários a cada etapa do processo da gestão do risco;
pr lec
− processos, métodos e ferramentas da organização a serem utilizados para gerir o risco;
ão o e

− processos e procedimentos documentados;


− sistemas da gestão da informação e do conhecimento;
uç ent

− programas de formação.
pr u m
re doc

4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos


od

A organização deverá estabelecer e implementar mecanismos de comunicação e de relato internos para


IP de

apoiar e encorajar a responsabilização e a apropriação do risco. Estes mecanismos deverão assegurar:


− a comunicação apropriada dos componentes chave da estrutura da gestão do risco e de qualquer
© sã o
Q

modificação subsequente;

es

a existência de relatos internos adequados, relativos à estrutura da gestão do risco, à sua eficácia e aos
seus resultados;
pr
Im

− a disponibilidade de informação pertinente, resultante da aplicação da gestão do risco, nos níveis e no


tempo apropriados;
− a existência de processos de consulta das partes interessadas internas.
Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações
relativas ao risco, provenientes de diversas fontes, e poderão ter necessidade de considerar a sensibilidade
da informação.

4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos


A organização deverá elaborar e implementar um plano, quanto ao modo como comunicará com as partes
interessadas externas. Tal deverá ter em consideração:
− o envolvimento das partes interessadas externas apropriadas e assegurar uma troca eficaz de
informação;
− os relatos externos para cumprimento dos requisitos legais, regulamentares e da governação;
− providenciar o retorno e o relato da comunicação e consulta;
− utilizar a comunicação para criar confiança na organização;
NP
ISO 31000
2013

p. 19 de 30

− comunicar com as partes interessadas na ocorrência de uma crise ou contingência.


Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações
relativas ao risco, provenientes de diversas fontes, e poderão ter necessidade de considerar a sensibilidade
da informação.

4.4 Implementação da gestão do risco

4.4.1 Implementação da estrutura para gerir o risco


Para a implementação da estrutura para gerir o risco, a organização deverá:
− definir um calendário apropriado e uma estratégia adequada para a implementação da estrutura;

o
ida nic
− aplicar a política e o processo da gestão do risco aos processos organizacionais;

oib tró
− cumprir os requisitos legais e regulamentares;
pr lec
− assegurar que a tomada de decisão, incluindo o desenvolvimento e estabelecimento dos objetivos, está
ão o e

alinhada com os resultados dos processos da gestão do risco;


− realizar sessões de informação e de formação;
uç ent

− comunicar e consultar com as partes interessadas, de modo a assegurar que a sua estrutura da gestão do
pr u m

risco se mantém apropriada.


re doc
od

4.4.2 Implementação do processo da gestão do risco


IP de

A gestão do risco deverá ser implementada, assegurando que o processo da gestão do risco descrito na
secção 5, é aplicado através de um plano da gestão do risco, a todos os níveis e funções da organização
© sã o

envolvidos, como parte das suas práticas e processos.


Q
es

4.5 Monitorização e revisão da estrutura


pr

De modo a assegurar que a gestão do risco é eficaz e continua a apoiar o desempenho organizacional, a
Im

organização deverá:
− medir o desempenho da gestão do risco face a indicadores revistos periodicamente, quanto à sua
adequação;
− medir periodicamente o progresso e os desvios em relação ao plano da gestão do risco;
− rever periodicamente se a estrutura, a política e o plano da gestão do risco continuam apropriados face ao
contexto interno e externo da organização;
− elaborar relatórios sobre o risco, o progresso do plano da gestão do risco e como a política da gestão do
risco é seguida;
− rever a eficácia da estrutura da gestão do risco.

4.6 Melhoria contínua da estrutura


As decisões sobre o modo como a estrutura, a política e o plano da gestão do risco deverão ser melhorados,
podem ser tomadas com base nos resultados da monitorização e das revisões. Estas decisões deverão
conduzir a melhorias da gestão do risco e da cultura da gestão do risco da organização.
NP
ISO 31000
2013

p. 20 de 30

5 Processo
5.1 Generalidades

O processo da gestão do risco deverá ser:

− uma parte integrante da gestão;


− integrado na cultura e práticas organizacionais;
− feito à medida dos processos de negócio da organização.

o
O processo da gestão do risco é ilustrado na Figura 3 e compreende as atividades descritas nas secções 5.2 a

ida nic
5.6.

oib tró
pr lec
Estabelecimento do contexto (5.3)
v
ão o e
uç ent

Apreciação do risco (5.4)


pr u m

Identificação do risco (5.4.2)


re doc
od

Comunicação e Monitorização e
IP de

consulta (5.2) revisão (5.6)


© sã o

Análise do risco (5.4.3)


Q
es
pr
Im

Avaliação do risco (5.4.4)

Tratamento do risco (5.5)

Figura 3 − Processo da gestão do risco

5.2 Comunicação e consulta


A comunicação com e a consulta às partes interessadas, internas e externas, deverão ocorrer durante todas
as fases do processo da gestão do risco.
Desta forma, os planos para comunicação e consulta deverão ser desenvolvidos numa fase inicial do
processo. Estes planos deverão abordar as questões relacionadas com o próprio risco, as suas causas, as suas
consequências (se conhecidas) e as medidas que estão a ser tomadas para o tratar. Uma eficaz comunicação
e consulta, interna e externa, deverá ter lugar de forma a assegurar que os responsáveis pela implementação
NP
ISO 31000
2013

p. 21 de 30

do processo da gestão do risco e as partes interessadas compreendem os fundamentos das decisões tomadas,
e as razões pelas quais são necessárias ações específicas.
Uma abordagem da consulta em equipa poderá:
− ajudar a estabelecer o contexto de forma apropriada;
− assegurar que os interesses das partes interessadas são compreendidos e considerados;
− ajudar a garantir que os riscos são identificados de forma adequada;
− reunir diferentes áreas de especialização para analisar riscos;
− assegurar que diferentes pontos de vista são considerados de forma apropriada na definição dos critérios

o
do risco e na avaliação dos riscos;

ida nic
− garantir a adesão e o apoio a um plano de tratamento do risco;

oib tró
− potenciar a gestão apropriada da mudança durante o processo da gestão do risco;
pr lec
− desenvolver um plano adequado de comunicação e consulta interna e externa.
ão o e

A comunicação e consulta com as partes interessadas são importantes, uma vez que estas produzem juízos
uç ent

sobre risco baseados nas suas perceções do risco. Estas perceções do risco podem variar devido a diferenças
nos valores, necessidades, pressupostos, conceitos e preocupações das partes interessadas. Dado que os seus
pr u m

pontos de vista podem ter um impacto significativo nas decisões tomadas, as perceções das partes
interessadas deverão ser identificadas, registadas e tidas em consideração no processo de tomada de
re doc

decisão.
od

A comunicação e a consulta deverão facilitar trocas de informação verdadeira, pertinente, precisa e


IP de

compreensível, respeitando os aspetos de confidencialidade e de integridade pessoal.


© sã o
Q

5.3 Estabelecimento do contexto


es

5.3.1 Generalidades
pr
Im

Através do estabelecimento do contexto, a organização enuncia os seus objetivos, define os parâmetros


internos e externos a ter em consideração quando se gere o risco, bem como o âmbito e os critérios do risco
para as restantes partes do processo. Se bem que muitos destes parâmetros sejam similares aos considerados
na conceção da estrutura da gestão do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo
da gestão do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o âmbito do processo específico da gestão do risco.

5.3.2 Estabelecimento do contexto externo


O contexto externo é o ambiente externo no qual a organização procura atingir os seus objetivos.
A compreensão do contexto externo é importante para assegurar que os objetivos e preocupações das partes
interessadas externas, são tidos em consideração aquando do desenvolvimento dos critérios do risco. O
contexto externo é baseado no contexto global da organização, mas com detalhes específicos dos exigências
legais e requisitos regulamentares, das perceções das partes interessadas e de outros aspetos específicos do
risco inerentes ao âmbito do processo da gestão do risco.
NP
ISO 31000
2013

p. 22 de 30

O contexto externo pode incluir, mas não se limita:


− às envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural
e competitiva, seja ao nível internacional, nacional, regional ou local;
− aos fatores chave e tendências com impacto nos objetivos da organização;
− às relações com as partes interessadas externas, suas perceções e valores.

5.3.3 Estabelecimento do contexto interno


O contexto interno é o ambiente interno no qual a organização procura atingir os seus objetivos.
O processo da gestão do risco deverá estar alinhado com a cultura, os processos, a estrutura e a estratégia da

o
organização. O contexto interno é tudo aquilo que no seio da organização pode influenciar a forma como a

ida nic
organização irá gerir o risco. O contexto interno deverá ser estabelecido, porque:

oib tró
a) a gestão do risco ocorre no contexto dos objetivos da organização;
pr lec
b) os objetivos e os critérios de um projeto, processo ou atividade específicos deverão ser considerados à
ão o e

luz dos objetivos da organização como um todo;


c) algumas organizações falham no reconhecimento de oportunidades para atingir os seus objetivos
uç ent

estratégicos, de um projeto ou negócio e tal afeta a continuidade do compromisso, da credibilidade, da


confiança e do valor da organização.
pr u m

É necessário compreender o contexto interno, o que, sem limitar, pode incluir:


re doc

− a governação, estrutura organizacional, funções e responsabilizações;


od

− as políticas, objetivos e as estratégias implementadas para os atingir;


IP de

− as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
© sã o
Q

processos, sistemas e tecnologias);


− as relações com as partes interessadas internas, suas perceções e valores;
es

− a cultura da organização;
pr
Im

− os sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e


informais);
− as normas, linhas de orientação e modelos adotados pela organização;
− a forma e extensão das relações contratuais.

5.3.4 Estabelecimento do contexto do processo da gestão do risco


Deverão ser estabelecidos os objetivos, as estratégias, o âmbito e os parâmetros das atividades da
organização, ou das partes da organização, onde o processo da gestão do risco está a ser aplicado. A gestão
do risco deverá ser desenvolvida com absoluta necessidade de justificar os recursos utilizados na sua
implementação. Deverão ser também especificados os recursos requeridos, as responsabilidades e
autoridades e os registos a manter.
O contexto do processo da gestão do risco irá variar de acordo com as necessidades da organização. Pode,
nomeadamente, incluir:
− a definição das metas e objetivos das atividades da gestão do risco;
− a definição das responsabilidades relativas ao processo da gestão do risco;
NP
ISO 31000
2013

p. 23 de 30

− a definição do âmbito, bem como, a profundidade e a amplitude das atividades da gestão do risco a
serem desenvolvidas, compreendendo inclusões e exclusões específicas;
− a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e local;
− a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos
ou atividades da organização;
− a definição das metodologias da apreciação do risco;
− a definição da forma como o desempenho e eficácia são avaliados na gestão do risco;
− a identificação e a especificação das decisões que têm que ser tomadas;
− a identificação, âmbito ou enquadramento dos estudos necessários, a sua extensão e objetivos, bem como

o
ida nic
os recursos necessários para tais estudos.

oib tró
A consideração destes e de outros fatores pertinentes, deverá assegurar que a abordagem da gestão do risco
adotada seja apropriada às circunstâncias, à organização e aos riscos que estão a afetar a consecução dos
pr lec
seus objetivos.
ão o e

5.3.5 Definição dos critérios do risco


uç ent

A organização deverá definir os critérios a serem utilizados para avaliar a significância do risco. Os
pr u m

critérios deverão refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser
impostos por, ou derivar de, exigências legais e requisitos regulamentares e outros requisitos subscritos pela
re doc

organização. Os critérios do risco deverão ser consistentes com a política da gestão do risco da organização
od

(ver 4.3.2), ser definidos no início de qualquer processo da gestão do risco e continuamente revistos.
IP de

Na definição dos critérios do risco, os fatores a considerar deverão incluir o seguinte:



© sã o

a natureza e tipos de causas e consequências que podem ocorrer e como são medidas;
Q

− o modo como será definida a verosimilhança;


es

− o intervalo de tempo associado à verosimilhança e/ou à(s) consequência(s);


pr

− o modo como é determinado o nível do risco;


Im

− os pontos de vista das partes interessadas;


− o nível a partir do qual o risco se torna aceitável ou tolerável;
− a consideração ou não de combinações de múltiplos riscos e, em caso afirmativo, como e quais as
combinações que deverão ser consideradas.

5.4 Apreciação do risco

5.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
NOTA: A ISO/IEC 31010 fornece orientação sobre técnicas de apreciação do risco.

5.4.2 Identificação do risco


A organização deverá identificar fontes do risco, áreas de impacto, eventos (incluindo alterações das
circunstâncias), respetivas causas e potenciais consequências. O objetivo desta etapa é gerar uma lista
abrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou
NP
ISO 31000
2013

p. 24 de 30

retardar a consecução dos objetivos. É importante identificar os riscos associados ao facto de não se
perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta
fase não será incluído em análise posterior.
A identificação deverá incluir os riscos cuja fonte esteja ou não sob controlo da organização, ainda que a
fonte ou causa do risco poderão não ser evidentes. A identificação do risco deverá incluir o exame das
reações em cadeia, incluindo os efeitos em cascata e cumulativos, de consequências particulares. Deverá
ainda considerar um domínio alargado de consequências, ainda que a fonte ou a causa do risco poderão não
ser evidentes. Assim como se identifica o que possa acontecer, é também necessário considerar possíveis
causas e cenários que mostrem quais as consequências que podem ocorrer. Todas as causas e consequências
significativas deverão ser consideradas.

o
A organização deverá utilizar técnicas e ferramentas de identificação de riscos que sejam adequadas aos

ida nic
seus objetivos e às suas capacidades, assim como aos riscos que enfrenta. Na identificação dos riscos é
importante dispor de informação pertinente e atualizada. Sempre que possível deverá ser considerada

oib tró
informação de base apropriada. Na identificação dos riscos deverão ser envolvidas as pessoas com o
pr lec
conhecimento adequado.
ão o e

5.4.3 Análise do risco


uç ent

A análise do risco implica desenvolver uma compreensão do risco. A análise do risco fornece uma entrada
para a avaliação do risco e para as decisões quanto à necessidade dos riscos serem tratados, e sobre as
pr u m

estratégias e métodos mais apropriados para o tratamento do risco. A análise do risco pode também fornecer
uma entrada para a tomada de decisões, onde as escolhas tenham que ser feitas e as opções envolvam
re doc
od

diferentes tipos e níveis do risco.


A análise do risco implica considerar as causas e fontes do risco, as suas consequências positivas e
IP de

negativas e a verosimilhança dessas consequências ocorrerem. Deverão ser identificados os fatores que
© sã o

afetam as consequências e a verosimilhança. O risco é analisado, determinando as consequências e as suas


Q

verosimilhanças e outros atributos do risco. Um evento pode ter múltiplas consequências e pode afetar
es

múltiplos objetivos. Os controlos existentes e a sua eficácia e eficiência, também deverão ser tidos em
consideração.
pr
Im

O modo como as consequências e a verosimilhança são expressas e o modo como são combinadas para
determinar um nível de risco, deverão refletir o tipo de risco, a informação disponível e o propósito para o
qual a saída da apreciação do risco é para ser utilizada. Tudo isto deverá ser consistente com os critérios do
risco. Também é importante considerar a interdependência dos diferentes riscos e suas fontes.
A confiança na determinação do nível do risco e a sua sensibilidade a condições prévias e pressupostos
deverão ser consideradas na análise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergência de opinião entre especialistas, incerteza, disponibilidade,
qualidade, quantidade e da continuada pertinência da informação ou limitações na modelação, deverão ser
declarados e podem ser realçados.
A análise do risco pode ser efetuada com graus de detalhe variáveis, dependendo do risco, da finalidade da
análise e da informação, dos dados e recursos disponíveis. A análise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinação destas, dependendo das circunstâncias.
As consequências e a sua verosimilhança podem ser determinadas pela modelação dos resultados de um
evento ou conjunto de eventos, por extrapolação a partir de estudos experimentais ou a partir de dados
disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Nalguns
casos é requerido mais do que um valor numérico ou descritor para especificar as consequências e a sua
verosimilhança para diferentes tempos, locais, grupos ou situações.
NP
ISO 31000
2013

p. 25 de 30

5.4.4 Avaliação do risco


A finalidade da avaliação do risco é apoiar a tomada de decisões, tendo por base os resultados da análise do
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementação do tratamento.
A avaliação do risco envolve a comparação do nível do risco identificado no decorrer do processo de
análise com os critérios do risco, aquando da consideração do contexto. Com base nesta comparação a
necessidade de tratamento pode ser considerada.
As decisões deverão ter em conta o contexto alargado do risco e incluir considerações sobre a tolerância dos
riscos suportados pelas partes, que não a organização que beneficia do risco. As decisões deverão ser
tomadas de acordo com as exigências legais, regulamentares e outros requisitos.

o
Em determinadas circunstâncias a avaliação do risco pode levar a uma decisão de efetuar análises

ida nic
adicionais. A avaliação do risco pode também levar à decisão de não efetuar o tratamento do risco, para
além de manter os controlos existentes. Esta decisão será influenciada pela atitude da organização face ao

oib tró
risco e pelos critérios do risco que foram estabelecidos.
pr lec
5.5 Tratamento do risco
ão o e

5.5.1 Generalidades
uç ent

O tratamento do risco implica a seleção de uma ou mais opções para modificar os riscos e a implementação
pr u m

dessas opções. Uma vez implementados, os tratamentos proporcionam ou modificam controlos.


re doc

O tratamento do risco implica um processo cíclico que inclui:


od

− apreciar um tratamento do risco;


IP de

− decidir se os níveis do risco residual são toleráveis;


© sã o

− se não forem toleráveis, gerar um novo tratamento do risco;


Q


es

apreciar a eficácia desse tratamento.


pr

As opções de tratamento do risco não têm que ser mutuamente exclusivas ou apropriadas em todas as
Im

circunstâncias. As opções podem incluir o seguinte:


a) evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
c) remover a fonte do risco;
d) alterar a verosimilhança;
e) alterar as consequências;
f) partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
g) reter o risco com base em decisão informada.

5.5.2 Seleção de opções de tratamento do risco


A seleção da opção de tratamento do risco mais apropriada implica comparar os custos e os esforços da sua
implementação com os benefícios resultantes, tendo em conta os requisitos legais, regulamentares e outros
tais como a responsabilidade social e a proteção do ambiente natural. As decisões deverão também ter em
conta os riscos cujo tratamento não é facilmente justificável por motivos económicos, por exemplo, riscos
graves (elevada consequência negativa) mas raros (baixa verosimilhança).
NP
ISO 31000
2013

p. 26 de 30

Diversas opções de tratamento podem ser consideradas e aplicadas individualmente ou de forma


combinada. A organização normalmente pode beneficiar da adoção de uma combinação de opções de
tratamento.
Ao selecionar as opções de tratamento do risco, a organização deverá considerar os valores e perceções das
partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as
opções de tratamento do risco possam ter impacto no risco de outras áreas da organização ou das partes
interessadas, todas deverão ser envolvidas na decisão. Embora igualmente eficazes, alguns tratamentos do
risco podem ser mais aceitáveis para algumas partes interessadas do que para outras.
O plano de tratamento deverá claramente identificar a ordem de prioridade de implementação dos
tratamentos individuais do risco.

o
ida nic
O tratamento do risco pode por si só introduzir riscos. A falha ou a ineficácia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorização deverá ser uma parte integrante do plano de

oib tró
tratamento do risco, de forma a garantir que as medidas permaneçam eficazes.
pr lec
O tratamento do risco pode também introduzir riscos secundários que precisam de ser apreciados, tratados,
monitorizados e revistos. Estes riscos secundários deverão ser incorporados no mesmo plano de tratamento
ão o e

do risco original e não tratados como novos riscos. A ligação entre os dois riscos deverá ser identificada e
mantida.
uç ent
pr u m

5.5.3 Preparação e implementação dos planos de tratamento do risco


O objetivo dos planos de tratamento do risco é documentar a forma como as opções de tratamento
re doc

escolhidas serão implementadas. A informação fornecida nos planos de tratamento deverá incluir:
od

− as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;
IP de

− os que são responsabilizados pela aprovação do plano e os responsáveis pela implementação do plano;
© sã o
Q

− as ações propostas;
es

− os requisitos de recursos incluindo contingências;


pr

− as medidas do desempenho e constrangimentos;


Im

− os requisitos de relato e monitorização;


− a calendarização e o cronograma.
Os planos de tratamento deverão ser integrados com os processos de gestão da organização e discutidos
com as partes interessadas apropriadas.
Os decisores e outras partes interessadas deverão estar cientes da natureza e dimensão do risco residual
após o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e,
onde apropriado, tratamento posterior.

5.6 Monitorização e revisão


A monitorização e a revisão deverão ser uma parte planeada do processo da gestão do risco e envolver
verificação ou vigilância regular. Pode ser periódica ou ad hoc.
As responsabilidades pela monitorização e revisão deverão estar claramente definidas.
Os processos de monitorização e revisão da organização deverão abranger todos os aspetos do processo da
gestão do risco com o objetivo de:
NP
ISO 31000
2013

p. 27 de 30

− assegurar que os controlos são eficazes e eficientes, quer na conceção, quer na operação;
− obter informação adicional para melhorar a apreciação do risco;
− analisar e aprender com os eventos (incluindo os quase-acidentes), mudanças, tendências, sucessos e
falhas;
− detetar alterações no contexto externo e interno, incluindo alterações aos critérios do risco e ao próprio
risco, que podem requerer a revisão dos tratamentos do risco e das prioridades;
− identificar os riscos emergentes.
O progresso na implementação dos planos de tratamento do risco fornece uma medida do desempenho. Os

o
resultados podem ser incorporados na gestão global do desempenho da organização, na sua medição e nas

ida nic
atividades de reporte externo e interno.

oib tró
Os resultados da monitorização e revisão deverão ser registados e reportados externa e internamente
conforme apropriado, e deverão ser usados também, como uma entrada para a revisão da estrutura da gestão
pr lec
do risco (ver 4.5).
ão o e

5.7 Registo do processo da gestão do risco


uç ent

As atividades da gestão do risco deverão ser rastreáveis. No processo da gestão do risco, os registos
pr u m

fornecem a base para melhoria dos métodos e das ferramentas, bem como do processo na sua globalidade.
re doc

As decisões relativas à criação de registos deverão ter em conta:


od

− as necessidades de aprendizagem contínua da organização;


IP de

− os benefícios da reutilização da informação para efeitos de gestão;


© sã o

− os custos e os esforços envolvidos na criação e manutenção dos registos;


Q

− as necessidades legais, regulamentares e operacionais de registos;


es


pr

o método de acesso, a facilidade de consulta e os meios de armazenamento;


Im

− o período de retenção;
− a sensibilidade da informação.
NP
ISO 31000
2013

p. 28 de 30

Anexo A
(informativo)

Atributos da gestão do risco reforçada

A.1 Generalidades
Todas as organizações deverão procurar atingir um nível apropriado do desempenho da sua estrutura da
gestão do risco em linha com a criticidade das decisões que terão de ser tomadas. A lista dos atributos

o
abaixo apresentada, representa um alto nível de desempenho ao gerir o risco. Para apoiar as organizações na

ida nic
medição do seu próprio desempenho relativamente a estes critérios, são fornecidos alguns indicadores

oib tró
tangíveis para cada atributo.
pr lec
A.2 Resultados chave
ão o e

A.2.1 A organização tem uma compreensão atual, correta e abrangente dos seus riscos.
uç ent

A.2.2 Os riscos da organização estão dentro dos seus critérios do risco.


pr u m

A.3 Atributos
re doc
od

A.3.1 Melhoria contínua


IP de

A ênfase é colocada na melhoria contínua da gestão do risco através do estabelecimento de objetivos do


© sã o

desempenho organizacional, da medição, da revisão e da subsequente modificação dos processos, sistemas,


Q

recursos, capacidades e competências.


es

Isto pode ser indicado pela existência de objetivos de desempenho explícitos, relativamente aos quais são
pr

medidos os desempenhos da organização e do gestor. O desempenho da organização pode ser publicado e


Im

comunicado. Habitualmente, existirá pelo menos uma revisão anual do desempenho e a subsequente revisão
dos processos e o estabelecimento de objetivos do desempenho, revistos para o período seguinte.
A avaliação de desempenho da gestão do risco é uma parte integrante da avaliação do desempenho global
da organização e do sistema de avaliação para departamentos e indivíduos.

A.3.2 Responsabilização total pelos riscos


A gestão do risco reforçada inclui uma responsabilização abrangente, completamente definida e
integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivíduos designados
aceitam integralmente a responsabilização, possuem competências apropriadas e dispõem dos recursos
adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente
acerca dos riscos e respetiva gestão às partes interessadas externas e internas.
Tal pode ser indicado pelo facto de todos os membros de uma organização estarem totalmente cientes dos
riscos, controlos e tarefas pelos quais são responsáveis. Usualmente, tal estará registado nas descrições de
função/cargo, bases de dados ou sistemas de informação. A definição das funções na gestão do risco,
responsabilização e responsabilidades deverão fazer parte de todos os programas de acolhimento e
integração de uma organização.
NP
ISO 31000
2013

p. 29 de 30

A organização assegura que aqueles que são responsabilizados estão aptos para cumprir a sua função
atribuindo-lhes autoridade, tempo, formação e treino, recursos e competências suficientes para assumirem a
sua responsabilização.

A.3.3 Aplicação da gestão do risco em todas as tomadas de decisão


Todas as tomadas de decisão no seio da organização, qualquer que seja o respetivo nível de importância e
significância, envolvem considerações explícitas do risco e a aplicação da gestão do risco a um nível
adequado.
Tal pode ser indicado pelos registos das reuniões e decisões, evidenciando que tiveram lugar discussões
explícitas sobre o risco. Adicionalmente, deverá ser possível ver que todas as componentes da gestão do

o
risco estão representadas nos processos chave de tomada de decisão na organização, por exemplo, em

ida nic
decisões para atribuição de capital, para projetos importantes e para a reestruturação ou mudanças da
organização. Por estas razões, uma gestão do risco consistente é vista dentro da organização como a base

oib tró
para a governação eficaz. pr lec
A.3.4 Comunicações continuadas
ão o e

A gestão do risco reforçada inclui comunicações continuadas com as partes interessadas, quer externas quer
uç ent

internas, incluindo reporte exaustivo e frequente do desempenho da gestão do risco, como parte da boa
governação.
pr u m

Isto pode ser indicado pela comunicação com as partes interessadas como uma componente integrante e
re doc

essencial da gestão do risco. A comunicação é corretamente vista como um processo de dois sentidos, de tal
od

modo que decisões adequadamente informadas, possam ser tomadas quanto ao nível do risco e à
necessidade de tratamento do risco face a critérios do risco adequadamente estabelecidos e abrangentes.
IP de

O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
© sã o

da gestão do risco, contribui substancialmente para uma governação eficaz no seio da organização.
Q
es

A.3.5 Integração total na estrutura de governação da organização


pr

A gestão do risco é vista como central nos processos da gestão da organização, de tal forma que os riscos
Im

são considerados em termos do efeito da incerteza na consecução dos objetivos. A estrutura e o processo de
governação são baseados na gestão do risco. A gestão do risco eficaz é considerada pelos gestores, como
sendo essencial para a consecução dos objetivos da organização.
Isto é indicado através da linguagem dos gestores e dos documentos relevantes da organização usando o
termo “incerteza” associado aos riscos. Este atributo é também normalmente refletido nas declarações de
política da organização, particularmente nas relacionadas com a gestão do risco. Normalmente, este atributo
será verificado através de entrevistas com os gestores e através da evidência das suas ações e declarações.
NP
ISO 31000
2013

p. 30 de 30

Bibliografia

[1] Guia ISO 73:2009 Risk management – Vocabulary


[2] ISO/IEC 31010 Risk management – Risk assessment techniques

o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im