Norma NP

ISO 31000
2018
Portuguesa
Gestão do risco
Linhas de orientação
Management du risque
Lignes directrices

Risk management
Guidelines

ICS HOMOLOGAÇÃO
03.100.01 Termo de Homologação n.º 67/2018, de 2018-03-29
A presente Norma resulta da revisão da NP ISO 31000:2013 (Ed. 2)

ELABORAÇÃO
CORRESPONDÊNCIA CT 180 (APQ)
Versão portuguesa da ISO 31000:2018

3ª EDIÇÃO
2018-04-16

CÓDIGO DE PREÇO
X006

 IPQ reprodução proibida

Instituto Português da ualidade

Rua António Gião, 2
2829-513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 948 101

E-mail: ipq@ipq.pt Internet: www.ipq.pt
Preâmbulo nacional
A presente Norma (NP ISO 31000:2018) é a terceira edição, que anula e substitui a segunda edição. Esta
edição é idêntica à ISO 31000:2018 “Risk management – Guidelines”.
Esta Norma foi preparada pela Comissão Técnica de Normalização CT 180, Gestão do risco, cuja
coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa para a
Qualidade (ONS/APQ).
A ISO 31000:2018 foi elaborada pelo Comité Técnico ISO/TC 262, Risk management.
Pode acontecer que alguns dos elementos da presente Norma sejam objeto de direitos de propriedade. A ISO
não deve ser responsabilizada pela identificação de alguns ou de todos esses direitos.
A ISO 31000:2018 foi tecnicamente revista e as principais alterações à edição anterior, são as seguintes:
 revisão dos princípios da gestão do risco, que são critérios chave para o seu sucesso;
 evidenciação da liderança pela gestão de topo e da integração da gestão do risco, começando pela
governação da organização;
 maior ênfase na natureza iterativa da gestão do risco, tendo em conta que experiências, conhecimento e
análises suplementares podem levar à revisão de elementos, ações e controlos em cada fase do processo;
 otimização do conteúdo para maior foco na sustentação de um modelo de sistemas aberto para adequação
a múltiplas necessidades e contextos.
Esta Norma contém cor.
A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta Norma.
 NP
ISO 31000
2018

p. 3 de 21

Sumário Página
Preâmbulo nacional ................................................................................................................................. 2
Introdução ................................................................................................................................................. 5
1 Objetivo e campo de aplicação ............................................................................................................. 6
2 Referências normativas ........................................................................................................................ 6
3 Termos e definições ............................................................................................................................... 6
4 Princípios ............................................................................................................................................... 7
5 Estrutura ................................................................................................................................................ 9
5.1 Generalidades ....................................................................................................................................... 9
5.2 Liderança e compromisso .................................................................................................................... 10
5.3 Integração ............................................................................................................................................. 10
5.4 Design .................................................................................................................................................. 11
5.4.1 Compreender a organização e o seu contexto ................................................................................... 11
5.4.2 Articular o compromisso da gestão do risco ..................................................................................... 11
5.4.3 Atribuir funções, autoridades, responsabilidades e responsabilizações organizacionais .................. 12
5.4.4 Alocar recursos.................................................................................................................................. 12
5.4.5 Estabelecer a comunicação e a consulta............................................................................................ 12
5.5 Implementação ..................................................................................................................................... 13
5.6 Avaliação.............................................................................................................................................. 13
5.7 Melhoria ............................................................................................................................................... 13
5.7.1 Adaptar .............................................................................................................................................. 13
5.7.2 Melhorar continuamente ................................................................................................................... 13
6 Processo .................................................................................................................................................. 13
6.1 Generalidades ....................................................................................................................................... 13
6.2 Comunicação e consulta ....................................................................................................................... 14
6.3 Âmbito, contexto e critérios ................................................................................................................. 15
6.3.1 Generalidades .................................................................................................................................... 15
6.3.2 Definição do âmbito .......................................................................................................................... 15
6.3.3 Contextos externo e interno .............................................................................................................. 15
6.3.4 Definição dos critérios do risco......................................................................................................... 16
6.4 Apreciação do risco .............................................................................................................................. 16
6.4.1 Generalidades .................................................................................................................................... 16
6.4.2 Identificação do risco ........................................................................................................................ 16
NP
ISO 31000
2018

p. 4 de 21

6.4.3 Análise do risco ................................................................................................................................. 17

6.4.4 Avaliação do risco ............................................................................................................................. 17
6.5 Tratamento do risco .............................................................................................................................. 18
6.5.1 Generalidades .................................................................................................................................... 18
6.5.2 Seleção das opções para tratamento do risco .................................................................................... 18
6.5.3 Preparação e implementação de planos para tratamento do risco ..................................................... 19
6.6 Monitorização e revisão ....................................................................................................................... 19
6.7 Registo e reporte ................................................................................................................................... 20
Bibliografia ................................................................................................................................................ 21
 NP
ISO 31000
2018

p. 5 de 21

Introdução
Este documento é para ser utilizado por pessoas que criam e protegem valor nas organizações, através da
gestão do risco, da tomada de decisões, do estabelecimento e consecução de objetivos e da melhoria do
desempenho.
As organizações de todos os tipos e dimensões enfrentam fatores externos e internos e influências que criam
incerteza sobre a consecução dos seus objetivos.
A gestão do risco é iterativa e ajuda as organizações na definição da estratégia, na consecução dos objetivos
e na tomada informada de decisões.
A gestão do risco é parte da governação e liderança e é fundamental para o modo como a organização é
gerida a todos os níveis. A gestão do risco contribui para a melhoria dos sistemas de gestão.
A gestão do risco é parte de todas as atividades associadas a uma organização e inclui a interação com as
partes interessadas.
A gestão do risco considera os contextos externo e interno da organização, incluindo o comportamento
humano e os fatores culturais.
A gestão do risco é baseada nos princípios, estrutura e processo descritos neste documento, como ilustrado
na Figura 1. Estes componentes poderão já existir, total ou parcialmente na organização, no entanto, poderão
ter de ser adaptados ou melhorados para que a gestão do risco seja eficiente, eficaz e consistente.

Figura 1 – Princípios, estrutura e processo

NP
ISO 31000
2018

p. 6 de 21

1 Objetivo e campo de aplicação

Este documento fornece linhas de orientação na gestão do risco a que as organizações têm de fazer face. A
aplicação destas linhas de orientação pode ser adaptada a qualquer organização e ao seu contexto.
Este documento fornece uma abordagem comum à gestão de qualquer tipo de risco e não é específica de
qualquer indústria ou setor.
Este documento pode ser utilizado durante a vida da organização e pode ser aplicado a qualquer atividade,
incluindo a tomada de decisão a todos os níveis.

2 Referências normativas
Não há referências normativas no presente documento.

3 Termos e definições
Para os fins do presente documento aplicam-se os seguintes termos e definições.
A ISO e a IEC gerem bases de dados de terminologia cujo objetivo é a sua utilização como ferramentas de
normalização. Estão disponíveis nos seguintes endereços:
 ISO Online browsing platform: http://www.iso.org/obp
 IEC Electropedia: http://www.electropedia.org

3.1 risco
Efeito da incerteza nos objetivos.
NOTA 1 à secção: Um efeito é um desvio relativamente ao esperado. Pode ser positivo, negativo ou ambos e pode abordar, criar ou
resultar em oportunidades e ameaças.
NOTA 2 à secção: Os objetivos podem ter diferentes aspetos e categorias e podem ser aplicados a diferentes níveis.
NOTA 3 à secção: O risco é frequentemente expresso em termos de fontes do risco (3.4), eventos (3.5) potenciais, suas
consequências (3.6) e a sua verosimilhança (3.7).

3.2 gestão do risco

Atividades coordenadas para dirigir e controlar uma organização no que respeita ao risco (3.1).

3.3 parte interessada

Pessoa ou organização que pode afetar, ser afetado ou sentir-se afetado por uma decisão ou atividade.
NOTA 1 à secção: O termo “stakeholder” pode ser utilizado como alternativa a “parte interessada”.

3.4 fonte do risco

Elemento que, por si só ou em combinação com outros, tem o potencial de originar o risco (3.1).

3.5 evento
Ocorrência ou alteração de um conjunto particular de circunstâncias.
NOTA 1 à secção: Um evento pode ter uma ou mais ocorrências, e pode ter várias causas e várias consequências (3.6).
NOTA 2 à secção: Um evento pode consistir em algo esperado que não ocorra, ou algo que não é esperado mas que ocorre.
NOTA 3 à secção: Um evento pode ser uma fonte do risco.
 NP
ISO 31000
2018

p. 7 de 21

3.6 consequência
Resultado de um evento (3.5) que afeta objetivos.
NOTA 1 à secção: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos diretos ou indiretos nos
objetivos.
NOTA 2 à secção: As consequências podem ser expressas qualitativa ou quantitativamente.
NOTA 3 à secção: Qualquer consequência pode intensificar-se através de efeitos em cascata e cumulativos.

3.7 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1 à secção: Na terminologia da gestão do risco (3.2), a palavra “verosimilhança” é utilizada para indicar a possibilidade de
algo ocorrer, quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou
quantitativamente, e descrita utilizando termos gerais ou matemáticos (como uma probabilidade ou uma frequência num
determinado período de tempo).
NOTA 2 à secção: O termo inglês “likelihood” não tem uma equivalência direta em alguns idiomas; em vez disso, é frequentemente
utilizado o termo equivalente a “probability”. No entanto, em inglês, o termo “probability” está muitas vezes limitado à sua
interpretação como termo matemático. Por consequência, na terminologia da gestão do risco, o termo “likelihood” é utilizado com
a finalidade de ter a mesma interpretação lata que o termo “probability” tem em muitas línguas que não o inglês.

3.8 controlo
Medida que mantém e/ou modifica o risco (3.1).
NOTA 1 à secção: Um controlo inclui, mas não está limitado a qualquer processo, política, dispositivo, prática ou outras condições
e/ou ações que mantenham e/ou modifiquem o risco.
NOTA 2 à secção: Um controlo poderá nem sempre exercer o pretendido, ou assumido, efeito de modificação.

4 Princípios
A finalidade da gestão do risco é a criação e proteção de valor. A gestão do risco melhora o desempenho,
encoraja a inovação e suporta a consecução de objetivos.
Os princípios descritos na Figura 2 fornecem orientações sobre as características da gestão do risco eficiente
e eficaz, comunicando o seu valor e explicando a sua intenção e finalidade. Os princípios constituem a base
para a gestão do risco e deverão ser tidos em consideração no estabelecimento da estrutura e dos processos
da gestão do risco da organização. Estes princípios deverão permitir a uma organização gerir os efeitos da
incerteza nos seus objetivos.
NP
ISO 31000
2018

p. 8 de 21

Melhoria
Contínua Integrada

Fatores
Estruturada
Humanos e
e
Culturais Criação e Abrangente
Proteção
Melhor de Valor Persona-
Informação
lizada
Disponível

Dinâmica Inclusiva

Figura 2 – Princípios
Uma gestão do risco eficaz requer os elementos da Figura 2 e pode ser explicada de modo mais detalhado
como segue.
a) Integrada
A gestão do risco é parte integrante de todas as atividades da organização.
b) Estruturada e abrangente
Uma abordagem estruturada e abrangente da gestão do risco contribui para resultados consistentes e
comparáveis.
c) Personalizada
A estrutura e os processos da gestão do risco são personalizados e proporcionados aos contextos externo
e interno da organização assim como aos seus objetivos.
d) Inclusiva
O envolvimento apropriado e oportuno das partes interessadas permite que o seu conhecimento, pontos
de vista e perceções sejam considerados. Isto resulta numa gestão do risco mais consciencializada e
informada.
e) Dinâmica
Os riscos podem surgir, mudar ou desaparecer como resultado das mudanças nos contextos externo e
interno de uma organização. A gestão do risco antecipa, deteta, reconhece e responde a essas mudanças e
eventos de um modo apropriado e oportuno.
f) Melhor informação disponível
As entradas para a gestão do risco baseiam-se na informação histórica e atual, assim como nas
expectativas futuras. A gestão do risco tem em linha de conta explicitamente quaisquer limitações e
 NP
ISO 31000
2018

p. 9 de 21

incertezas associadas a essas informação e expectativas. A informação deverá ser oportuna, clara e estar
disponível às partes interessadas relevantes.
g) Fatores humanos e culturais
O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão do risco
em cada nível e fase.
h) Melhoria contínua
A gestão do risco é melhorada continuamente com a aprendizagem e a experiência.

5 Estrutura

5.1 Generalidades
O objetivo da estrutura da gestão do risco é ajudar a organização na integração da gestão do risco em todas
as suas atividades e funções significativas. A eficácia da gestão do risco dependerá da sua integração na
governação da organização, incluindo a tomada de decisão. Isto requer o apoio das partes interessadas, em
particular da gestão de topo.
O desenvolvimento da estrutura engloba a integração, design, implementação, avaliação e melhoria da gestão
do risco em todo a organização. A Figura 3 ilustra os componentes de uma estrutura.

Figura 3 – Estrutura
A organização deverá avaliar as suas práticas e processos da gestão do risco existentes, avaliar quaisquer
lacunas e tratar essas lacunas no âmbito da estrutura.
Os componentes da estrutura e o modo como trabalham em conjunto, deverão ser adaptados às necessidades
da organização.
NP
ISO 31000
2018

p. 10 de 21

5.2 Liderança e compromisso

A gestão de topo e os órgãos de supervisão, quando aplicável, deverão assegurar que a gestão do risco é
integrada em todas as atividades da organização e deverão demonstrar liderança e compromisso do modo
seguinte:
 personalizando e implementando todos os componentes da estrutura;
 emitindo uma declaração ou definindo uma política que estabeleça uma abordagem, planeamento ou
curso de ação da gestão do risco;
 assegurando que os recursos necessários são alocados à gestão do risco;
 atribuindo autoridades, responsabilidades e responsabilizações aos níveis apropriados dentro da
organização.
Isto ajudará a organização a:
 alinhar a gestão do risco com os seus objetivos, estratégia e cultura;
 reconhecer e tratar todas as obrigações, bem como os seus compromissos voluntários;
 estabelecer a magnitude e o tipo de riscos que poderão ou não ser assumidos para orientar o
desenvolvimento de critérios do risco, assegurando que são comunicados à organização e às suas partes
interessadas;
 comunicar o valor da gestão do risco à organização e às suas partes interessadas;
 promover a monitorização sistemática dos riscos;
 assegurar que a estrutura da gestão do risco se mantém apropriada ao contexto da organização.
A gestão de topo é responsabilizável por gerir o risco, enquanto que os órgãos de supervisão são
responsabilizáveis por supervisionar a gestão do risco. Espera-se ou requer-se frequentemente que os órgãos
de supervisão:
 assegurem que os riscos são adequadamente tidos em conta quando são estabelecidos os objetivos da
organização;
 entendam os riscos enfrentados pela organização na prossecução dos seus objetivos;
 assegurem que os sistemas para gerir esses riscos são implementados e operacionalizados de modo
eficaz;
 assegurem que esses riscos são apropriados no contexto dos objetivos da organização;
 assegurem que a informação acerca desses riscos e a sua gestão é devidamente comunicada.

5.3 Integração
A integração da gestão do risco assenta num entendimento das estruturas e contexto organizacionais. As
estruturas diferem, dependendo da finalidade, metas e complexidade da organização. O risco é gerido em
todos os elementos da estrutura da organização. Cada um na organização tem responsabilidade na gestão do
risco.
A governação orienta o curso da organização, as suas relações externas e internas e as regras, processos e
práticas necessárias para alcançar a sua finalidade. As estruturas de gestão traduzem a direção da governação
na estratégia e objetivos associados requeridos para alcançar os níveis desejados de desempenho sustentável
 NP
ISO 31000
2018

p. 11 de 21

e viabilidade a longo prazo. A determinação da responsabilização da gestão do risco e das funções de

supervisão numa organização é parte integrante da governação da organização.
A integração da gestão do risco numa organização é um processo dinâmico e iterativo e deverá ser
personalizado às necessidades e cultura da organização. A gestão do risco deverá ser uma parte, e não
separada, da finalidade, governação, liderança e compromisso, estratégia, objetivos e operações da
organização.

5.4 Design

5.4.1 Compreender a organização e o seu contexto

No design da estrutura da gestão do risco, a organização deverá examinar e compreender os respetivos
contextos externo e interno.
Examinar o contexto externo de uma organização poderá incluir, entre outros:
 fatores sociais, culturais, políticos, legais, regulamentares, financeiros, tecnológicos, económicos e
ambientais, sejam internacionais, nacionais, regionais ou locais;
 fatores chave e tendências que afetam os objetivos da organização;
 relações, perceções, valores, necessidades e expectativas das partes interessadas externas;
 relações contratuais e compromissos;
 a complexidade das ligações em rede e dependências.
Examinar o contexto interno de uma organização poderá incluir, entre outros:
 visão, missão e valores;
 governação, estrutura organizacional, funções e responsabilizações;
 estratégia, objetivos e políticas;
 cultura da organização;
 normas, linhas de orientação e modelos adotados pela organização;
 capacidades, entendidas como recursos e conhecimento (p. ex. capital, tempo, pessoas, propriedade
intelectual, processos, sistemas e tecnologias);
 dados, sistemas de informação e fluxos de informação;
 relações com partes interessadas internas tomando em consideração os seus valores e perceções;
 relações contratuais e compromissos;
 interdependências e interligações.

5.4.2 Articular o compromisso da gestão do risco

A gestão de topo e os órgãos de supervisão, quando aplicável, deverão demonstrar e articular o seu
compromisso permanente com a gestão do risco mediante uma política, uma declaração ou outras formas,
que transmitam claramente os objetivos e o compromisso de uma organização com a gestão do risco. O
compromisso deverá incluir, entre outros:
 a finalidade da organização na gestão do risco e as ligações aos seus objetivos e outras políticas;
NP
ISO 31000
2018

p. 12 de 21

 o reforço da necessidade de integrar a gestão do risco na cultura global da organização;

 a liderança da integração da gestão do risco nas principais atividades de negócio e na tomada de decisão;
 as autoridades, responsabilidades e responsabilizações;
 a disponibilização dos recursos necessários;
 o modo como os objetivos conflituantes são geridos;
 a medição e o reporte no conjunto dos indicadores de desempenho da organização;
 a revisão e a melhoria.
O compromisso com a gestão do risco deverá ser comunicado no seio da organização e às partes
interessadas, como aplicável.

5.4.3 Atribuir funções, autoridades, responsabilidades e responsabilizações organizacionais

A gestão de topo e os órgãos de supervisão, quando aplicável, deverão assegurar que as autoridades,
responsabilidades e responsabilizações, para as funções relevantes respeitantes à gestão do risco, são
atribuídas e comunicadas a todos os níveis da organização e deverão:
 enfatizar que a gestão do risco é uma responsabilidade fulcral;
 identificar as pessoas com a responsabilização e a autoridade para gerir o risco (donos do risco).

5.4.4 Alocar recursos

A gestão de topo e os órgãos de supervisão, quando aplicável, deverão assegurar a alocação dos recursos
apropriados para a gestão do risco, que podem incluir, entre outros:
 pessoas, aptidões, experiência e competência;
 processos da organização, métodos e ferramentas a utilizar para gerir o risco;
 processos e procedimentos documentados;
 sistemas de gestão da informação e do conhecimento;
 necessidades de desenvolvimento e de formação profissionais.
A organização deverá considerar as capacidades e os constrangimentos dos recursos existentes.

5.4.5 Estabelecer a comunicação e a consulta

A organização deverá estabelecer uma abordagem aprovada para a comunicação e a consulta para apoiar a
estrutura e facilitar a aplicação eficaz da gestão do risco. A comunicação envolve a partilha de informação
com públicos-alvo. A consulta também envolve participantes que fornecem retorno de informação *) na
expectativa de que contribuirá para, e moldará, decisões ou outras atividades. Os métodos e conteúdos da
comunicação e da consulta deverão refletir as expectativas das partes interessadas, quando relevantes.
A comunicação e a consulta deverão ser oportunas e deverão assegurar que a informação pertinente é
recolhida, coligida, sintetizada e partilhada, como apropriado, e que o retorno de informação é fornecido e as
melhorias são efetuadas.

*)
“Feedback” na versão da norma em inglês (nota nacional).
 NP
ISO 31000
2018

p. 13 de 21

5.5 Implementação
A organização deverá implementar a estrutura da gestão do risco, do modo seguinte:
 desenvolvendo um plano adequado incluindo calendarização e recursos;
 identificando, em toda a organização, onde, quando e como os diferentes tipos de decisão são tomados e
por quem;
 modificando os processos de tomada de decisão quando necessário;
 assegurando que as disposições definidas pela organização para gerir o risco são claramente
compreendidas e postas em prática.
A implementação com sucesso da estrutura requer o empenhamento e consciencialização das partes
interessadas. Tal permite às organizações considerar explicitamente a incerteza na tomada de decisão, ao
mesmo tempo que assegura que qualquer incerteza nova ou subsequente seja tida em conta quando surgir.
O design e a implementação apropriados da estrutura da gestão do risco, assegurará que o processo da gestão
do risco seja parte de todas as atividades, incluindo a tomada de decisão, em toda a organização e que as
mudanças nos contextos externo e interno sejam apreendidas adequadamente.

5.6 Avaliação
Para avaliar a eficácia da estrutura da gestão do risco, a organização deverá:
 medir periodicamente o desempenho da estrutura da gestão do risco em relação ao seu propósito, planos
de implementação, indicadores e comportamento esperado;
 determinar se continua adequada ao apoio da consecução dos objetivos da organização.

5.7 Melhoria

5.7.1 Adaptar
A organização deverá monitorizar e adaptar continuamente a estrutura da gestão do risco em função das
mudanças internas e externas à organização. Ao fazê-lo, a organização pode melhorar o seu valor.

5.7.2 Melhorar continuamente

A organização deverá melhorar continuamente a pertinência, a adequação e a eficácia da estrutura da gestão
do risco e o modo como o processo da gestão do risco é integrado.
À medida que as lacunas ou as oportunidades de melhoria relevantes são identificadas, a organização deverá
desenvolver planos e tarefas e atribuí-las aos responsabilizáveis pela implementação. Uma vez
implementadas, estas melhorias deverão contribuir para a melhoria da gestão do risco.

6 Processo

6.1 Generalidades
O processo da gestão do risco envolve a aplicação sistemática de políticas, procedimentos e práticas nas
atividades de comunicação e consulta, estabelecimento do contexto e na apreciação, tratamento,
monitorização, revisão, registo e reporte do risco. Este processo é ilustrado na Figura 4.
NP
ISO 31000
2018

p. 14 de 21

Figura 4 – Processo
O processo da gestão do risco deverá ser uma parte integrante da gestão e tomada de decisão e integrado na
estrutura, nas operações e nos processos da organização. Pode ser aplicado ao nível estratégico, operacional,
em programas ou em projetos.
Pode haver muitas aplicações do processo da gestão do risco numa organização, personalizadas para alcançar
objetivos e adaptadas aos contextos externo e interno em que são aplicadas.
A natureza dinâmica e variável do comportamento humano e da cultura deverá ser considerada ao longo de
todo o processo da gestão do risco.
Embora o processo de gestão do risco seja frequentemente apresentado como sequencial, na prática é
iterativo.

6.2 Comunicação e consulta

A finalidade da comunicação e da consulta é auxiliar as partes interessadas relevantes a compreender o risco,
sendo a base das decisões tomadas e das razões da necessidade de ações específicas. A comunicação procura
promover a consciencialização e a compreensão do risco, enquanto que a consulta envolve a obtenção de
retorno de informação e informação para suporte da tomada de decisão. A coordenação estreita entre as duas
deverá facilitar a troca factual, oportuna, relevante, precisa e compreensível de informação, tendo em
consideração a confidencialidade e integridade dessa informação assim como o direito à privacidade.
A comunicação e a consulta com as partes interessadas externas e internas apropriadas deverão ter lugar e ser
integradas em todas as etapas do processo da gestão do risco.
A comunicação e a consulta visam:
 reunir diferentes áreas de especialização para cada etapa do processo da gestão do risco;
 assegurar que diferentes pontos de vista são considerados de modo apropriado na definição dos critérios
do risco e na avaliação dos riscos;
 NP
ISO 31000
2018

p. 15 de 21

 fornecer informação suficiente para facilitar a supervisão do risco e a tomada de decisão;

 construir um sentido de inclusão e pertença entre os afetados pelo risco.

6.3 Âmbito, contexto e critérios

6.3.1 Generalidades
A finalidade do estabelecimento do âmbito, do contexto e dos critérios é a personalização do processo da
gestão do risco, permitindo uma apreciação do risco eficaz e o seu tratamento adequado. O âmbito, o
contexto e os critérios envolvem a definição do âmbito do processo e a compreensão dos contextos externo e
interno.

6.3.2 Definição do âmbito

A organização deverá definir o âmbito das suas atividades de gestão do risco.
Como o processo da gestão do risco poderá ser aplicado a diferentes níveis (p. ex. estratégico, operacional, a
programas, a projetos ou a outras atividades), é importante ser claro sobre o âmbito em consideração, os
objetivos relevantes a serem considerados e o seu alinhamento com os objetivos da organização.
No planeamento da abordagem, as considerações incluem:
 objetivos e decisões que precisam de ser tomadas;
 resultados pretendidos das etapas do processo;
 momento, local, inclusões e exclusões específicas;
 ferramentas e técnicas adequadas de apreciação do risco;
 recursos necessários, responsabilidades e registos a serem mantidos;
 relações com outros projetos, processos e atividades.

6.3.3 Contextos externo e interno

Os contextos externo e interno constituem o ambiente em que a organização procura definir e atingir os seus
objetivos.
O contexto do processo de gestão do risco deverá ser estabelecido a partir da compreensão dos ambientes
externo e interno, no qual a organização opera e deverá refletir o ambiente específico da atividade a que o
processo da gestão do risco vai ser aplicado.
A compreensão do contexto é importante porque:
 a gestão do risco ocorre no contexto dos objetivos e atividades da organização;
 os fatores organizacionais podem ser uma fonte do risco;
 a finalidade e o âmbito do processo da gestão do risco poderão estar interligados com os objetivos da
organização como um todo.
A organização deverá estabelecer os contextos externo e interno do processo da gestão do risco tendo em
consideração os fatores mencionados em 5.4.1.
NP
ISO 31000
2018

p. 16 de 21

6.3.4 Definição dos critérios do risco

A organização deverá especificar a magnitude e tipo de riscos que poderá ou não assumir, em relação aos
objetivos. Deverá também definir critérios para avaliar a significância do risco e para suportar os processos
de tomada de decisão. Os critérios do risco deverão estar alinhados com a estrutura da gestão do risco e
adaptados para a finalidade e âmbito específicos da atividade em consideração. Os critérios do risco deverão
refletir os valores, objetivos e recursos da organização e ser consistentes com as políticas e declarações sobre
a gestão do risco. Os critérios deverão ser definidos tendo em consideração as obrigações da organização e
os pontos de vista das partes interessadas.
Embora os critérios do risco devam ser estabelecidos no início do processo da apreciação do risco, eles são
dinâmicos e deverão ser continuamente revistos e, se necessário, modificados.
Na definição dos critérios do risco, deverá ser considerado o seguinte:
 a natureza e tipos de incertezas que podem afetar os resultados e os objetivos (tangíveis e intangíveis);
 como as consequências (tanto positivas quanto negativas) e a verosimilhança serão definidas e medidas;
 fatores temporais;
 consistência na utilização das medições;
 como será determinado o nível do risco;
 como serão levadas em consideração as combinações e sequências de múltiplos riscos;
 a capacidade da organização.

6.4 Apreciação do risco

6.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
A apreciação do risco deverá ser conduzida de modo sistemático, iterativo e colaborativo, com base no
conhecimento e nos pontos de vista das partes interessadas. Deverá utilizar a melhor informação disponível,
complementada por consultas suplementares, como necessário.

6.4.2 Identificação do risco

A finalidade da identificação do risco é encontrar, reconhecer e descrever riscos que possam ajudar ou
impedir que uma organização atinja os seus objetivos. A informação relevante, adequada e atualizada é
importante na identificação dos riscos.
A organização pode utilizar uma variedade de técnicas para identificar incertezas que possam afetar um ou
mais objetivos. Os fatores seguintes e a sua inter-relação deverão ser considerados:
 fontes do risco tangíveis e intangíveis;
 causas e eventos;
 ameaças e oportunidades;
 vulnerabilidades e capacidades;
 mudanças nos contextos externo e interno;
 indicadores de riscos emergentes;
 NP
ISO 31000
2018

p. 17 de 21

 natureza e valor de ativos e recursos;

 consequências e os seus impactos nos objetivos;
 limitações do conhecimento e fiabilidade da informação;
 fatores temporais;
 juízos enviesados, pressupostos e convicções dos envolvidos.
A organização deverá identificar os riscos, independentemente das suas fontes estarem ou não sob seu
controlo. Deverá ser tido em consideração que poderá haver mais do que um tipo de resultado, que poderá
resultar numa variedade de consequências tangíveis ou intangíveis.

6.4.3 Análise do risco

A finalidade da análise do risco é compreender a natureza do risco e as suas características incluindo, quando
apropriado, o nível do risco. A análise do risco envolve a consideração detalhada das incertezas, fontes do
risco, consequências, verosimilhança, eventos, cenários, controlos e a sua eficácia. Um evento pode ter
múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise do risco pode ser efetuada com graus variáveis de detalhe e complexidade, dependendo da
finalidade da análise, da disponibilidade e fiabilidade da informação e dos recursos disponíveis. As técnicas
de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das circunstâncias e
da utilização pretendida.
A análise do risco deverá considerar fatores como:
 verosimilhança dos eventos e consequências;
 natureza e magnitude das consequências;
 complexidade e conetividade;
 fatores temporais e volatilidade;
 eficácia dos controlos existentes;
 sensibilidade e níveis de confiança.
A análise do risco poderá ser influenciada por qualquer divergência de opiniões, preconceitos, perceções do
risco e juízos. A qualidade da informação utilizada, os pressupostos e exclusões considerados, quaisquer
limitações das técnicas e o modo como são executadas, são influências suplementares. Estas influências
deverão ser consideradas, documentadas e comunicadas aos decisores.
Os eventos com incerteza elevada podem ser difíceis de quantificar. Isto pode ser um problema ao analisar
eventos com consequências severas. Nestes casos a utilização de uma combinação de técnicas geralmente
fornece uma melhor visão.
A análise do risco fornece uma entrada para a avaliação do risco, para decisões sobre se o risco necessita de
ser tratado e o modo de o fazer, e sobre a estratégia e métodos de tratamento do risco mais adequados. Os
resultados fornecem uma visão para as decisões, em que as escolhas vão sendo feitas e as opções envolvem
diferentes tipos e níveis do risco.

6.4.4 Avaliação do risco

A finalidade da avaliação do risco é apoiar decisões. A avaliação do risco envolve a comparação dos
resultados da análise do risco com os critérios do risco estabelecidos para determinar se é requerida uma ação
suplementar. Isto pode levar a uma decisão de:
NP
ISO 31000
2018

p. 18 de 21

 não fazer mais nada;

 considerar opções de tratamento do risco;
 realizar análises suplementares para compreender melhor o risco;
 manter os controlos existentes;
 reconsiderar os objetivos.
As decisões deverão ter em conta o contexto mais amplo e as consequências reais e percecionadas para as
partes interessadas externas e internas.
O resultado da avaliação do risco deverá ser registado, comunicado e depois validado nos níveis apropriados
da organização.

6.5 Tratamento do risco

6.5.1 Generalidades
A finalidade do tratamento do risco é selecionar e implementar opções para abordar o risco.
O tratamento do risco envolve um processo iterativo de:
 formular e selecionar as opções de tratamento do risco;
 planear e implementar o tratamento do risco;
 apreciar a eficácia desse tratamento;
 decidir se o risco residual é aceitável;
 não sendo aceitável, proceder ao tratamento suplementar.

6.5.2 Seleção das opções para tratamento do risco

Selecionar a(s) opção(ões) mais adequada(s) para o tratamento do risco envolve a ponderação dos potenciais
benefícios que resultem da relação entre a consecução dos objetivos e os custos, o esforço ou as
desvantagens da implementação.
As opções para o tratamento do risco não são necessariamente adequadas ou mutuamente exclusivas em
todas as circunstâncias.
As opções para o tratamento do risco poderão envolver uma ou mais das seguintes ações:
 evitar o risco ao decidir não iniciar ou continuar com a atividade que origina o risco;
 aceitar ou aumentar o risco de modo a explorar uma oportunidade;
 remover a fonte do risco;
 alterar a verosimilhança;
 alterar as consequências;
 partilhar o risco (p. ex. através de contratos, aquisição de seguros);
 reter o risco mediante decisão informada.
A justificação para o tratamento do risco abrange mais do que apenas considerações económicas e deverá ter
em conta todas as obrigações da organização, compromissos voluntários e as perspetivas das partes
 NP
ISO 31000
2018

p. 19 de 21

interessadas. A seleção das opções de tratamento do risco deverá ser efetuada de acordo com os objetivos da
organização, critérios do risco e recursos disponíveis.
Aquando da seleção das opções do tratamento do risco, a organização deverá considerar os valores,
perceções e o envolvimento potencial das partes interessadas, bem como os modos mais adequados de
comunicar com elas e de as consultar. Embora igualmente eficazes, alguns tratamentos do risco podem ser
mais aceitáveis para algumas partes interessadas do que para outras.
Ainda que haja um design e uma implementação cuidadosos, o tratamento do risco poderá não produzir os
resultados pretendidos e ter consequências não desejadas. A monitorização e a revisão são necessárias como
partes integrantes da implementação do tratamento do risco para assegurar que as diferentes formas de
tratamento resultam e permanecem eficazes.
O tratamento do risco pode também introduzir novos riscos que necessitem ser geridos.
Se não existem opções de tratamento disponíveis ou se as opções de tratamento não modificam
suficientemente o risco, o risco deverá ser registado e mantido sob revisão permanente.
Os decisores e outras partes interessadas deverão estar cientes da natureza e da extensão do risco residual
após o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e,
quando apropriado, tratamento suplementar.

6.5.3 Preparação e implementação de planos para tratamento do risco

A finalidade dos planos para tratamento do risco é especificar o modo como as opções de tratamento
escolhidas serão implementadas, de modo a que o disposto seja entendido pelos envolvidos e que o progresso
em relação ao plano possa ser monitorizado. O plano de tratamento deverá identificar claramente a ordem
pela qual o tratamento do risco deverá ser implementado.
Os planos de tratamento deverão ser integrados nos planos e processos de gestão da organização,
consultando as partes interessadas adequadas.
A informação fornecida no plano de tratamento deverá incluir:
 a lógica subjacente à seleção das opções de tratamento, incluindo os benefícios esperados;
 aqueles que são responsabilizáveis e responsáveis pela aprovação e implementação do plano;
 as ações propostas;
 os recursos requeridos, incluindo contingências;
 as medidas do desempenho;
 as restrições;
 a monitorização e o reporte requeridos;
 previsão de início e conclusão das ações.

6.6 Monitorização e revisão

A finalidade da monitorização e revisão é assegurar e melhorar a qualidade e eficácia do design,
implementação e resultados do processo. A monitorização permanente e a revisão periódica do processo de
gestão do risco e dos seus resultados deverão ser uma parte planeada do processo de gestão do risco, com
responsabilidades claramente definidas.
NP
ISO 31000
2018

p. 20 de 21

A monitorização e a revisão deverão ocorrer em todas as fases do processo. A monitorização e a revisão

incluem o planeamento, a recolha e a análise da informação, o registo de resultados e o fornecimento de
retorno de informação.
Os resultados da monitorização e revisão deverão ser incorporados nas atividades de gestão do desempenho
da organização, de medição e de reporte.

6.7 Registo e reporte

O processo da gestão do risco e os seus resultados deverão ser documentados e reportados através de
mecanismos apropriados. O registo e reporte visam:
 comunicar as atividades e resultados da gestão do risco a toda a organização;
 fornecer informação para a tomada de decisão;
 melhorar as atividades da gestão do risco;
 apoiar a interação com as partes interessadas, incluindo aquelas com responsabilidade e
responsabilizáveis pelas atividades da gestão do risco.
As decisões relativas à criação, retenção e manuseamento da informação documentada deverão ter em conta,
entre outros, a sua utilização, a sensibilidade da informação e os contextos externo e interno.
O reporte é uma parte integrante da governação da organização e deverá melhorar a qualidade do diálogo
com as partes interessadas e apoiar a gestão de topo e órgãos de supervisão no cumprimento das suas
responsabilidades. Os fatores a considerar no reporte incluem, entre outros:
 as diferentes partes interessadas e as suas necessidades de informação e requisitos específicos;
 o custo, a frequência e a oportunidade do reporte;
 o método de reporte;
 a relevância da informação para os objetivos organizacionais e para a tomada de decisão.
 NP
ISO 31000
2018

p. 21 de 21

Bibliografia

[1] IEC 31010 Risk management – Risk assessment techniques