Explorar E-books
Categorias
Explorar Audiolivros
Categorias
Explorar Revistas
Categorias
Explorar Documentos
Categorias
ISO 31000
2018
Portuguesa
Gestão do risco
Linhas de orientação
Management du risque
Lignes directrices
Risk management
Guidelines
ICS HOMOLOGAÇÃO
03.100.01 Termo de Homologação n.º 67/2018, de 2018-03-29
A presente Norma resulta da revisão da NP ISO 31000:2013 (Ed. 2)
ELABORAÇÃO
CORRESPONDÊNCIA CT 180 (APQ)
Versão portuguesa da ISO 31000:2018
3ª EDIÇÃO
2018-04-16
CÓDIGO DE PREÇO
X006
p. 3 de 21
Sumário Página
Preâmbulo nacional ................................................................................................................................. 2
Introdução ................................................................................................................................................. 5
1 Objetivo e campo de aplicação ............................................................................................................. 6
2 Referências normativas ........................................................................................................................ 6
3 Termos e definições ............................................................................................................................... 6
4 Princípios ............................................................................................................................................... 7
5 Estrutura ................................................................................................................................................ 9
5.1 Generalidades ....................................................................................................................................... 9
5.2 Liderança e compromisso .................................................................................................................... 10
5.3 Integração ............................................................................................................................................. 10
5.4 Design .................................................................................................................................................. 11
5.4.1 Compreender a organização e o seu contexto ................................................................................... 11
5.4.2 Articular o compromisso da gestão do risco ..................................................................................... 11
5.4.3 Atribuir funções, autoridades, responsabilidades e responsabilizações organizacionais .................. 12
5.4.4 Alocar recursos.................................................................................................................................. 12
5.4.5 Estabelecer a comunicação e a consulta............................................................................................ 12
5.5 Implementação ..................................................................................................................................... 13
5.6 Avaliação.............................................................................................................................................. 13
5.7 Melhoria ............................................................................................................................................... 13
5.7.1 Adaptar .............................................................................................................................................. 13
5.7.2 Melhorar continuamente ................................................................................................................... 13
6 Processo .................................................................................................................................................. 13
6.1 Generalidades ....................................................................................................................................... 13
6.2 Comunicação e consulta ....................................................................................................................... 14
6.3 Âmbito, contexto e critérios ................................................................................................................. 15
6.3.1 Generalidades .................................................................................................................................... 15
6.3.2 Definição do âmbito .......................................................................................................................... 15
6.3.3 Contextos externo e interno .............................................................................................................. 15
6.3.4 Definição dos critérios do risco......................................................................................................... 16
6.4 Apreciação do risco .............................................................................................................................. 16
6.4.1 Generalidades .................................................................................................................................... 16
6.4.2 Identificação do risco ........................................................................................................................ 16
NP
ISO 31000
2018
p. 4 de 21
p. 5 de 21
Introdução
Este documento é para ser utilizado por pessoas que criam e protegem valor nas organizações, através da
gestão do risco, da tomada de decisões, do estabelecimento e consecução de objetivos e da melhoria do
desempenho.
As organizações de todos os tipos e dimensões enfrentam fatores externos e internos e influências que criam
incerteza sobre a consecução dos seus objetivos.
A gestão do risco é iterativa e ajuda as organizações na definição da estratégia, na consecução dos objetivos
e na tomada informada de decisões.
A gestão do risco é parte da governação e liderança e é fundamental para o modo como a organização é
gerida a todos os níveis. A gestão do risco contribui para a melhoria dos sistemas de gestão.
A gestão do risco é parte de todas as atividades associadas a uma organização e inclui a interação com as
partes interessadas.
A gestão do risco considera os contextos externo e interno da organização, incluindo o comportamento
humano e os fatores culturais.
A gestão do risco é baseada nos princípios, estrutura e processo descritos neste documento, como ilustrado
na Figura 1. Estes componentes poderão já existir, total ou parcialmente na organização, no entanto, poderão
ter de ser adaptados ou melhorados para que a gestão do risco seja eficiente, eficaz e consistente.
p. 6 de 21
2 Referências normativas
Não há referências normativas no presente documento.
3 Termos e definições
Para os fins do presente documento aplicam-se os seguintes termos e definições.
A ISO e a IEC gerem bases de dados de terminologia cujo objetivo é a sua utilização como ferramentas de
normalização. Estão disponíveis nos seguintes endereços:
ISO Online browsing platform: http://www.iso.org/obp
IEC Electropedia: http://www.electropedia.org
3.1 risco
Efeito da incerteza nos objetivos.
NOTA 1 à secção: Um efeito é um desvio relativamente ao esperado. Pode ser positivo, negativo ou ambos e pode abordar, criar ou
resultar em oportunidades e ameaças.
NOTA 2 à secção: Os objetivos podem ter diferentes aspetos e categorias e podem ser aplicados a diferentes níveis.
NOTA 3 à secção: O risco é frequentemente expresso em termos de fontes do risco (3.4), eventos (3.5) potenciais, suas
consequências (3.6) e a sua verosimilhança (3.7).
3.5 evento
Ocorrência ou alteração de um conjunto particular de circunstâncias.
NOTA 1 à secção: Um evento pode ter uma ou mais ocorrências, e pode ter várias causas e várias consequências (3.6).
NOTA 2 à secção: Um evento pode consistir em algo esperado que não ocorra, ou algo que não é esperado mas que ocorre.
NOTA 3 à secção: Um evento pode ser uma fonte do risco.
NP
ISO 31000
2018
p. 7 de 21
3.6 consequência
Resultado de um evento (3.5) que afeta objetivos.
NOTA 1 à secção: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos diretos ou indiretos nos
objetivos.
NOTA 2 à secção: As consequências podem ser expressas qualitativa ou quantitativamente.
NOTA 3 à secção: Qualquer consequência pode intensificar-se através de efeitos em cascata e cumulativos.
3.7 verosimilhança
Possibilidade de algo ocorrer.
NOTA 1 à secção: Na terminologia da gestão do risco (3.2), a palavra “verosimilhança” é utilizada para indicar a possibilidade de
algo ocorrer, quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou
quantitativamente, e descrita utilizando termos gerais ou matemáticos (como uma probabilidade ou uma frequência num
determinado período de tempo).
NOTA 2 à secção: O termo inglês “likelihood” não tem uma equivalência direta em alguns idiomas; em vez disso, é frequentemente
utilizado o termo equivalente a “probability”. No entanto, em inglês, o termo “probability” está muitas vezes limitado à sua
interpretação como termo matemático. Por consequência, na terminologia da gestão do risco, o termo “likelihood” é utilizado com
a finalidade de ter a mesma interpretação lata que o termo “probability” tem em muitas línguas que não o inglês.
3.8 controlo
Medida que mantém e/ou modifica o risco (3.1).
NOTA 1 à secção: Um controlo inclui, mas não está limitado a qualquer processo, política, dispositivo, prática ou outras condições
e/ou ações que mantenham e/ou modifiquem o risco.
NOTA 2 à secção: Um controlo poderá nem sempre exercer o pretendido, ou assumido, efeito de modificação.
4 Princípios
A finalidade da gestão do risco é a criação e proteção de valor. A gestão do risco melhora o desempenho,
encoraja a inovação e suporta a consecução de objetivos.
Os princípios descritos na Figura 2 fornecem orientações sobre as características da gestão do risco eficiente
e eficaz, comunicando o seu valor e explicando a sua intenção e finalidade. Os princípios constituem a base
para a gestão do risco e deverão ser tidos em consideração no estabelecimento da estrutura e dos processos
da gestão do risco da organização. Estes princípios deverão permitir a uma organização gerir os efeitos da
incerteza nos seus objetivos.
NP
ISO 31000
2018
p. 8 de 21
Melhoria
Contínua Integrada
Fatores
Estruturada
Humanos e
e
Culturais Criação e Abrangente
Proteção
Melhor de Valor Persona-
Informação
lizada
Disponível
Dinâmica Inclusiva
Figura 2 – Princípios
Uma gestão do risco eficaz requer os elementos da Figura 2 e pode ser explicada de modo mais detalhado
como segue.
a) Integrada
A gestão do risco é parte integrante de todas as atividades da organização.
b) Estruturada e abrangente
Uma abordagem estruturada e abrangente da gestão do risco contribui para resultados consistentes e
comparáveis.
c) Personalizada
A estrutura e os processos da gestão do risco são personalizados e proporcionados aos contextos externo
e interno da organização assim como aos seus objetivos.
d) Inclusiva
O envolvimento apropriado e oportuno das partes interessadas permite que o seu conhecimento, pontos
de vista e perceções sejam considerados. Isto resulta numa gestão do risco mais consciencializada e
informada.
e) Dinâmica
Os riscos podem surgir, mudar ou desaparecer como resultado das mudanças nos contextos externo e
interno de uma organização. A gestão do risco antecipa, deteta, reconhece e responde a essas mudanças e
eventos de um modo apropriado e oportuno.
f) Melhor informação disponível
As entradas para a gestão do risco baseiam-se na informação histórica e atual, assim como nas
expectativas futuras. A gestão do risco tem em linha de conta explicitamente quaisquer limitações e
NP
ISO 31000
2018
p. 9 de 21
incertezas associadas a essas informação e expectativas. A informação deverá ser oportuna, clara e estar
disponível às partes interessadas relevantes.
g) Fatores humanos e culturais
O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão do risco
em cada nível e fase.
h) Melhoria contínua
A gestão do risco é melhorada continuamente com a aprendizagem e a experiência.
5 Estrutura
5.1 Generalidades
O objetivo da estrutura da gestão do risco é ajudar a organização na integração da gestão do risco em todas
as suas atividades e funções significativas. A eficácia da gestão do risco dependerá da sua integração na
governação da organização, incluindo a tomada de decisão. Isto requer o apoio das partes interessadas, em
particular da gestão de topo.
O desenvolvimento da estrutura engloba a integração, design, implementação, avaliação e melhoria da gestão
do risco em todo a organização. A Figura 3 ilustra os componentes de uma estrutura.
Figura 3 – Estrutura
A organização deverá avaliar as suas práticas e processos da gestão do risco existentes, avaliar quaisquer
lacunas e tratar essas lacunas no âmbito da estrutura.
Os componentes da estrutura e o modo como trabalham em conjunto, deverão ser adaptados às necessidades
da organização.
NP
ISO 31000
2018
p. 10 de 21
5.3 Integração
A integração da gestão do risco assenta num entendimento das estruturas e contexto organizacionais. As
estruturas diferem, dependendo da finalidade, metas e complexidade da organização. O risco é gerido em
todos os elementos da estrutura da organização. Cada um na organização tem responsabilidade na gestão do
risco.
A governação orienta o curso da organização, as suas relações externas e internas e as regras, processos e
práticas necessárias para alcançar a sua finalidade. As estruturas de gestão traduzem a direção da governação
na estratégia e objetivos associados requeridos para alcançar os níveis desejados de desempenho sustentável
NP
ISO 31000
2018
p. 11 de 21
5.4 Design
p. 12 de 21
*)
“Feedback” na versão da norma em inglês (nota nacional).
NP
ISO 31000
2018
p. 13 de 21
5.5 Implementação
A organização deverá implementar a estrutura da gestão do risco, do modo seguinte:
desenvolvendo um plano adequado incluindo calendarização e recursos;
identificando, em toda a organização, onde, quando e como os diferentes tipos de decisão são tomados e
por quem;
modificando os processos de tomada de decisão quando necessário;
assegurando que as disposições definidas pela organização para gerir o risco são claramente
compreendidas e postas em prática.
A implementação com sucesso da estrutura requer o empenhamento e consciencialização das partes
interessadas. Tal permite às organizações considerar explicitamente a incerteza na tomada de decisão, ao
mesmo tempo que assegura que qualquer incerteza nova ou subsequente seja tida em conta quando surgir.
O design e a implementação apropriados da estrutura da gestão do risco, assegurará que o processo da gestão
do risco seja parte de todas as atividades, incluindo a tomada de decisão, em toda a organização e que as
mudanças nos contextos externo e interno sejam apreendidas adequadamente.
5.6 Avaliação
Para avaliar a eficácia da estrutura da gestão do risco, a organização deverá:
medir periodicamente o desempenho da estrutura da gestão do risco em relação ao seu propósito, planos
de implementação, indicadores e comportamento esperado;
determinar se continua adequada ao apoio da consecução dos objetivos da organização.
5.7 Melhoria
5.7.1 Adaptar
A organização deverá monitorizar e adaptar continuamente a estrutura da gestão do risco em função das
mudanças internas e externas à organização. Ao fazê-lo, a organização pode melhorar o seu valor.
6 Processo
6.1 Generalidades
O processo da gestão do risco envolve a aplicação sistemática de políticas, procedimentos e práticas nas
atividades de comunicação e consulta, estabelecimento do contexto e na apreciação, tratamento,
monitorização, revisão, registo e reporte do risco. Este processo é ilustrado na Figura 4.
NP
ISO 31000
2018
p. 14 de 21
Figura 4 – Processo
O processo da gestão do risco deverá ser uma parte integrante da gestão e tomada de decisão e integrado na
estrutura, nas operações e nos processos da organização. Pode ser aplicado ao nível estratégico, operacional,
em programas ou em projetos.
Pode haver muitas aplicações do processo da gestão do risco numa organização, personalizadas para alcançar
objetivos e adaptadas aos contextos externo e interno em que são aplicadas.
A natureza dinâmica e variável do comportamento humano e da cultura deverá ser considerada ao longo de
todo o processo da gestão do risco.
Embora o processo de gestão do risco seja frequentemente apresentado como sequencial, na prática é
iterativo.
p. 15 de 21
6.3.1 Generalidades
A finalidade do estabelecimento do âmbito, do contexto e dos critérios é a personalização do processo da
gestão do risco, permitindo uma apreciação do risco eficaz e o seu tratamento adequado. O âmbito, o
contexto e os critérios envolvem a definição do âmbito do processo e a compreensão dos contextos externo e
interno.
p. 16 de 21
6.4.1 Generalidades
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco.
A apreciação do risco deverá ser conduzida de modo sistemático, iterativo e colaborativo, com base no
conhecimento e nos pontos de vista das partes interessadas. Deverá utilizar a melhor informação disponível,
complementada por consultas suplementares, como necessário.
p. 17 de 21
p. 18 de 21
6.5.1 Generalidades
A finalidade do tratamento do risco é selecionar e implementar opções para abordar o risco.
O tratamento do risco envolve um processo iterativo de:
formular e selecionar as opções de tratamento do risco;
planear e implementar o tratamento do risco;
apreciar a eficácia desse tratamento;
decidir se o risco residual é aceitável;
não sendo aceitável, proceder ao tratamento suplementar.
p. 19 de 21
interessadas. A seleção das opções de tratamento do risco deverá ser efetuada de acordo com os objetivos da
organização, critérios do risco e recursos disponíveis.
Aquando da seleção das opções do tratamento do risco, a organização deverá considerar os valores,
perceções e o envolvimento potencial das partes interessadas, bem como os modos mais adequados de
comunicar com elas e de as consultar. Embora igualmente eficazes, alguns tratamentos do risco podem ser
mais aceitáveis para algumas partes interessadas do que para outras.
Ainda que haja um design e uma implementação cuidadosos, o tratamento do risco poderá não produzir os
resultados pretendidos e ter consequências não desejadas. A monitorização e a revisão são necessárias como
partes integrantes da implementação do tratamento do risco para assegurar que as diferentes formas de
tratamento resultam e permanecem eficazes.
O tratamento do risco pode também introduzir novos riscos que necessitem ser geridos.
Se não existem opções de tratamento disponíveis ou se as opções de tratamento não modificam
suficientemente o risco, o risco deverá ser registado e mantido sob revisão permanente.
Os decisores e outras partes interessadas deverão estar cientes da natureza e da extensão do risco residual
após o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e,
quando apropriado, tratamento suplementar.
p. 20 de 21
p. 21 de 21
Bibliografia