ABNT NBR ISO 31000 –

Gestão de Riscos –
Princípios e Diretrizes
 Norma Técnica

Documento estabelecido por consenso e

aprovado por um organismo reconhecido,
que fornece, para uso e comum e
repetitivo, regras, diretrizes ou
características para atividades ou seus
resultados, visando à obtenção de um
grau ótimo de ordenação em um dado
contexto.
 Consenso

Acordo geral, caracterizado pela ausência de

oposição fundamentada a aspectos significativos por
qualquer parte importante dos interesses envolvidos,
através de um processo que busca levar em conta as
posições de todas as partes interessadas e a
conciliação das opiniões conflitantes.
 ABNT

  Fundada em 1940;
  Organização Privada, sem fins lucrativos;
  Único Fórum Nacional de Normalização;
  Membro fundador da ISO, COPANT e AMN;
  Membro da IEC,
  Signatária do Código de Boas Práticas em Normalização.
 Níveis de normalização

ISO ITU IEC

INTERNACIONAL
AMN CEN ETSI CENELEC COPANT
REGIONAL

NACIONAL ABNT DIN VDE BSI

ASSOCIATIVO IEEE ASME NEMA ABTCP

EMPRESARIAL PETROBRÁS
 O que é a ISO?

Organização Internacional para Normalização

É o fórum mundial onde se busca o consenso na

elaboração de normas internacionais, através da
conciliação dos interesses dos fornecedores,
consumidores, governo, comunidade científica e
demais representantes da sociedade civil
organizada.
 Quem é a ISO?

•  Federação Mundial de Organismos Nacionais de

Normalização (ONN)

•  Organização privada, sem fins lucrativos, fundada em

1947

•  Seus membros são ONN de mais de 150 países

•  Um único ONN membro por país (Entidade mais

representativa da normalização no país)
www.iso.org
 Comissões de Estudo

NEUTRO
(Universidades, PRODUTOR
Institutos de
pesquisas, etc.)

CONSUMIDOR
 Processo de Elaboração de Normas

DEMANDA

PROGRAMA DE NORMALIZAÇÃO

ELABORAÇÃO DO PROJETO DE NORMA

CONSULTA NACIONAL

ANÁLISE DE VOTOS

NÃO
OK

SIM
NORMA
 Breve Histórico da Gestão de Riscos

Antecedentes

•  conceitos de risco, probabilidade, etc. foram

sendo desenvolvidos e aperfeiçoados, desde o
séc. XVII ("O medo do dano deveria ser proporcional, não
apenas à gravidade do dano, mas também à probabilidade do
evento." )

•  em 1950 foi usado o termo “Gerente de

Risco” (Risk Manager) na Harvard Business
Review
 Breve Histórico da Gestão de Riscos

Antecedentes
O uso da gestão de riscos, avaliação de riscos, análise de
riscos surgiu de maneira mais ou menos independente em
diversas áreas:
  Indústria Nuclear

  Seguros

  Indústria do Petróleo

  Segurança (safety) no Trabalho

  Segurança (security) Corporativa

  Sistema Financeiro

  Segurança (security) da Informação

  Segurança (safety) dos Produtos e Processos

 Breve Histórico da Gestão de Riscos

Antecedentes
Fatos passados e recentes deixam a SOCIEDADE cada vez
mais preocupada e insegura
  Seveso (Itália) – 1976
  Bhopal (Índia) – 1984
  Chernobyl (Ucrânia) – 1986

  Exxon Valdez (EUA) – 1989

  Mal da Vaca Louca (Europa) – 1992/1993/....
  Baía da Guanabara (Brasil) – 2000
  Eron (EUA) – 2001

  11/09 (EUA) – 2001

  Crise financeira mundial – 2008/....
  Terremoto (Chile e Haiti) – 2010
 Breve Histórico da Gestão de Riscos

Contexto
  Economia cada vez mais baseada em recursos tecnológicos.
  As empresas deixam de ser “salões de produção” para se
tornarem uma espécie de “cassino tecnológico”.
  Mercados e empresas cada vez mais volúveis e “voláteis”.

  Tomar decisões sem considerar os riscos envolvidos não é

viável – nem sensato.
 Risco

O termo risco é proveniente da palavra risicu ou

riscu, em latim, que significa ousar.

“Quando investidores compram ações, cirurgiões realizam

operações, engenheiros projetam pontes, empresários abrem
seus negócios e políticos concorrem a cargos eletivos, o risco
é um parceiro inevitável. Contudo, suas ações revelam que o
risco não precisa ser hoje tão temido: administrá-lo tornou-
se sinônimo de desafio e oportunidade”. (Bernstein, P.)
 Risco

Mudança (evolução ??) do Conceito de Risco

o  Incerteza mensurável – Universidade de Chicago (1921)
o  Combinação da probabilidade de ocorrência de um dano e
severidade deste dano – ISO/IEC Guide 51:1999
o  Combinação da probabilidade de um evento e da sua
conseqüência – ABNT NBR ISO Guia 73:2002
o  Mudança de alguma coisa que terá impacto nos objetivos –
AS/NZS 4360:2004
 Gestão de Riscos
regulamentada

RESOLUÇÃO 3.380 (29 de junho de 2006) – Banco Central – Dispõe sobre a

implementação de estrutura de gerenciamento do risco operacional.
  Determina que as instituições financeiras e demais instituições autorizadas a
funcionar implementem uma estrutura de gerenciamento do risco operacional.

  Indica que a estrutura deve ser compatível com a natureza e a complexidade dos
produtos, serviços, atividades, processos e sistemas da instituição.

  Define como risco operacional a possibilidade de ocorrência de perdas

resultantes de falha, deficiência ou inadequação de processos internos, pessoas
e sistemas, ou de eventos externos.

  Define a necessidade de uma Política de Gerenciamento do Risco Operacional.

  Define a estrutura mínima para o gerenciamento do risco operacional.

Lei Sarbanes-Oxley – EUA/2002 (SOX) – seção 404

  regular controles internos e garantir a eficácia na gestão dos riscos

corporativos, sejam eles inerentes ou não a atividade fim das empresas.
 Breve Histórico da Norma 

ABNT NBR ISO 31000

o  AS/NZS4360 95/99/04 – Austrália

o  FERMA: 2004 – Europa
o  COSO 2 (ERM): 2004 – Estados Unidos

o  JIS Q: 2001 – Japão

o  CAN/CSAQ850: 1997 – Canadá
o  ONR 49000: 2008 – Áustria (Alemanha/Suíça)
o  BS 6079-3 – Reino Unido
o  BSI PAS 56:2003 – Reino Unido
o  AIRMIC, ALARM, IRM:2002 – Reino Unido
 Breve Histórico da Norma 

ABNT NBR ISO 31000

Primeiros documentos na ISO/IEC

o  ISO/IEC Guide 51 – Safety aspects –

Guidelines for their inclusion in
standards (1999)
o  IEC 62198 Project Risk Management –
Application guidelines (2001)
o  ISO/IEC Guide 73 Risk management –
vocabulary – guidelines for use in
standards (2002)
 Breve Histórico da Norma 

ABNT NBR ISO 31000
  Junho 2004: solicitação de fast track da norma AS/NZS 4360 –
recusada

  Março 2005: solicitação da proposta de elaboração da norma –

Japão

  Junho 2005: aceitação da proposta de elaboração da norma

  Setembro 2005: decisão por uma norma de Princípios e Diretrizes

  Fevereiro 2006, Setembro 2006, Maio 2007, Dezembro 2007:

Elaboração

  Abril 2008: Redação DIS e enquete

  Dezembro 2008: FDIS e votação da comissão

  Outubro 2009: Votação dos membros e publicação

 Características

Princípios e Diretrizes
genéricas

NÃO é específica para qualquer indústria ou setor

NÃO pretende promover a uniformidade da gestão de riscos

NÃO é destinada para fins de certificação

 Características

ABNT NBR ISO 31000

Harmonizar os processos de gestão de riscos tanto

em normas técnicas atuais como em futuras,
fornecendo uma abordagem comum para apoiar
normas técnicas que tratem de riscos e/ou setores
específicos, e não substituí-las.
 Normas “com risco”

ABNT NBR ISO 31000

 Ciclo da Gestão de riscos

Identificar

Analisar
Analisar
criticamente

Riscos

Monitorar Avaliar

Tratar
 Benefícios da gestão de riscos

Redução das Aproveitamento

surpresas das oportunidades

Melhoria do
Melhoria das
planejamento, Economia e
relações com as
desempenho e eficiência
partes interessadas
eficácia

Melhoria das Melhorar a Melhorar a

informações para a governança prevenção de
tomada de decisão corporativa perdas

Aumentar a Atender aos

resiliência da documentos
organização normativos
 A norma ABNT NBR ISO 31000

Prefácio Nacional
Introdução
1 Escopo
2 Termos e definições
3 Princípios
4 Estrutura
5 Processo
Anexo A (infomativo) Atributos de uma
gestão de riscos avançada
 Princípios, Estrutura e Processo

Termos e Definições (Seção 2)

 Termos e Definições

2.1 – 2.2 . . . . . . . . . . . . . . . . 2.28 – 2.29

 Princípios

3
 Estrutura

5.6 5.7

4.4.2 4.5 4.6

4.3.5 4.3.6 4.3.7 4.4.1

4.2 4.3.1 4.3.2 4.3.3 4.3.4

 Processo

5.2 5.3.2 5.3.3 5.3.4 5.3.5 5.4.2 5.4.3 5.4.4 5.5.2 5.5.3
 Princípios, Estrutura e Processo

5.2 5.3.2 5.3.3 5.3.4 5.3.5 5.4.2 5.4.3 5.4.4 5.5.2 5.5.3

5.6 5.7

4.4.2 4.5 4.6

4.3.5 4.3.6 4.3.7 4.4.1

4.2 4.3.1 4.3.2 4.3.3 4.3.4

2.1 – 2.2 . . . . . . . . . . . . . . . 2.28 – 2.29

 Termos e Definições

(ABNT NBR ISO 31000:2009)

  Risco


  Gestão de riscos


  Plano de gestão de risco

  Processo da gestão de riscos
  Avaliação de risco
  Contexto interno
  Análise de risco
  Contexto externo
  Fonte de risco
  Identificação de risco
  Critério de risco
  Tratamento de risco
  Perfil de risco
  Evento
  Conseqüência
  Probabilidade
 +Termos e Definições 

(ABNT NBR ISO Guia 73:2009)

Descrição dos riscos

declaração estruturada de riscos, contendo
normalmente quatro elementos: fontes, eventos, causas
e conseqüências

Perigo
fonte de potencial dano
Nota - O perigo pode ser uma fonte de risco

Exposição
grau em que uma organização e/ou parte
interessada está sujeita a um evento
 ++Termos e Definições 

(ABNT NBR ISO Guia 73:2009)

Freqüência
número de eventos ou resultados por unidade de
tempo definida
NOTA - Freqüência pode ser aplicada a eventos passados ou a
potenciais eventos futuros, onde eles podem ser usados como
uma medida de probabilidade

Vulnerabilidade
propriedades intrínsecas de algo resultando em
suscetibilidade a uma fonte de risco que pode levar
a um evento com uma conseqüência

Matriz de risco
ferramenta para classificar e apresentar riscos
definindo faixas para conseqüência e probabilidade
 +++Termos e Definições 

(ISO Guia 51:1999)

Segurança
ausência de riscos inaceitáveis
Dano
prejuízo físico ou dano à saúde das pessoas, ou
dano à propriedade ou dano ao ambiente.

Uso esperado
uso de um produto, processo ou serviço de acordo
com as informações disponibilizadas pelo fornecedor

Uso indevido previsível

uso de um produto, processo ou serviço, em
desacordo com o fornecedor, porém resultante de um
comportamento humano previsível.
 Outros Termos e Definições
Responsabilização (do inglês “accountability”)
condição de responsabilidade por decisões e atividades e
prestação de contas destas decisões e atividades aos órgãos de
governança de uma organização e, de modo mais amplo, às
partes interessadas da organização (adaptado da ABNT NBR ISO
26000).

Aspecto
Elemento das atividades ou produtos e serviços de uma
organização. (Por exemplo: aspecto ambiental do processo de
lavagem de carros; aspecto da responsabilidade social da
implantação de uma nova indústria.)

Impacto
Qualquer modificação, adversa ou benéfica, nas
relações, processos, atividades, produtos e serviços de
uma organização, resultante de um aspecto.
 Base da Gestão de Riscos

A gestão de riscos....

....envolve tanto ameaças quanto oportunidades

....requer uma reflexão aprofundada

....requer olhar para frente

....requer responsabilidade na tomada de decisões

....requer comunicação

....requer um raciocínio equilibrado

Processo de Gestão de Risco
Processo de Gestão de Risco

Parte integrante da gestão

Incorporado na cultura e
nas práticas

Adaptado aos processos

de negócios
Estrutura para gerenciar riscos
Estrutura para Gestão de Riscos
Estrutura para Gestão de Riscos

Não pretende prescrever um

sistema de gestão

Auxiliar a organização a
integrar a gestão de
riscos em seu sistema de
gestão
 Estrutura para Gestão de Riscos

Antes de tudo…..estabelecer o CONTEXTO

para entender a organização

Contexto
externo
 Contexto Externo

  ambientes cultural, social, político, legal,

regulatório, financeiro, tecnológico, econômico,
natural e competitivo, quer seja internacional,
nacional, regional ou local
  fatores–chave e tendências que tenham impacto
sobre os objetivos da organização
  relações com partes interessadas externas e suas
percepções e valores
 Contexto Interno

  governança, estrutura organizacional,

funções e responsabilidades
  políticas, objetivos e estratégias
implementadas para atingi-los
  capacidades, entendidas em termos de
recursos e conhecimento
  sistemas de informação, fluxos de
informação e processos de tomada de
decisão (formais e informais)
  etc.
 Partes Interessadas

  Acionistas
  Órgãos reguladores
  Colaboradores
  Sindicatos
  Famílias dos colaboradores
  Usuários
  Fornecedores
  Mídia
  etc.
 Mandato e comprometimento

Comprometimento forte e sustentado a ser

assumido pela alta administração

  definir e aprovar a política de gestão de riscos;

  assegurar que a cultura da organização e a política de

gestão de riscos estejam alinhadas;

  definir indicadores de desempenho para a gestão de

riscos que estejam alinhados com os indicadores 

de desempenho da organização;

  alinhar os objetivos da gestão de riscos com os

objetivos e estratégias da organização;
 Mandato e comprometimento

  assegurar a conformidade legal e regulatória;

  atribuir responsabilidades nos níveis apropriados

dentro da organização;

  assegurar que os recursos necessários sejam alocados

para a gestão de riscos;

  comunicar os benefícios da gestão de riscos a todas as

partes interessadas; e

  assegurar que a estrutura para gerenciar riscos

continue a ser apropriada.
 Política de Gestão de Riscos

É importante que a Política fale sobre:

  a justificativa da organização para gerenciar riscos
  as ligações entre os objetivos e políticas da organização
com a política de gestão de riscos
  as responsabilidades para gerenciar riscos
  a forma com que são tratados conflitos de interesses
  o comprometimento de tornar disponíveis os recursos
necessários
  a forma com que o desempenho da gestão de riscos será
medido e reportado
  o comprometimento de analisar criticamente e melhorar
periodicamente a política e a estrutura da gestão de riscos
em resposta a um evento ou mudança nas circunstâncias
 Exemplos de Políticas (?)

Política de gestão de risco

Na Novo Nordisk faremos a gestão do risco de forma a permitir
o crescimento contínuo do nosso negócio e a proteger os
nossos colaboradores, bens, lucros e reputação contra perdas
materiais.


Isto significa que iremos:

•  Identificar e estabelecer os riscos materiais associados ao

negócio;

•  Monitorizar e atenuar os riscos, de forma a maximizar os

benefícios de negócio;

•  Utilizar uma gestão de risco comum, sistemática e integrada,

enquanto é mantida uma flexibilidade de negócio.
 Exemplos de Políticas (?)

Política de Gestão de Riscos Corporativos


Para a RGE, o gerenciamento de riscos é uma

responsabilidade de todos os colaboradores, que devem
assegurar controles internos adequados para o
monitoramento dos riscos dos processos e comunicar,
sistemática e formalmente, fatos que possam afetar
negativamente os resultados da Empresa.

 Responsabilização
  identificar os proprietários dos riscos que têm a
responsabilidade e a autoridade para gerenciar riscos;

  identificar os responsáveis pelo desenvolvimento,

implementação e manutenção da estrutura para gerenciar
riscos;

  identificar outras responsabilidades das pessoas, em

todos os níveis da organização no processo de gestão de
riscos;

  estabelecer medição de desempenho e processos de

reporte internos ou externos e relação com os devidos
escalões; e

  assegurar níveis apropriados de reconhecimento.

 Integração nos processos organizacionais

o  gestão de riscos incorporada em todas

as práticas e processos da organização

o  gestão de riscos parte integrante

desses processos organizacionais
 Recursos
Alocar recursos apropriados para a gestão de
riscos:
o  pessoas, habilidades, experiências e
competências
o  recursos necessários para o processo
o  processos, métodos e ferramentas
o  processos e procedimentos documentados
o  sistemas de gestão da informação e do
conhecimento
o  programas de treinamento
 Comunicação e consulta

A comunicação e a consulta devem

facilitar a troca de informações
verdadeiras, pertinentes, exatas e
compreensíveis, levando em
consideração os aspectos de
confidencialidade e integridade das
pessoas.
 Comunicação e consulta

OBJETIVOS
  auxiliar a estabelecer o contexto apropriadamente;

  assegurar que os interesses das partes interessadas sejam

compreendidos e considerados;

  auxiliar a assegurar que os riscos sejam identificados

adequadamente;

  reunir diferentes áreas de especialização em conjunto para análise

dos riscos;

  assegurar que diferentes pontos de vista sejam devidamente

considerados quando da definição dos critérios de risco e na avaliação
dos riscos;

  garantir o aval e o apoio para um plano de tratamento;

  aprimorar a gestão de mudanças.

 Comunicação e consulta

Convém que a comunicação e a consulta às

partes interessadas internas e externas
aconteçam durante todas as fases do processo
de gestão de riscos.

PLANO DE COMUNICAÇÃO e CONSULTA

interno e externo
 Plano de Comunicação e Consulta

Elementos essenciais
  O que?
  Para quem?
  Como?
  Quando?
 Monitoramento, análise crítica e
melhoria contínua da estrutura
Use indicadores e faça analises críticas periodicamente:
o  o desempenho
o  o progresso obtido
o  os desvios
o  a política, o plano e a estrutura da gestão de riscos
ainda são apropriados?
o  a eficácia da estrutura da gestão de riscos
o  reporte sobre os riscos, sobre o progresso do plano
de gestão de riscos e como a política de gestão de
riscos está sendo seguida
 Fonte: HOW TO BRING YOUR ERM FRAMEWORK INTO LINE WITH ISO
31000 - Grant Purdy - Chair, Standards Australia and New Zealand
Estrutura para gerenciar riscos

Joint Technical Committee on Risk Management

 Contexto do Processo de
Gestão de Riscos

  das metas e objetivos das atividades de gestão de riscos;

  das responsabilidades pelo processo e dentro da gestão de
riscos;

  do escopo, bem como da profundidade e da amplitude das

atividades da gestão de riscos a serem realizadas, englobando
inclusões e exclusões específicas;

  da atividade, processo, função, projeto, produto, serviço ou

ativo em termos de tempo e localização;

  das relações entre um projeto, processo ou atividade

específicos e outros projetos, processos ou atividades da
organização;
 Contexto do Processo de
Gestão de Riscos (cont.)

  das metodologias de processo de avaliação de riscos;

  da forma como são avaliados o desempenho e a eficácia

na gestão dos riscos;

  identificação e especificação das decisões que têm que ser

tomadas; e

  identificação, definição ou elaboração dos estudos

necessários, de sua extensão e objetivos, e dos recursos
requeridos para tais estudos.
 Critérios de riscos

  apetite de risco da organização (reflete os

valores, objetivos e recursos da organização);

  impostos ou derivados dos requisitos legais

e regulatórios (por exemplo, Normas
Regulamentadoras do MTE);

  requisitos contratuais (oriundos de clientes,

seguros, etc.)

  critérios geralmente aceitos no setor (por

exemplo, critérios de segurança para Turismo
de Aventura);
 Critérios de riscos

Aspectos a serem considerados:

  a natureza e os tipos de causas e de conseqüências

que podem ocorrer e como elas serão medidas;
  como a probabilidade será definida;
  a evolução no tempo da probabilidade e/ou
conseqüência(s);
  como o nível de risco deve ser determinado;
  os pontos de vista das partes interessadas;
  o nível em que o risco se torna aceitável ou tolerável.
 Processo de 

Avaliação de Riscos

Estabelecer
contexto

Identificar riscos

Analisar riscos

Avaliar riscos

Tratar riscos
 Identificação de riscos

Causas Eventos Conseqüências

A identificação abrangente é crítica, pois um

risco que não é identificado nesta fase não será
incluído em análises posteriores

Além de identificar o que pode acontecer, é

necessário considerar possíveis causas e
cenários que mostrem quais conseqüências
podem ocorrer.
 Identificação de riscos

Perguntas a fazer

  quais seriam os efeitos nos objetivos?

  quando, onde, por quê, qual a probabilidade
desses riscos ocorrerem?
  quem/o quê poderia sofrer o impacto?
  quais os controles existentes para tratar esse
risco?
  o que fazer se o controle não é eficiente?
 Identificação de riscos

Após o processo…

  qual é a confiabilidade das informações?

  a lista de riscos é abrangente?
  há necessidade de pesquisa adicional sobre
riscos específicos?
  os objetivos e o escopo foram abrangidos de
forma adequada?
  a identificação de riscos envolveu as pessoas
certas?
 Fontes para a
Identificação de Riscos

  experiência local ou internacional;

  opinião de um perito.
  discussões dirigidas em grupo.
  relatórios pós-eventos.
  experiência pessoal.
  resultados de auditorias.
  registros históricos.
  dados de incidentes e acidentes.
  etc.
 Análise de riscos

A análise de riscos envolve a apreciação

das causas e das fontes de risco, suas
conseqüências positivas e negativas, e a
probabilidade de que essas
conseqüências possam ocorrer.
 Análise de riscos

Convém que:

  os fatores que afetam as conseqüências e a

probabilidade sejam identificados.

  o risco seja analisado determinando–se as

conseqüências e sua probabilidade (um evento pode ter
várias conseqüências e pode afetar vários objetivos)

  os controles existentes e sua eficácia e eficiência

também sejam levados em consideração.
 Análise de riscos

  A análise de riscos pode ser realizada com diversos

graus de detalhe, dependendo do risco, da finalidade
da análise e das informações, dados e recursos disponíveis.

  A análise pode ser qualitativa, semi-quantitativa ou

quantitativa, ou uma combinação destas.

  As conseqüências e suas probabilidades podem ser

determinadas por modelagem dos resultados de um evento
ou conjunto de eventos, ou por extrapolação a partir de
estudos experimentais ou a partir dos dados disponíveis.

  As conseqüências podem ser expressas em termos de

impactos tangíveis e intangíveis.
 Análise de riscos

Avaliação dos Controles Existentes

O nível de risco dependerá da adequação e eficácia dos

controles existentes.

Questões a serem abordadas

o  Quais são os controles existentes a um risco particular?
o  Os controles são capazes de tratar adequadamente o risco para
que ele seja controlado a um nível que é tolerável?
o  Na prática, os controles funcionam da forma pretendida e suas
eficácias podem ser demonstradas quando necessário?
 Análise de riscos

Avaliação dos Controles Existentes

O nível de eficácia de um controle particular, ou conjunto
de controles relacionados, pode ser qualitativo,
quantitativo ou semi-quantitativo.
Na maioria dos casos, um elevado nível de

exatidão não é garantido.
No entanto, definir e registrar uma medida de eficácia do
controle de risco para que as decisões possam ser feitas:

É melhor o esforço despendido na manutenção/

melhoria de um controle ou em um tratamento de
risco?
 Análise de riscos

Avaliação das Conseqüências

  Levar em consideração todos os controles existentes

para tratar as conseqüências.

  Considerar as conseqüências imediatas e aquelas

que podem surgir depois de um certo tempo.

  Considerar as conseqüências secundárias, como a

repercussão em outros processos, atividades,
sistemas e organizações.
 Avaliação de riscos

A avaliação de riscos envolve comparar

o nível de risco encontrado durante o
processo de análise com os critérios de
risco estabelecidos quando o contexto
foi considerado.

Com base nesta comparação, a

necessidade do tratamento pode ser
considerada.
 Critérios para Avaliação de Riscos -
exemplo

Escala qualitativa de conseqüências - risco negativo

Índice Descritor Descrição

1 Insignificante Sem perda financeira.

2 Baixa Pequena perda financeira.

3 Moderada Perda financeira significativa.
4 Alta Grande perda financeira.
5 Catastrófica Perda financeira irreparável.
 Critérios para Avaliação de Riscos -
exemplo

Escala qualitativa de conseqüências - risco positivo

Índice Descritor Descrição

1 Insignificante Poucos benefícios à imagem da organização

2 Baixa Melhoria pequena na imagem da organização

3 Moderada Alguma melhoria na imagem da organização
4 Alta Melhoria na imagem da organização
5 Excelente Melhoria significativa na imagem da organização
 Critérios para Avaliação de Riscos -
exemplo
Classificação das Conseqüências
ÍNDICE

Meio
Redução dos Lucros Segurança Sociocultural Reputação Legal
ambiente
DESCRITORES

5 > US$ 10M Dano

ambiental
Uma Litígio
4 muito grave
morte maior
US$ 100.000 – US$ Possível
3 1M processo
Incapaci-
Repercus-
dade
2 temporá-
são na
mídia
ria
Efeitos
Impacto na
menores na
população
1 biologia do
local
meio
recuperável
ambiente
 Critérios para Avaliação de Riscos -
exemplo

Escala qualitativa de probabilidade

Nível Descrição Exemplo de descrição

Quase
1 Poderá ocorrer somente em circunstâncias excepcionais
impossível

2 Improvável
Poderá ocorrer alguma vez

3 Possível
Deverá ocorrer alguma vez

4 Provável
Provavelmente ocorrerá na maioria das vezes

5 Quase certo Espera-se que ocorra na maioria das vezes

 Critérios para Avaliação de Riscos -
exemplo

Escala qualitativa de probabilidade

FREQUÊNCIA INDICATIVA
ÍNDICE DESCRITOR DESCRIÇÃO (expectativa de
ocorrência)

A Quase certo O evento ocorrerá anualmente Uma vez ao ano ou mais

B Provável O evento ocorreu diversas vezes Uma vez a cada três anos

C Possível O evento poderá ocorrer uma vez Uma vez a cada dez anos

Uma vez a cada trinta

D Improvável O evento ocorre de vez em quando
anos

E Raro Sabe-se que algo semelhante ocorreu Uma vez a cada 100 anos

F Muito raro Sua ocorrência é desconhecida Uma em 1.000 anos

Tecnicamente é possível, mas não se

G Quase impossível Uma em 10.000 anos
espera que ocorrerá
 Critérios para Avaliação de Riscos -
exemplo

Escala qualitativa de probabilidade

DESCRITOR DESCRIÇÃO DESCRITOR ALTERNATIVO

Espera-se que possa ocorrer durante o

Provável Boas chances
projeto
Não se espera que ocorra durante o
Possível Baixas/médias chances
projeto
Concebível, mas altamente improvável
Improvável Poucas chances
de ocorrer durante o projeto
 Critérios para Avaliação de Riscos -
exemplo

Nível do Risco = índice P x índice C

Abordagem comum

a)  Uma faixa superior na qual os riscos são intoleráveis.

b)  Uma faixa intermediária ou “zona cinzenta”.

c)  Uma faixa inferior na qual os riscos são “insignificantes”.

 Critérios para Avaliação de Riscos -
exemplo

Nível do Risco = índice P x índice C

Nível do Risco Descritor

NR < 6 Baixo

8 < NR < 12 Moderado

NR ≥ 15 Crítico
 Critérios para Avaliação de Riscos -
exemplo

5 5 10 15 20 25
Probabilidade

4 4 8 12 16 20

3 3 6 9 12 15

2 2 4 6 8 10

1 1 2 3 4 5

índice 1 2 3 4 5

Conseqüência
Critérios para Avaliação de Riscos -
exemplo

Fonte: Gere/APQ - Portugal

 Critérios para Avaliação de Riscos -
exemplo

Conseqüências

Probabilidades
Insignificante Menor Moderada Maior Catastrófica

quase certo A A E E E
provável M A A E E
possível B M A E E
improvável B B M A E
raro B B M A A

Legenda:
E: risco extremo; A: risco alto; M: risco moderado; B: risco baixo
 Critérios para Avaliação de Riscos -
exemplo

Conseqüências
Probabilidades
Maior Moderada Menor

provável vermelho vermelho amarelo

possível vermelho amarelo verde

improvável amarelo verde verde

Legenda:

Vermelho: ação imediata;

Amarelo: ação intensificada;
Verde: monitorar somente
 Processo de Gestão de Riscos
- exemplo -

Passo 1 – Definir o produto

Martelo de metal com

cabo revestido de
borracha.

adaptado deTorben Rahbek/EMARS

 Processo de Gestão de Riscos
- exemplo -

Passo 2 – Definir o contexto

O produto é normalmente
utilizado por adultos.

Mas crianças podem

querer imitar os adultos e
utilizar o martelo como
brinquedo.

adaptado deTorben Rahbek/EMARS

 Processo de Gestão de Riscos
- exemplo -
Passo 3 – Critérios

CONSEQÜÊNCIA DESCRIÇÃO

Insignificante Sem lesões

Tratamento com
Menor
primeiros socorros

Moderada
Tratamento médico PROBABILIDADE DESCRIÇÃO
necessário

Maior Graves lesões P <= 20% raro

Catastrófica Morte 20% < P <= 40% improvável

40% < P <= 60% possível

60% < P <= 80% provável

80% < P <= 100% quase certo

 Processo de Gestão de Riscos
- exemplo -
Passo 4 – Critérios

Conseqüências

Probabilidades
Insignificante Menor Moderada Maior Catastrófica

quase certo A A E E E
provável M A A E E
possível B M A E E
improvável B B M A E
raro B B M A A

Legenda:
E: risco extremo; A: risco alto; M: risco moderado; B: risco baixo
 Processo de Avaliação
de Riscos - exemplo

Passo 5 – Identificar os riscos

(somente um risco será considerado no exemplo)

O revestimento de
borracha se descola
quando o usuário
atinge freqüentemente
uma superfície dura.

adaptado deTorben Rahbek/EMARS

 Processo de Avaliação
de Riscos - exemplo

Passo 6 – Possíveis Conseqüências

A parte superior do martelo pode

saltar para trás e bater no braço
do usuário. Isto pode causar
contusões no braço.

adaptado deTorben Rahbek/EMARS

 Avaliação de Riscos
- exemplo -

Passo 7 – Conseqüência

CONSEQÜÊNCIA DESCRIÇÃO
Insignificante Sem lesões

Tratamento com primeiros

Contusões Menor
socorros
superficiais no
Moderada Tratamento médico necessário
braço.
Maior Graves lesões

Catastrófica Morte
 Avaliação de Riscos
- exemplo -

Passo 8 – Probabilidade

  cabosoltar/descolar (probabilidade
estimada em 50%).

  aparte superior do martelo acerta o

braço (probabilidade estimada em 20%).

Probabilidade = 0,5 x 0,2 = 0,10 = 10%

 Avaliação de Riscos
- exemplo -

Passo 9 – Probabilidade

PROBABILIDADE DESCRIÇÃO

P <= 20% raro

20% < P <= 40% improvável

40% < P <= 60% possível

60% < P <= 80% provável

80% < P <= 100% quase certo

 Avaliação de Riscos
- exemplo -

Passo 10 – Nível do Risco

Conseqüências

Probabilidades
Insignificante Menor Moderada Maior Catastrófica

quase certo A A E E E
provável M A A E E
possível B M A E E
improvável B B M A E
raro B B M A A

Legenda:
E: risco extremo; A: risco alto; M: risco moderado; B: risco baixo
 Processo de Avaliação de Riscos

o  A avaliação de riscos pode ser realizada em diferentes graus de

profundidade e detalhe, com um ou muitos métodos, que vão do
simples ao complexo.
o  A forma de avaliação e seu resultado devem ser coerentes com
os critérios de risco desenvolvidos no âmbito da criação do
contexto.
o  Em termos gerais, a técnica deve apresentar as seguintes
características:
  deve ser justificável e apropriada para a situação ou organização
em questão;
  deve fornecer resultados de uma forma que aumenta a
compreensão da natureza do risco e como ela pode ser tratada;
  deve ser utilizada de uma forma que permita ser rastreável,
repetível e verificável.
A norma ABNT NBR ISO/IEC 31010
 Tratamento de riscos

O tratamento de riscos envolve a seleção de

uma ou mais opções para modificar os riscos
e a implementação dessas opções.

Uma vez implementado, o tratamento fornece

novos controles ou modifica os existentes.
 Ciclo do Tratamento de Riscos

avaliação do
tratamento de riscos já
realizado

decisão se os níveis de
avaliação da eficácia
risco residual são
desse tratamento
toleráveis

se não forem
toleráveis, a definição e
implementação de um
novo tratamento para
os riscos
 Tratamento de riscos

  ação de evitar o risco ao se decidir não iniciar ou descontinuar a

atividade que dá origem ao risco;

  tomada ou aumento do risco na tentativa de tirar proveito de

uma oportunidade;

  remoção da fonte de risco;

  alteração da probabilidade;

  alteração das consequências;

  compartilhamento do risco com outra parte ou partes (incluindo

contratos e financiamento do risco); e

  retenção do risco por uma decisão consciente e bem embasada.

 Tratamento de riscos

Seleção das opções

o  várias opções de tratamento podem ser consideradas

e aplicadas individualmente ou combinadas

o  convém que a organização considere os valores e as

percepções das partes interessadas

o  convém que o plano de tratamento identifique

claramente a ordem de prioridade em que cada
tratamento deva ser implementado
 Tratamento de riscos

Seleção das opções – algumas questões

  A opção será aceita pelas partes interessadas?

  A opção será de fácil/difícil implementação?
  A opção será compatível com as demais opções a serem
adotadas?
  Quais serão os impactos sociais e econômicos gerados pela
implementação da opção?
  A opção infringirá algum requisito legal?
  A opção gerará novos riscos?
  Quais serão os riscos residuais?
 Tratamento de riscos
Plano de tratamento de riscos

o  as razões para a seleção das opções de tratamento, incluindo os

benefícios que se espera obter;
o  os responsáveis pela aprovação do plano e os responsáveis pela
implementação do plano;
o  ações propostas;
o  os recursos requeridos, incluindo contingências;
o  medidas de desempenho e restrições;
o  requisitos para a apresentação de informações e de monitoramento;
o  cronograma e programação.

A finalidade dos planos de tratamento de riscos é

documentar como as opções de tratamento escolhidas serão
implementadas
 Monitoramento e análise crítica

Finalidades
o  garantir que os controles sejam eficazes e eficientes no projeto
e na operação;

o  obter informações adicionais para melhorar o processo de

avaliação dos riscos;

o  analisar os eventos (incluindo os “quase incidentes”),

mudanças, tendências, sucessos e fracassos e aprender com eles;

o  detectar mudanças no contexto externo e interno, incluindo

alterações nos critérios de risco e no próprio risco, as quais
podem requerer revisão dos tratamentos dos riscos e suas
prioridades;

o  identificar os riscos emergentes.

 Registros do processo

Convém que as atividades de gestão de

riscos sejam rastreáveis. No processo de
gestão de riscos, os registros fornecem
os fundamentos para a melhoria dos
métodos e ferramentas, bem como de
todo o processo.
 Registros do processo

  demonstrar às partes interessadas a adequação do processo;

  fornecer evidências de uma abordagem sistemática;
  possibilitar a análise crítica do processo;
  gerar uma base de dados para a organização;
  fundamentar a tomada de decisões;
  gerar uma ferramenta para prestação de contas;
  compartilhar e comunicar informações;
  atender a requisitos regulatórios.
 Contingência, Crise e Continuidade

NÃO FAZ PARTE DA GESTÃO DE RISCOS PROPRIAMENTE DITA.

  ações imediatas
  plano de emergência
  plano de contingência
  gestão de crises

  ações subseqüentes
  plano de continuidade dos negócios
 Gestão de Riscos Positivos e
Negativos

A tendência do foco no risco negativo

Argumentos de natureza humana

•  ameaças X oportunidades
•  perda ocorrida X ganho não aproveitado
•  medidas mais drásticas com as possibilidades de perdas X ganhos

“O temor da perda freqüentemente é mais

poderoso que a esperança da vitória”
Vantagem Competitiva das Nações – Michel Porter
 Gestão de Riscos Positivos e
Negativos

O valor da gestão de riscos positivos

  Diversas organizações vêm perseguido de forma pouca estruturada as

oportunidades, ou seja, grandes investimentos em apostas intuitivas e
otimistas.

  Tudo depende do foco da organização de como o evento será entendido e

abordado.

  O “apetite ao risco (negativo)” é substituído pela “indução ao risco

(positivo)”.
Gestão de Riscos Positivos e
Negativos

FONTE: ELOGROUP
 Fatores Críticos de Sucesso

  Obter o apoio total da alta direção (sem isso, o

processo será falho e os colaboradores não
apoiarão a execução de qualquer coisa).
  Incorporar a gestão do risco no desenvolvimento e
revisão dos planos corporativos de negócio.
  Realizar auditorias e análises críticas é vital para o
sucesso contínuo do programa de gestão de risco.
  Passar a mensagem de que a gestão de risco não é
apenas outro modismo, mas é algo que pode
ajudar todos os colaboradores e gestores a serem
mais eficazes.
  E s t a b e l e c e r u m m é t o d o q u e t o d o s o s
colaboradores possam acessar e usar de forma
regular.
 Em resumo...

A fim de gerir o risco,

um processo tem que ser realizado,
devendo ser incorporado em um
sistema estruturado,
orientado por princípios de gestão
e baseado em um vocabulário comum.
Para relaxar...
Você tem a liberdade de:
Compartilhar Copiar, distribuir e transmitir a obra.
Remixar Criar obras derivadas.
 
Sob as seguintes condições:
Atribuição Você deve creditar a obra da forma especificada pelo
autor ou licenciante (mas não de maneira que sugira que estes
concedem qualquer aval a você ou ao seu uso da obra).
 
Uso não comercial Você não pode usar esta obra para fins comerciais.
Compartilhamento pela mesma licença Se você alterar, transformar
ou criar em cima desta obra, você poderá distribuir a obra resultante
apenas sob a mesma licença, ou sob uma licença similar à presente.
 
Renúncia Qualquer das condições acima pode ser renunciada se
você obtiver permissão do titular dos direitos autorais.
Guilherme A.Witte Cruz Machado
guilherme@sextante.net.br
+11 9 8442-0153
+11 2935-7655