Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO 31000
Portuguesa 2013
Gestão do risco
Princípios e linhas de orientação
(ISO 31000:2009)
Management du risque
Principes et lignes directrices
(ISO 31000:2009)
Risk management
o
ida nic
Principles and guidelines
(ISO 31000:2009)
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
ICS HOMOLOGAÇÃO
Im
CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da ISO 31000:2009 CT 180 (APQ)
2ª EDIÇÃO
fevereiro de 2013
CÓDIGO DE PREÇO
X008
o
editorais.
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im
NP
ISO 31000
2013
p. 3 de 30
Sumário Página
Preâmbulo nacional.................................................................................................................................... 2
Introdução ................................................................................................................................................... 5
1 Objetivo e campo de aplicação ............................................................................................................... 8
2 Termos e definições ................................................................................................................................. 8
3 Princípios.................................................................................................................................................. 13
o
4 Estrutura .................................................................................................................................................. 15
ida nic
4.1 Generalidades ......................................................................................................................................... 15
oib tró
4.2 Mandato e compromisso ........................................................................................................................ 16
pr lec
4.3 Conceção da estrutura para gerir o risco ................................................................................................ 16
ão o e
p. 4 de 30
o
ida nic
5.4.4 Avaliação do risco ............................................................................................................................... 25
oib tró
5.5 Tratamento do risco ................................................................................................................................ 25
pr lec
5.5.1 Generalidades ...................................................................................................................................... 25
ão o e
p. 5 de 30
Introdução
As organizações de todos os tipos e dimensões enfrentam fatores e influências, internos e externos, que
tornam incerto se, e quando, atingirão os seus objetivos. O efeito que esta incerteza tem nos objetivos de
uma organização designa-se por “risco”.
Todas as atividades de uma organização envolvem risco. As organizações gerem o risco mediante a sua
identificação e análise, após o que avaliam a necessidade da sua alteração, tratando-o de forma a satisfazer
os seus critérios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que estão a alterá-lo, de forma a assegurarem que não
é necessário um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processo
sistemático e lógico.
o
ida nic
Apesar de todas as organizações gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princípios que deverão ser cumpridos de modo a tornar eficaz a gestão do risco. Esta Norma recomenda que
oib tró
as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo é
pr lec
integrar o processo para gerir o risco na governação, estratégia e planeamento, gestão, processos de reporte,
políticas, valores e cultura.
ão o e
A gestão do risco pode ser aplicada a uma organização na sua globalidade, nas suas diversas áreas e níveis,
uç ent
sectores de modo a responder a necessidades diversas, a adoção de processos consistentes numa estrutura
re doc
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od
toda a organização. A abordagem genérica descrita nesta Norma fornece os princípios e as linhas de
orientação para a gestão de qualquer tipo de risco de modo sistemático, transparente e credível, qualquer
IP de
Cada setor específico ou aplicação particular da gestão do risco implicam necessidades, públicos, perceções
Q
e critérios próprios. Por esta razão uma característica essencial desta Norma é a inclusão do
es
estabelecimento do contexto vai permitir apreender os objetivos da organização, o ambiente em que procura
atingi-los, as suas partes interessadas e a diversidade dos critérios do risco – que na sua globalidade
Im
p. 6 de 30
o
ida nic
− melhorar a resiliência organizacional.
oib tró
Esta Norma pretende responder às necessidades de uma grande diversidade de partes interessadas,
pr lec
incluindo:
ão o e
d) os que elaboram normas, guias, procedimentos e regras de boas práticas, que definem, total ou
od
parcialmente, como deverá ser gerido o risco no contexto específico destes documentos.
IP de
As práticas e processos atuais da gestão de muitas organizações incluem componentes da gestão do risco,
tendo muitas organizações já adotado um processo formal da gestão do risco, para determinados tipos de
© sã o
risco ou circunstâncias particulares. Nestes casos, uma organização pode decidir realizar uma revisão crítica
Q
Nesta Norma os termos ou expressões “gestão do risco” e “gerir o risco” são ambos utilizados. Em geral a
pr
“gestão do risco” refere-se à arquitetura (princípios, estrutura e processo) para gerir os riscos com eficácia,
Im
enquanto que “gerir o risco” se refere à aplicação dessa arquitetura a riscos particulares.
a) Cria valor
d) Considera explicitamente a
pr
incerteza Apreciação do risco (5.4)
es
Conceção da estrutura
e) Sistemática, estruturada e © sã o para gerir o risco
atempada IP de (4.3) Identificação do risco (5.4.2)
f) Baseia-se na melhor
Q
informação disponível
re doc
Melhoria Implementação
pr u m
g) Feita à medida contínua da da gestão do risco Análise do risco (5.4.3)
od
estrutura (4.4)
h) Tem em conta fatores (4.6)
uç ent
humanos e culturais
ão o e
pr lec
Monitorização e revisão (5.6)
Princípios
(secção 3) Estrutura
(secção 4) Processo
(secção 5)
NP
p. 7 de 30
NP
ISO 31000
2013
p. 8 de 30
A presente Norma pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de
atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e
ativos.
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
o
ida nic
consequências sejam positivas ou negativas.
Apesar da presente Norma fornecer linhas de orientação gerais, não se destina a promover a uniformidade
oib tró
da gestão do risco nas organizações. A conceção e a implementação dos planos e estruturas da gestão do
pr lec
risco necessitarão de ter em conta as diversas necessidades de uma organização específica, dos seus
objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ativos e práticas
ão o e
específicas utilizadas.
uç ent
Pretende-se que esta Norma seja utilizada na harmonização dos processos da gestão do risco em normas
existentes e futuras. A presente Norma permite uma abordagem comum de apoio às normas relativas a
pr u m
2 Termos e definições
IP de
© sã o
2.1 risco
Efeito da incerteza na consecução dos objetivos.
pr
Im
p. 9 de 30
o
ida nic
2.4 política da gestão do risco
Declaração das intenções gerais e da orientação de uma organização em relação à gestão do risco (2.2).
[Guia ISO 73:2009, definição 2.1.2]
oib tró
pr lec
ão o e
Programa incluído na estrutura da gestão do risco (2.2) que especifica a abordagem, os componentes da
od
NOTA 2: O plano da gestão do risco poderá ser aplicado a um produto, processo ou projeto específicos, a parte ou à totalidade de
Q
uma organização.
es
p. 10 de 30
o
Ambiente interno no qual a organização procura atingir os seus objetivos.
ida nic
NOTA: O contexto interno pode incluir:
oib tró
− a governação, a estrutura organizacional, as funções e a responsabilização;
pr lec
− as políticas, os objetivos e as estratégias implementadas para os atingir;
− as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
ão o e
Processos contínuos e iterativos que uma organização conduz de forma a fornecer, partilhar ou obter
informações, e para se envolver em diálogo com as partes interessadas (2.13), no que respeita à gestão do
es
risco (2.1).
pr
NOTA 1: A informação pode estar relacionada com a existência, natureza, forma, verosimilhança (2.19), significância, avaliação,
Im
p. 11 de 30
o
ida nic
NOTA: Uma fonte do risco pode ser tangível ou intangível.
oib tró
[Guia ISO 73:2009, definição 3.5.1.2]
pr lec
2.17 evento
ão o e
NOTE 3: Um evento pode algumas vezes ser referido como um “incidente” ou “acidente”.
re doc
NOTE 4: Um evento sem consequências (2.18) pode também ser referido como “quase acidente”, “incidente” ou “quase
od
sucesso”.
2.18 consequência
Q
NOTA 2: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.
Im
2.19 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gestão do risco, a palavra verosimilhança é utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemáticos [como uma probabilidade (2.19) ou uma frequência num determinado período de
tempo].
NOTA 2: O termo inglês “likelihood” (verosimilhança) não tem uma equivalência direta em algumas línguas; em vez disso, é
frequentemente utilizado como termo equivalente “probability” (probabilidade). No entanto, em inglês, o termo “probability” está
muitas vezes limitado à sua interpretação matemática. Por consequência, na terminologia da gestão do risco, o termo “likelihood”
é utilizado com a finalidade de que deverá ter a mesma interpretação lata que o termo “probability” tem, em muitas outras línguas
que não o inglês.
p. 12 de 30
o
ida nic
[Guia ISO 73:2009, definição 3.6.1]
oib tró
2.22 critérios do risco
Termos de referência em relação aos quais a significância de um risco (2.1) é avaliada.
pr lec
NOTA 1: Os critérios do risco são baseados nos objetivos da organização e nos contextos externo (2.10) e interno (2.11).
ão o e
NOTA 2: Os critérios do risco podem resultar de normas, leis, políticas e de outros requisitos.
uç ent
Processo de comparação dos resultados da análise do risco (2.21) com os critérios do risco (2.22) para
es
p. 13 de 30
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, política, dispositivo, prática ou outra ação que modifique o risco.
NOTA 2: O controlo poderá nem sempre produzir o efeito modificador pretendido ou assumido.
o
Risco (2.1) que subsiste após o tratamento do risco (2.25).
ida nic
NOTA 1: Um risco residual pode incluir um risco não identificado.
oib tró
NOTA 2: Um risco residual pode também ser designado como “risco retido”.
pr lec
[Guia ISO 73:2009, definição 3.8.1.6]
ão o e
2.28 monitorização
uç ent
NOTA: A monitorização pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao
re doc
2.29 revisão
© sã o
Atividade levada a cabo para determinar a adaptação, adequação e a eficácia, da matéria visada para atingir
Q
os objetivos estabelecidos.
es
NOTA: A revisão pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao risco ou
ao controlo (2.26) de um risco.
pr
Im
3 Princípios
Para que a gestão do risco seja eficaz, uma organização deverá, a todos os níveis, atuar em conformidade
com os princípios abaixo referidos.
a) A gestão do risco cria e protege o valor.
A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho,
como por exemplo, na saúde e segurança, security*), na conformidade legal e regulamentar, na aceitação
pública, na proteção ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das
operações, na governação e reputação.
*)
“security” no original em inglês, pode entender-se fundamentalmente como “proteção e preservação das pessoas, bens e
informação quer tangível quer intangível” (nota nacional).
NP
ISO 31000
2013
p. 14 de 30
o
A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
ida nic
pode ser considerada.
oib tró
e) A gestão do risco é sistemática, estruturada e atempada.
pr lec
Uma abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e
ão o e
As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como dados
pr u m
especialistas.
IP de
A gestão do risco é alinhada com os contextos externo e interno e com o perfil do risco da organização.
Q
p. 15 de 30
4 Estrutura
4.1 Generalidades
O sucesso da gestão do risco dependerá da eficácia da estrutura da gestão em fornecer os fundamentos e as
disposições que permitem a sua integração em todos os níveis da organização. A estrutura apoia uma gestão
eficaz dos riscos no decurso da aplicação do processo da gestão do risco (ver secção 5), em diferentes níveis
e em contextos específicos da organização. A estrutura garante que a informação sobre o risco que decorre
do processo da gestão do risco é corretamente reportada e serve de base à tomada de decisão e à
responsabilização a todos os níveis da organização envolvidos.
Esta secção descreve as componentes necessárias da estrutura para gerir o risco e a forma como se
o
ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.
oib tró
Mandato e compromisso (4.2)
pr lec
ão o e
uç ent
Responsabilização (4.3.3)
IP de
Recursos (4.3.5)
Q
internos (4.3.6)
pr
externos (4.3.7)
Melhoria contínua da
Implementação da gestão do risco (4.4)
estrutura (4.6)
Implementação da estrutura para gerir o
risco (4.4.1)
Implementação do processo da gestão
do risco (4.4.2)
p. 16 de 30
Esta estrutura não se destina a prescrever um sistema de gestão, mas sim a apoiar a organização, a integrar a
gestão do risco na globalidade do seu sistema de gestão. As organizações deverão, portanto, adaptar as
componentes da estrutura às suas necessidades específicas.
Se as práticas e processos da gestão existentes numa organização incluem componentes da gestão do risco,
ou se a organização já adotou um processo formal da gestão do risco para tipos de situações ou de riscos
específicos, então estes deverão ser revistos de forma crítica e apreciados face à presente Norma, incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequação e eficácia.
o
sustentado por parte da gestão de topo da organização, bem como um planeamento estratégico e rigoroso
ida nic
para conduzir a um compromisso a todos os níveis. A gestão de topo deverá:
oib tró
− definir e aprovar a política da gestão do risco;
pr lec
− assegurar que a cultura da organização e a sua política da gestão do risco estão alinhadas;
ão o e
p. 17 de 30
− capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
− sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
− relações com as partes interessadas internas, suas perceções e seus valores;
− cultura da organização;
− normas, linhas de orientação e modelos adotados pela organização;
− forma e extensão das relações contratuais.
o
4.3.2 Estabelecimento da política da gestão do risco
ida nic
A política da gestão do risco deverá estabelecer de forma clara os objetivos e o compromisso da
oib tró
organização, em matéria da gestão do risco e tipicamente aborda o seguinte:
− a fundamentação da organização para gerir o risco;
pr lec
− ligações entre os objetivos e as políticas da organização e a política da gestão do risco;
ão o e
4.3.3 Responsabilização
Im
A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para
gerir o risco, incluindo implementar e manter o processo da gestão do risco e assegurar a adequação, a
eficácia e a eficiência de quaisquer controlos. Isto, poderá ser facilitado:
− identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos;
− identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para
gerir o risco;
− identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da
gestão do risco;
− estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a
um nível superior;
− assegurando níveis de reconhecimento apropriados.
p. 18 de 30
4.3.5 Recursos
A organização deverá afetar os recursos necessários à gestão do risco.
Deverá ser tido em conta:
o
ida nic
− pessoas, aptidões, experiência e competências;
oib tró
− recursos necessários a cada etapa do processo da gestão do risco;
pr lec
− processos, métodos e ferramentas da organização a serem utilizados para gerir o risco;
ão o e
− programas de formação.
pr u m
re doc
modificação subsequente;
−
es
a existência de relatos internos adequados, relativos à estrutura da gestão do risco, à sua eficácia e aos
seus resultados;
pr
Im
p. 19 de 30
o
ida nic
− aplicar a política e o processo da gestão do risco aos processos organizacionais;
oib tró
− cumprir os requisitos legais e regulamentares;
pr lec
− assegurar que a tomada de decisão, incluindo o desenvolvimento e estabelecimento dos objetivos, está
ão o e
− comunicar e consultar com as partes interessadas, de modo a assegurar que a sua estrutura da gestão do
pr u m
A gestão do risco deverá ser implementada, assegurando que o processo da gestão do risco descrito na
secção 5, é aplicado através de um plano da gestão do risco, a todos os níveis e funções da organização
© sã o
De modo a assegurar que a gestão do risco é eficaz e continua a apoiar o desempenho organizacional, a
Im
organização deverá:
− medir o desempenho da gestão do risco face a indicadores revistos periodicamente, quanto à sua
adequação;
− medir periodicamente o progresso e os desvios em relação ao plano da gestão do risco;
− rever periodicamente se a estrutura, a política e o plano da gestão do risco continuam apropriados face ao
contexto interno e externo da organização;
− elaborar relatórios sobre o risco, o progresso do plano da gestão do risco e como a política da gestão do
risco é seguida;
− rever a eficácia da estrutura da gestão do risco.
p. 20 de 30
5 Processo
5.1 Generalidades
o
O processo da gestão do risco é ilustrado na Figura 3 e compreende as atividades descritas nas secções 5.2 a
ida nic
5.6.
oib tró
pr lec
Estabelecimento do contexto (5.3)
v
ão o e
uç ent
Comunicação e Monitorização e
IP de
p. 21 de 30
do processo da gestão do risco e as partes interessadas compreendem os fundamentos das decisões tomadas,
e as razões pelas quais são necessárias ações específicas.
Uma abordagem da consulta em equipa poderá:
− ajudar a estabelecer o contexto de forma apropriada;
− assegurar que os interesses das partes interessadas são compreendidos e considerados;
− ajudar a garantir que os riscos são identificados de forma adequada;
− reunir diferentes áreas de especialização para analisar riscos;
− assegurar que diferentes pontos de vista são considerados de forma apropriada na definição dos critérios
o
do risco e na avaliação dos riscos;
ida nic
− garantir a adesão e o apoio a um plano de tratamento do risco;
oib tró
− potenciar a gestão apropriada da mudança durante o processo da gestão do risco;
pr lec
− desenvolver um plano adequado de comunicação e consulta interna e externa.
ão o e
A comunicação e consulta com as partes interessadas são importantes, uma vez que estas produzem juízos
uç ent
sobre risco baseados nas suas perceções do risco. Estas perceções do risco podem variar devido a diferenças
nos valores, necessidades, pressupostos, conceitos e preocupações das partes interessadas. Dado que os seus
pr u m
pontos de vista podem ter um impacto significativo nas decisões tomadas, as perceções das partes
interessadas deverão ser identificadas, registadas e tidas em consideração no processo de tomada de
re doc
decisão.
od
5.3.1 Generalidades
pr
Im
p. 22 de 30
o
organização. O contexto interno é tudo aquilo que no seio da organização pode influenciar a forma como a
ida nic
organização irá gerir o risco. O contexto interno deverá ser estabelecido, porque:
oib tró
a) a gestão do risco ocorre no contexto dos objetivos da organização;
pr lec
b) os objetivos e os critérios de um projeto, processo ou atividade específicos deverão ser considerados à
ão o e
− as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
© sã o
Q
− a cultura da organização;
pr
Im
p. 23 de 30
− a definição do âmbito, bem como, a profundidade e a amplitude das atividades da gestão do risco a
serem desenvolvidas, compreendendo inclusões e exclusões específicas;
− a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e local;
− a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos
ou atividades da organização;
− a definição das metodologias da apreciação do risco;
− a definição da forma como o desempenho e eficácia são avaliados na gestão do risco;
− a identificação e a especificação das decisões que têm que ser tomadas;
− a identificação, âmbito ou enquadramento dos estudos necessários, a sua extensão e objetivos, bem como
o
ida nic
os recursos necessários para tais estudos.
oib tró
A consideração destes e de outros fatores pertinentes, deverá assegurar que a abordagem da gestão do risco
adotada seja apropriada às circunstâncias, à organização e aos riscos que estão a afetar a consecução dos
pr lec
seus objetivos.
ão o e
A organização deverá definir os critérios a serem utilizados para avaliar a significância do risco. Os
pr u m
critérios deverão refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser
impostos por, ou derivar de, exigências legais e requisitos regulamentares e outros requisitos subscritos pela
re doc
organização. Os critérios do risco deverão ser consistentes com a política da gestão do risco da organização
od
(ver 4.3.2), ser definidos no início de qualquer processo da gestão do risco e continuamente revistos.
IP de
a natureza e tipos de causas e consequências que podem ocorrer e como são medidas;
Q
5.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
NOTA: A ISO/IEC 31010 fornece orientação sobre técnicas de apreciação do risco.
p. 24 de 30
retardar a consecução dos objetivos. É importante identificar os riscos associados ao facto de não se
perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta
fase não será incluído em análise posterior.
A identificação deverá incluir os riscos cuja fonte esteja ou não sob controlo da organização, ainda que a
fonte ou causa do risco poderão não ser evidentes. A identificação do risco deverá incluir o exame das
reações em cadeia, incluindo os efeitos em cascata e cumulativos, de consequências particulares. Deverá
ainda considerar um domínio alargado de consequências, ainda que a fonte ou a causa do risco poderão não
ser evidentes. Assim como se identifica o que possa acontecer, é também necessário considerar possíveis
causas e cenários que mostrem quais as consequências que podem ocorrer. Todas as causas e consequências
significativas deverão ser consideradas.
o
A organização deverá utilizar técnicas e ferramentas de identificação de riscos que sejam adequadas aos
ida nic
seus objetivos e às suas capacidades, assim como aos riscos que enfrenta. Na identificação dos riscos é
importante dispor de informação pertinente e atualizada. Sempre que possível deverá ser considerada
oib tró
informação de base apropriada. Na identificação dos riscos deverão ser envolvidas as pessoas com o
pr lec
conhecimento adequado.
ão o e
A análise do risco implica desenvolver uma compreensão do risco. A análise do risco fornece uma entrada
para a avaliação do risco e para as decisões quanto à necessidade dos riscos serem tratados, e sobre as
pr u m
estratégias e métodos mais apropriados para o tratamento do risco. A análise do risco pode também fornecer
uma entrada para a tomada de decisões, onde as escolhas tenham que ser feitas e as opções envolvam
re doc
od
negativas e a verosimilhança dessas consequências ocorrerem. Deverão ser identificados os fatores que
© sã o
verosimilhanças e outros atributos do risco. Um evento pode ter múltiplas consequências e pode afetar
es
múltiplos objetivos. Os controlos existentes e a sua eficácia e eficiência, também deverão ser tidos em
consideração.
pr
Im
O modo como as consequências e a verosimilhança são expressas e o modo como são combinadas para
determinar um nível de risco, deverão refletir o tipo de risco, a informação disponível e o propósito para o
qual a saída da apreciação do risco é para ser utilizada. Tudo isto deverá ser consistente com os critérios do
risco. Também é importante considerar a interdependência dos diferentes riscos e suas fontes.
A confiança na determinação do nível do risco e a sua sensibilidade a condições prévias e pressupostos
deverão ser consideradas na análise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergência de opinião entre especialistas, incerteza, disponibilidade,
qualidade, quantidade e da continuada pertinência da informação ou limitações na modelação, deverão ser
declarados e podem ser realçados.
A análise do risco pode ser efetuada com graus de detalhe variáveis, dependendo do risco, da finalidade da
análise e da informação, dos dados e recursos disponíveis. A análise pode ser qualitativa, semi-quantitativa
ou quantitativa, ou uma combinação destas, dependendo das circunstâncias.
As consequências e a sua verosimilhança podem ser determinadas pela modelação dos resultados de um
evento ou conjunto de eventos, por extrapolação a partir de estudos experimentais ou a partir de dados
disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Nalguns
casos é requerido mais do que um valor numérico ou descritor para especificar as consequências e a sua
verosimilhança para diferentes tempos, locais, grupos ou situações.
NP
ISO 31000
2013
p. 25 de 30
o
Em determinadas circunstâncias a avaliação do risco pode levar a uma decisão de efetuar análises
ida nic
adicionais. A avaliação do risco pode também levar à decisão de não efetuar o tratamento do risco, para
além de manter os controlos existentes. Esta decisão será influenciada pela atitude da organização face ao
oib tró
risco e pelos critérios do risco que foram estabelecidos.
pr lec
5.5 Tratamento do risco
ão o e
5.5.1 Generalidades
uç ent
O tratamento do risco implica a seleção de uma ou mais opções para modificar os riscos e a implementação
pr u m
−
es
As opções de tratamento do risco não têm que ser mutuamente exclusivas ou apropriadas em todas as
Im
p. 26 de 30
o
ida nic
O tratamento do risco pode por si só introduzir riscos. A falha ou a ineficácia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorização deverá ser uma parte integrante do plano de
oib tró
tratamento do risco, de forma a garantir que as medidas permaneçam eficazes.
pr lec
O tratamento do risco pode também introduzir riscos secundários que precisam de ser apreciados, tratados,
monitorizados e revistos. Estes riscos secundários deverão ser incorporados no mesmo plano de tratamento
ão o e
do risco original e não tratados como novos riscos. A ligação entre os dois riscos deverá ser identificada e
mantida.
uç ent
pr u m
escolhidas serão implementadas. A informação fornecida nos planos de tratamento deverá incluir:
od
− as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;
IP de
− os que são responsabilizados pela aprovação do plano e os responsáveis pela implementação do plano;
© sã o
Q
− as ações propostas;
es
p. 27 de 30
− assegurar que os controlos são eficazes e eficientes, quer na conceção, quer na operação;
− obter informação adicional para melhorar a apreciação do risco;
− analisar e aprender com os eventos (incluindo os quase-acidentes), mudanças, tendências, sucessos e
falhas;
− detetar alterações no contexto externo e interno, incluindo alterações aos critérios do risco e ao próprio
risco, que podem requerer a revisão dos tratamentos do risco e das prioridades;
− identificar os riscos emergentes.
O progresso na implementação dos planos de tratamento do risco fornece uma medida do desempenho. Os
o
resultados podem ser incorporados na gestão global do desempenho da organização, na sua medição e nas
ida nic
atividades de reporte externo e interno.
oib tró
Os resultados da monitorização e revisão deverão ser registados e reportados externa e internamente
conforme apropriado, e deverão ser usados também, como uma entrada para a revisão da estrutura da gestão
pr lec
do risco (ver 4.5).
ão o e
As atividades da gestão do risco deverão ser rastreáveis. No processo da gestão do risco, os registos
pr u m
fornecem a base para melhoria dos métodos e das ferramentas, bem como do processo na sua globalidade.
re doc
−
pr
− o período de retenção;
− a sensibilidade da informação.
NP
ISO 31000
2013
p. 28 de 30
Anexo A
(informativo)
A.1 Generalidades
Todas as organizações deverão procurar atingir um nível apropriado do desempenho da sua estrutura da
gestão do risco em linha com a criticidade das decisões que terão de ser tomadas. A lista dos atributos
o
abaixo apresentada, representa um alto nível de desempenho ao gerir o risco. Para apoiar as organizações na
ida nic
medição do seu próprio desempenho relativamente a estes critérios, são fornecidos alguns indicadores
oib tró
tangíveis para cada atributo.
pr lec
A.2 Resultados chave
ão o e
A.2.1 A organização tem uma compreensão atual, correta e abrangente dos seus riscos.
uç ent
A.3 Atributos
re doc
od
Isto pode ser indicado pela existência de objetivos de desempenho explícitos, relativamente aos quais são
pr
comunicado. Habitualmente, existirá pelo menos uma revisão anual do desempenho e a subsequente revisão
dos processos e o estabelecimento de objetivos do desempenho, revistos para o período seguinte.
A avaliação de desempenho da gestão do risco é uma parte integrante da avaliação do desempenho global
da organização e do sistema de avaliação para departamentos e indivíduos.
p. 29 de 30
A organização assegura que aqueles que são responsabilizados estão aptos para cumprir a sua função
atribuindo-lhes autoridade, tempo, formação e treino, recursos e competências suficientes para assumirem a
sua responsabilização.
o
risco estão representadas nos processos chave de tomada de decisão na organização, por exemplo, em
ida nic
decisões para atribuição de capital, para projetos importantes e para a reestruturação ou mudanças da
organização. Por estas razões, uma gestão do risco consistente é vista dentro da organização como a base
oib tró
para a governação eficaz. pr lec
A.3.4 Comunicações continuadas
ão o e
A gestão do risco reforçada inclui comunicações continuadas com as partes interessadas, quer externas quer
uç ent
internas, incluindo reporte exaustivo e frequente do desempenho da gestão do risco, como parte da boa
governação.
pr u m
Isto pode ser indicado pela comunicação com as partes interessadas como uma componente integrante e
re doc
essencial da gestão do risco. A comunicação é corretamente vista como um processo de dois sentidos, de tal
od
modo que decisões adequadamente informadas, possam ser tomadas quanto ao nível do risco e à
necessidade de tratamento do risco face a critérios do risco adequadamente estabelecidos e abrangentes.
IP de
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
© sã o
da gestão do risco, contribui substancialmente para uma governação eficaz no seio da organização.
Q
es
A gestão do risco é vista como central nos processos da gestão da organização, de tal forma que os riscos
Im
são considerados em termos do efeito da incerteza na consecução dos objetivos. A estrutura e o processo de
governação são baseados na gestão do risco. A gestão do risco eficaz é considerada pelos gestores, como
sendo essencial para a consecução dos objetivos da organização.
Isto é indicado através da linguagem dos gestores e dos documentos relevantes da organização usando o
termo “incerteza” associado aos riscos. Este atributo é também normalmente refletido nas declarações de
política da organização, particularmente nas relacionadas com a gestão do risco. Normalmente, este atributo
será verificado através de entrevistas com os gestores e através da evidência das suas ações e declarações.
NP
ISO 31000
2013
p. 30 de 30
Bibliografia
o
ida nic
oib tró
pr lec
ão o e
uç ent
pr u m
re doc
od
IP de
© sã o
Q
es
pr
Im