Página 1 de 29

Sumário executivo

introdução

Parte 1: Risco, gerenciamento de risco e ISO 31000

1 Natureza e impacto do risco
2 Princípios da gestão de riscos
3 Revisão da ISO 31000
4 Para aproveitar os benefícios do MTC

Parte 2: Empresa de gestão de risco

5 Planejamento e projetar
6 Implementação e avaliação comparativa
7 de medição e monitoramento
8 de Aprendizagem e de relatórios

Apêndices
A lista A gestão de riscos
B sumário Implementação

Lista de figuras
1 Risk arquitetura estratégia e protocolos
2 Quadro para a gestão de risco (com base na ISO 31000)
3 O processo de gerenciamento de risco (com base na ISO 31000)
4 arquitectura Risco de um PLC grande
5 Drivers de gestão de risco

Lista de tabelas
1 descrição detalhada de risco
2 Conteúdo da política de gestão de risco
3 Risco responsabilidades de gestão
4 técnicas de avaliação de risco
 Página 2 de 29

Sumário Executivo

Gestão de risco é um catalisador cada vez mais importante de negócios,

sendo que os interessados têm se tornado muito mais preocupados com o
risco. Risco pode ser um condutor de decisões estratégicas, pode ser uma
causa de incerteza na organização ou pode ser simplesmente incorporados
nas atividades da organização. Toda abordagem de gestão de riscos
permite uma organização que considere o potencial de impacto de todos os
tipos de riscos em todos os processos, atividades, os interessados, os
produtos e serviços.
A implementação de uma abordagem exaustiva resulta em uma organização
que beneficia o que é muitas vezes referida como o "core do risco".

A crise financeira global, em 2008, demonstrou a importância da gestão de

riscos adequada. Desde essa época, normas de gestão de riscos novos
foram publicados, incluindo os internacionais standard, ISO 31000 de gestão
'de Risco - Princípios e diretrizes ". Este guia chama conjunto, estes
desenvolvimentos para fornecer uma abordagem estruturada para a
implementação da gestão de riscos na empresa (ERM).

Benefícios pretendidos de gestão de risco

Para todos os tipos de organizações, há uma necessidade de compreender

os riscos de ser tomadas quando se pretende atingir os objetivos e atingir o
nível desejado de recompensa. As organizações precisam entender a nível
geral de risco embutido dentro de suas processos e atividades. É importante
para organizações de reconhecer e priorizar significativa riscos e identificar
os mais fracos controles críticos.

Quando de sair para melhorar a gestão de risco desempenho, os benefícios

esperados com o risco iniciativa de gestão deve ser estabelecido em
antecedência. As saídas de risco bem-sucedido gestão de incluir a garantia
de conformidade e maior tomada de decisão. Estas saídas serão
proporcionar benefícios por meio de melhorias na eficiência das operações,
a eficácia das táticas (Projectos de mudança) e a eficácia da estratégia da
organização.

Objetivo deste guia

A gestão de risco de sucesso da empresa iniciativa pode afetar a

probabilidade e consequências dos riscos materializando, assim como
oferecer benefícios relacionados com a melhor estratégica informada
decisões de entrega, sucesso de mudança e maior eficiência operacional.
Outros benefícios incluem custo reduzido de capital, mais precisa relatórios
financeiros, vantagem competitiva, melhor percepção da organização,
 Página 3 de 29

melhor presença de mercado e, no caso do público organizações de

serviços, o reforço da política e apoio da comunidade.
Este guia fornece um breve comentário sobre ISO 31000, bem como
estabelecendo conselhos sobre a implementação de uma iniciativa ERM. O
propósito do guia é:

 descrever os princípios e processos de gestão de risco

 apresentar um breve panorama da requisitos da ISO 31000
 dar orientações práticas sobre concepção de um enquadramento
adequado
 dar conselhos práticos sobre a implementação gerenciamento de riscos
corporativos

Introdução

Este guia é o resultado do trabalho de uma equipa composta das

organizações de gestão de risco principal Reino Unido - Associação de
Seguros e Riscos Gestores (AIRMIC), o risco do setor público Management
Association (Alarm) eo Instituto de Gestão de Risco (IRM). O guia destina-se
a ser aplicável a todos os tipos de organizações.

Ao longo do guia, o Conselho palavra é usada para significar o órgão de

decisão dentro de uma organização. No setor público, este corpo pode ser
referido como o Conselho, Executivo ou Autoridade.

Há muitas opiniões sobre o que de risco gestão envolve, como deve ser
implementadas e que ela pode alcançar. Organização Internacional de
Normalização (ISO) padrão 31000 foi publicada em 2009 e busca para
responder a essas perguntas. Este guia inclui um breve comentário sobre
ISO 31000, bem como fornecendo mais informações sobre o sucesso
implementação da gestão de risco. Importante, este guia reconhece que o
risco tem tanto de cabeça para um e desvantagem.

Princípios de gestão de risco

Gestão de riscos é um processo que é sustentada por um conjunto de

princípios. Além disso, ele precisa ser apoiado por uma estrutura que é
apropriado para o organização e seu ambiente externo ou contexto. Uma
iniciativa bem sucedida gestão de risco devem ser proporcionais ao nível de
risco no organização (em relação à dimensão, natureza e complexidade da
 Página 4 de 29

organização), alinhados com outros atividades da empresa, abrangente em

seu escopo, incorporados em atividades de rotina e dinâmica, sendo
sensível às mudanças de circunstâncias. Esta abordagem permitirá uma
gestão de risco iniciativa de oferecer saídas, incluindo o cumprimento com
requisitos de governança aplicáveis, garantia para as partes interessadas
sobre a gestão de risco e de tomada de decisão melhor. O impacto ou
benefícios associados estas saídas incluem operações mais eficientes,
tácticas eficazes e estratégia eficaz. Estes benefícios devem ser
mensuráveis e sustentáveis. O Apêndice A fornece uma lista de ações que
deve ser preenchido, a fim de satisfazer plenamente risco gerenciamento de
requisitos.

COSO ERM quadro e ISO 31000

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO)

publicou um Risco Enterprise Management standard (ERM) em 2004. O
cubo COSO ERM é bem conhecido por riscoprofissionais de gerenciamento
e fornece uma quadro para a empresa ERM. Ela ganhou influência
considerável, porque está ligado ao Sarbanes-Oxley para empresas listadas
nos Estados Unidos. ISO 31000 foi publicada em 2009 como uma norma
internacionalmente acordados para o implementação dos princípios da
gestão de riscos.

Este guia fornece uma abordagem estruturada para implementar o

gerenciamento de risco em toda a empresa um base que é compatível tanto
com COSO ERM e ISO 31000. No entanto, a guia de lugares mais ênfase
na ISO 31000, porque é um padrão internacional e muitas organizações
possuem operações internacionais. Ao mesmo tempo, como publicação ISO
31000, ISO também produziu Guia 73 'A gestão de riscos - Vocabulário –
Recomendações para uso em normas ".
 Página 5 de 29

Parte 1: Risco, gerenciamento de risco e ISO 31000

Parte 1 fornece uma visão geral de risco e de risco gestão, com particular
referência à ISO 31000. A terminologia usada para descrever a etapas do
processo de gestão de risco não é consistente e esta parte reflete sobre
essas dificuldades. Um resumo da gestão de riscos requisitos que devem
estar no local, a fim de garantir bons padrões de governança de risco são
apresentados por meio de uma lista de verificação no Apêndice A.

1 - Natureza e impacto do risco

Riscos podem afetar uma organização a curto, médio e longo prazo. Estes
riscos estão relacionados com operações, táticas e estratégias,
respectivamente.

Estratégia define os objectivos a longo prazo da organização, eo horizonte

de planejamento estratégico para uma organização será tipicamente 3, 5 ou
mais anos. Táticas define como a organização pretende para alcançar a
mudança. Portanto, os riscos táticos são tipicamente associado com
projetos, fusões, aquisições e desenvolvimentos de produtos. Operações
são as atividades de rotina da organização.

Definição de risco

Há muitas definições de risco e de risco gestão. A definição da ISO Guia 73

é que o risco é o efeito "de incerteza sobre objetivos ". , A fim de o assistir
na aplicação desta definição, o Guia 73 também afirma que um efeito pode
ser positivo, negativo ou um desvio do esperado, e que o risco é muitas
vezes descrita por um evento, uma mudança de circunstâncias ou de um
conseqüência.

Esta definição ligações riscos aos objetivos. portanto, esta definição de risco
podem ser mais facilmente aplicado quando os objetivos da organização
são abrangentes e completos. Mesmo quando completamente indicado, os
objetivos também precisam de ser desafiados e os pressupostos em que
eles são baseados devem ser testados, como parte do risco processo de
gestão.
 Página 6 de 29

Por exemplo, considere a infra-estrutura de uma organização e

implementação de um novo sistema de TI. A escolha do hardware e
software são decisões estratégicas. Se essas escolhas estão
incorretas, as conseqüências não serão evidentes por algum tempo.
Os riscos associados são os riscos estratégicos e esses riscos serão
tomadas com a intenção de obter benefícios. Correta tomada de
decisões estratégicas proporcionam benefícios que resultam na
realização da cabeça de risco.

O projeto para instalar o novo hardware e software será uma iniciativa

de mudança que representa a tática pela qual estratégia será
implementada. Riscos dentro do projeto precisam ser gerenciados,
para que o projeto é entregue no prazo, dentro do orçamento e com a
especificação. Novamente, é possível alcançar um de cabeça na
execução do projeto, pelo qual o projeto é entregue no início e abaixo
do orçamento. Também é possível que o hardware de TI e software
trará benefícios maiores do que o previsto.

Uma vez que o novo hardware e software foi instalado, o sistema

ficará vulnerável a riscos operacionais, incluindo discriminação de
computador, perda de dados, ataques de vírus e erros do operador.

Estes riscos operacionais podem ser muito significativos, e os

procedimentos corretos deverão ser concebidos e implementados
para minimizar a interrupção potencial.

Gravação de avaliações de risco

Avaliação de risco envolve a identificação de riscos seguido por sua

avaliação ou classificação. É importante ter um modelo para a gravação
informações adequadas sobre cada risco. Tabela 1 mostra a gama de
informações que podem precisar de ser gravado. O objetivo de um modelo é
que as informações possam ser gravadas em uma tabela, registro de riscos,
planilha ou um computador baseado em do sistema. Embora uma simples
descrição de um risco é às vezes suficientes, há circunstâncias onde uma
descrição detalhada dos riscos pode ser necessária a fim de facilitar um
risco global processo de avaliação.

As conseqüências de um risco se materializar podem ser negativo (riscos de

perigo), positivo (riscos de oportunidade) ou pode resultar em maior
 Página 7 de 29

incerteza. Organizações necessidade de estabelecer definições apropriadas

para o diferentes níveis de probabilidade e as conseqüências associados a
estes riscos diferentes. Classificação de risco pode ser quantitativo, semi-
quantitativa ou qualitativa em termos da probabilidade de ocorrência ea
possíveis conseqüências ou impactos.

As organizações terão de definir suas próprias medidas de probabilidade de

ocorrência e conseqüências.

Por exemplo, muitas organizações descobrem que apreciação do risco e

conseqüências tão alto,média ou baixa, com os resultados apresentados em
um 3 x 3 matriz de risco é adequada. Encontrar outras organizações que as
opções são necessários mais e um 4 x 4 ou 5 x 5 matriz de risco é
necessária. Considerando o probabilidade e as conseqüências de cada
risco, será possível priorizar ou classificar os principais riscos para a análise
mais aprofundada.

Sistemas de classificação de risco

Uma parte importante da análise de risco é determinar a natureza, a fonte

ou o tipo de impacto da o risco. Avaliação de riscos, desta forma pode ser
reforçada pelo uso de uma classificação de risco do sistema. Sistemas de
classificação de risco são importantes porque elas permitem que uma
organização para identificar acumulações de riscos semelhantes. A
classificação de risco sistema também permitirá uma organização para
identificar quais as estratégias, táticas e operações são mais vulneráveis.
Sistemas de classificação de risco são geralmente baseados em a divisão
de riscos para os relacionados com a financeira controle, a eficiência
operacional, reputacional exposição e atividades comerciais. No entanto,
não existe um sistema de classificação de risco que é universalmente
aplicável a todos os tipos de organizações.
 Página 8 de 29

Tabela 1: Descrição Detalhada risco

1 Nome ou título do Identificador único ou índice de risco

risco
2 Escopo do risco Âmbito de risco e detalhes de eventos
possíveis, incluindo a descrição dos eventos,
o seu tamanho, tipo e número
3 Natureza do risco Classificação de risco, prazo do impacto
potencial e descrição como oportunidade de
perigo, ou incerteza
4 Stakeholders Partes interessadas, internas e externas, e
(partes suas expectativas
interessadas)
5 Avaliação de risco Probabilidade e magnitude do evento e
possível impacto ou as conseqüências do
risco deve se materializar no nível atual
6 Experiencia de Incidentes anteriores e as perdas antes de
perda eventos relacionados ao risco
7 Tolerancia ao Impacto potencial perda antecipada e
risco, desejo ou financeira do risco
atitude Alvo para o controle de risco e nível
desejado de desempenho
Atitude de risco, o apetite de tolerância, ou
limites para o risco
8 Resposta aos Mecanismos de controle existentes e as
riscos tratamento e atividades
controles Nível de confiança nos controles existentes
Procedimentos de acompanhamento e
avaliação do desempenho de risco
9 Potencial de Potencial para a relação custo-benefício de
melhoria de risco melhoria do risco ou modificação
Recomendações e prazos de execução
Responsabilidade de implementar todas as
melhorias
10 Desenvolvimentos A responsabilidade pela estratégia de
estratégia e desenvolvimento relacionado com o risco
política Responsabilidade pelo cumprimento de
auditoria com controles

Isso pode ser especialmente verdade para as organizações que operam no

sector público e os envolvidos na a prestação de serviços ao público.
Existem muitos sistemas de classificação de risco disponíveis e o
selecionado vai depender da dimensão, natureza e complexidade da
 Página 9 de 29

organização. ISO 31000 não recomenda um sistema de classificação de

riscos específicos e cada organização terá de desenvolver o sistema mais
adequado para a gama de riscos que enfrenta.

1 - Princípios de gestão de riscos

A gestão de riscos é um elemento central da gestão estratégica de qualquer

organização. É o processo pelo qual as organizações analisam
metodicamente os riscos inerentes às suas atividades. Uma iniciativa bem
sucedida gestão de risco deve ser proporcional ao nível de risco na
organização, alinhadas com outras atividades corporativas, abrangente em
sua escopo, incorporados em atividades de rotina e dinâmica, sendo
sensível às mudanças de circunstâncias.

O foco da gestão de riscos é a avaliação de riscos significativos ea

implementação de respostas aos riscos adequada. O objetivo é atingir o
valor máximo sustentável de todas as atividades da organização. Gestão de
risco aumenta a compreensão do potencial de upside e downside dos
fatores que podem afetar uma organização. Aumenta a probabilidade de
sucesso e reduz tanto a probabilidade de fracasso e do nível de incerteza
associado realização dos objectivos da organização.

Contexto para a gestão de riscos

de gestão de riscos deve ser um processo contínuo, que suporta o

desenvolvimento e implementação da estratégia de uma organização. Deve
metodicamente abordar todos os riscos associados a todas as atividades da
organização. Em todos os tipos de empresa, há o potencial para eventos
que constituem oportunidades para o benefício (de cabeça), as ameaças ao
sucesso (lado negativo) ou um maior grau de incerteza.

Costuma-se argumentar que, para os riscos à saúde e segurança, as

conseqüências só podem ser negativos e o gerenciamento de risco de
segurança deve se concentrar na prevenção e mitigação de danos. No
entanto, para prestadores de serviços terceirizados, boa configuração
padrões de saúde e segurança podem ser parte dos contratos de ganhar e
isso demonstra que há um lado positivo para a gestão de riscos de
segurança.

Cultura consciente do risco

Gestão de riscos deve ser integrada na cultura da organização e isso vai

incluir liderança mandato, eo compromisso do Conselho. Deve traduzir a
estratégia em objetivos de risco tático e operacional, e atribuir risco
 Página 10 de 29

responsabilidades de gestão em toda a organização. Deve apoiar a

responsabilização de medição de desempenho e recompensa, promovendo
assim a eficiência operacional em todos os níveis.

Alcançar uma cultura de risco boa consciência é assegurado pela criação de

uma estratégia de risco adequadas arquitetura e protocolos.

A fim de implementar com sucesso, apoiar e sustentar o processo de gestão

de risco, uma estrutura é necessária. ISO 31000 refere-se a esta estrutura
como o contexto de gerenciamento de risco. A figura 1 ilustra uma estrutura
adequada em termos de estratégia de risco, arquitetura e protocolos, e
descreve brevemente as principais características de cada elemento. Esta
estrutura foi concebida para dar contexto às atividades de gestão de risco e
apoiar o processo de gestão de risco.

Processo de gestão de risco

O processo de gestão de risco pode ser apresentado como uma lista de

atividades coordenadas. Há descrições alternativas desse processo, mas os
componentes listados abaixo são geralmente presentes. Esta lista
representa o 7RS e 4Ts do (hazard) de gestão de risco:

 reconhecimento ou identificação de riscos

 classificação ou avaliação de riscos
 responder a riscos significativos
o tolerar
o tratar
o transferência
o terminar
 resourcing controles
 planejamento de reação
 apresentação de relatórios e monitoramento de desempenho de risco
 revisão do quadro de gestão de risco
Figura 1: Arquitetura de risco, estratégias e protocolos
 Página 11 de 29

riscos
responsabilidades, comunicação e estratégia de risco
estrutura de relatórios papéis, Estratégia de risco, o apetite,
Arquitetura de risco especifica a atitudes e filosofia são definidos
arquitetura de risco na Política de Gestão de Risco
Processo de gestão de risco

protocolos de risco

   Protocolos de risco são apresentados na forma das

orientações de risco para a organização e incluem as regras e
procedimentos, bem como especificando as metodologias de
gestão de risco, ferramentas e técnicas que devem ser usados

Reconhecimento e classificação de riscos, juntos, formam o actividade de

avaliação de risco. ISO 31000 usa o 'tratamento de riscos' frase para incluir
todos os 4Ts incluídos na rubrica «resposta ao risco" o título. O âmbito das
respostas aos riscos disponíveis para os riscos de perigo inclui as opções
de tolerar, tratamento, transferência ou rescindir o risco ou a atividade que
dá origem a o risco. Para muitos riscos, essas respostas podem ser aplicado
em combinação. Para riscos de oportunidade, o leque de opções
disponíveis incluem a exploração o risco. Planejamento inclui a reação de
negócios planejamento de continuidade e planejamento de recuperação de
desastres.

3 - Revisão das ISO 31000

ISO 31000 descreve os componentes de um risco gestão quadro de

implementação. Figura 2 fornece uma versão simplificada desta
implementação quadro. Ele inclui as etapas essenciais no implementação e
apoio contínuo do riscoprocesso de gestão. O componente inicial de a ISO
31000 quadro é 'mandato e compromisso "pelo Conselho e este é seguido
por:
 desenho do quadro
 implementar o gerenciamento de risco
 monitorar e revisão do quadro
 melhorar o quadro
 Página 12 de 29

Estrutura para gerenciar risco

ISO 31000 descreve um quadro de implementação de gestão de risco, em

vez de um quadro de apoio a gestão do risco processo. Informações sobre a
concepção do quadro que suporta o processo de gestão de risco não é
definidos em detalhes na ISO 31000. Uma organização terá descrever o seu
quadro de apoio de risco gestão por meio da arquitetura de risco, estratégia
e protocolos para a organização.

A arquitetura do risco de estratégia, e os protocolos mostrado na Figura 1

representam os internos regras para a comunicação sobre as questões de
risco.
Ele também define os papéis e as responsabilidades do indivíduos e as
comissões que suportam o risco processo de gestão. A estratégia de risco
deve definir os objectivos que o risco de actividades de gestão na
organização está tentando alcançar. Finalmente, os protocolos de risco
descrevem os procedimentos de que a estratégia será implementada e os
riscos gerenciado.

4 - Alcançar os benefícios da ERM

Figura 3 fornece uma versão simplificada do risco processo de gestão da

ISO 31000 usando o terminologia do Guia 73. As etapas-chave na processo
são representados como avaliação de risco e tratamento de riscos. A Figura
3 também indica que o risco processo de gestão ocorre dentro do risco
contexto de gestão da organização.
 Página 13 de 29

Figura 2: Estrutura para gestão de risco (com base na ISO 31000)

 O Pcargn
líti
o iz d
egção stão
d
cP
eurj ern
to
d isco
xteru u ra
  In rp o
co raçã deg stã o eri co
d s
le m
p
Im t aro
n
e GR
lh o
e
m ra q
r o
ad
u   Im lei en
p tarm o rq
pa cesd
u ro so
R
G

n ito
o
M ra e
rvis ão d
u ad
q
o ro

Avaliação de risco
Identificação de riscos estabelece a exposição da organização a riscos e
incertezas. Isto requer um conhecimento profundo da organização, o
mercado em que atua, o legal, social, ambiente político e cultural em que ela
existe, bem como a compreensão de uma estratégica e objectivos
operacionais. Isso irá incluir o conhecimento dos fatores críticos para o
sucesso e as ameaças e oportunidades relacionadas com a realização dos
objetivos. Deve ser abordada de uma forma metódica para garantir que todo
o valor acrescentado atividades dentro da organização foram avaliados e
todos os riscos decorrentes desses atividades definidas.
O resultado da análise de risco pode ser usado para produzir um perfil de
risco que dá uma classificação de significado para cada risco e fornece uma
ferramenta para priorizar os esforços de tratamento de riscos. Isto classifica
o importância relativa de cada risco identificado. Este processo permite que
os riscos de ser mapeado para o negócio afectada, descreve o principal
mecanismos de controlo no local e indica onde o nível de investimento em
controles podem ser aumentou, diminuiu ou repartida.
A atividade de análise de risco eficaz e auxilia o funcionamento eficiente da
organização, identificando os riscos que exigem atenção pela administração.
Isso irá facilitar a capacidade de priorizar o controle de risco ações em
termos de seu potencial para beneficiar a organização. A gama de resposta
 Página 14 de 29

ao risco disponíveis tratamentos incluem tolerar, tratamento, transferência e

terminar. Uma organização pode decidir que não é também uma
necessidade de melhorar o ambiente de controle.

Tratamento de riscos

Tratamento de riscos é apresentado na ISO 31000 como a atividade de

seleção e implementação adequada medidas de controle para modificar o
risco. Risco tratamento inclui como seu principal elemento de risco, controle
(ou mitigação), mas estende-se ainda, por exemplo, para evitar riscos de
transferência de risco, e risco financiamento. Qualquer sistema de
tratamento de risco deve proporcionar eficiente e eficaz de controles
internos. Eficácia do controle interno é o grau em qual o risco quer ser
eliminados ou reduzidos pelas medidas de controle propostas. A relação
custo-eficácia de controle interno se relaciona com o custo de implementar o
controle em comparação com o risco benefícios de redução alcançados.
Cumprimento das leis e regulamentos não é uma opção. Uma organização
deve compreender o leis aplicáveis e deve implementar um sistema de
controles que cumpra. Um método de obtenção de proteção financeira
contra o impacto da riscos é por meio de financiamento de risco, incluindo
os seguros. No entanto, deve-se reconhecer que alguns perdas ou
elementos de uma perda pode ser seguráveis, tais como custos não
segurados e danos ao empregado moral e da reputação da organização.

Mecanismos de feedback

ISO 31000 reconhece a importância do feedback por meio de dois

mecanismos. Estes estão monitorando e revisão de desempenho e
comunicação e consulta. Monitorização e revisão garante que a organização
monitora o desempenho de risco e aprende com a experiência.
comunicação e consulta é apresentado na ISO 31000 como parte de o
processo de gestão de risco, mas também pode ser considerado como parte
do apoio quadro. Comunicação e divulgação são apenas muito brevemente
mencionado na ISO 31000 e eles não são incluídos no processo mostrado
na Figura 3. Além disso, o atividades comentários monitorização e revisão
constantes na ISO 31000 não menciona explicitamente as tarefas de
monitoramento de desempenho de risco e rever o risco estrutura de
gerenciamento.
Figura 3: processo de gestão de risco (com base na ISO 31000)
Comunicaçã

Monitorame

estabelecer contexto
 o e revisão
e consulta
Avaliação de risco

Página 15 de 29
identificação de riscos

análise de risco

avaliação de risco

tratamento de riscos
 Página 16 de 29

Parte 2: Empresa de gestão de risco

Parte 2 fornece uma visão geral das etapas envolvidas no a implementação

de um risco empresarial gestão de iniciativa (ERM). A terminologia utilizada
nesta parte é baseada na 7RS e 4Ts do (hazard) gestão de riscos. Uma
breve descrição dos passos envolvidos na implementação de uma iniciativa
ERM é fornecido no Apêndice B.

5: Planejamento e projeto

Há uma série de fatores que devem ser considerados no projeto e

planejamento de um ERM iniciativa. Detalhes da estratégia de risco,
arquitetura e os protocolos devem ser registrados em um risco política de
gestão para a organização. tabela 2 fornece informações sobre o conteúdo
de um típico política de gestão de risco.

Mandato conselho de administração e compromisso

Muitas organizações emitir uma versão atualizada do sua política de gestão

de risco a cada ano. Este garante que a abordagem global de gestão de
risco está em linha com as melhores práticas actuais. Ele também dá à
organização a oportunidade de foco nos benefícios destinados para o
próximo ano, identificar as prioridades de risco e garantir que atenção
adequada é pago para os riscos emergentes. O política deve também
descrever a arquitetura risco de da organização. A Figura 4 ilustra um risco
típico arquitetura de uma grande empresa listada.

Mandato e do compromisso do Conselho é criticamente importante e precisa

ser contínuo e de alto perfil. A menos que este mandato e compromisso são
próximas, a gestão de riscos iniciativa será vencida. Mantendo o risco
política de gestão até à data demonstra que gestão de riscos é uma
atividade dinâmica totalmente apoiado pelo Conselho.
 Página 17 de 29

Tabela 2: Conteúdo da política de gestão de risco

A política de gestão de risco deve incluir as seguintes seções:

 Gestão de riscos e objetivos de controle internos (governança)

 Declaração da atitude da organização ao risco (estratégia de risco)
 Descrição da cultura de risco consciente ou ambiente de controle
 Nível e natureza do risco que é aceitável (o apetite pelo risco)
 Organização de gestão de risco e arranjos (arquitetura de risco)
 Detalhes dos procedimentos de reconhecimento de risco e
classificação (avaliação de risco)
 Lista de documentação para análise e relatórios de risco (protocolos
de risco)
 Requisitos de mitigação de risco e mecanismos de controle
(resposta de risco)
 Atribuição de papéis e responsabilidades de gestão de risco
 Temas de gestão de risco e prioridades de formação
 Critérios para acompanhamento e avaliação dos riscos
 Alocação de recursos adequados à gestão de riscos
 Atividades de risco e prioridades de risco para o próximo ano

Âmbito da iniciativa

Para ser bem sucedida, a iniciativa precisa de ERM ser abrangente. No

entanto, à introdução de padrões de gestão de risco é uma progressiva
processo que não pode ser alcançado instantaneamente. Portanto, é
necessário para que uma organização decide o escopo da iniciativa ERM,
como ela se desenvolve. O âmbito da iniciativa será definida pela faixa de
benefícios que a organização está buscando alcançar e isto será
influenciada pelas expectativas dos vários partes interessadas na
organização.
 Página 18 de 29

Figura 4: Arquitetura de risco de um grande PLC

Comite de Auditoria
Diretoria
Receber relatórios de rotina de CGR
A responsabilidade geral pela gestão de risco
Definir programa de auditoria e prioridades anuais
a gestão de risco é incorporado em todos os processos e atividades
Monitorar o progresso com recomendações da auditoria
Revisão perfil de risco do grupo
Fornecer garantia de risco para o Conselho
Supervisionar GR estruturas e processos

Comitê de Gestão de Risco (CGR)

égias e políticas com base em apetite por risco,atitudes de risco e exposição ao risco
Comitê
idades de negócios, análise de risco atividades de gestão de divulgações
e compilar o grupo de risco registrar
Revisar e avaliar
atórios das unidades de negócio e fazer relatórios e recomendações os controles e procedimentos de divulg
ao Conselho
Considerar a materialidade da informação divulgada para
Controlar a atividade de RM nas unidades de negócios

Direcao e monitoramento Unidades de negócio

Relatórios de avaliação
Produzir declarações políticas específicas, quando necessário
Preparar e atualizar a unidade de negócios de risco registo
Definir prioridades de risco para a unidade de negócios
Monitorar projetos e melhorias de risco
Preparar relatórios para CGR
Gerenciar o controle de risco de auto-certificação atividades
 Página 19 de 29

Estrutura de gerenciamento de risco

Dependendo da natureza da organização, o risco função de gestão pode

variar de um risco a tempo parcial gerente, a um campeão único risco, a um
risco grande escala departamento de gestão. O papel da auditoria interna
função também diferem de uma organização para o outro. Ao determinar o
papel mais adequado para auditoria interna, a organização precisa garantir
que a independência e objetividade da auditoria interna não são
comprometida.

A gama de responsabilidades de gestão de risco que precisam ser alocados

na política será ampla e extensiva. A Tabela 3 apresenta exemplos do risco
responsabilidades de gestão que podem ser alocados em uma grande
organização típica. O Conselho tem a responsabilidade para determinar a
direção estratégica da organização e criar o contexto para o risco gestão. É
necessário que haja disposições em vigor atingir uma melhoria contínua no
desempenho e esta responsabilidade é susceptível de ser atribuído ao risco
gerente.

Tabela 3: responsabilidades de gestão de risco

1 - Responsabilidades GR para o CEO / Diretoria:

 Determine abordagem estratégica ao risco e definir o apetite pelo
risco
 Estabelecer a estrutura de gestão de riscos
 Compreender os riscos mais significativos
 Gerenciar a organização em uma crise
2.- Responsabilidades de GR para o gestor de unidade de
negócios:
 Construir cultura de risco consciente dentro da unidade
 Fixar objectivos de desempenho da gestão de risco
 Garantir a implementação das recomendações de melhoria de
risco
 Identificar e relatar circunstâncias / riscos
3 - Responsabilidades de GR para os funcionários:
 Compreender, aceitar e implementar processos de GR
 Relatório ineficiente, controles desnecessários ou inviável
 Relatório de eventos e incidentes de perda de near miss
 Cooperar com a gerência sobre investigações de incidentes

4 - Responsabilidades de GR para o gestor de risco:

 Desenvolver a política de gestão de risco e mantê-lo atualizado
 Página 20 de 29

 Documento as políticas de risco internos e estruturas

 Coordenar a gestão do risco (e controle interno) atividades
 Compilar informações de risco e preparar relatórios para o
Conselho
5 - Responsabilidades de GR para as funções de especialista em
gestão de risco:
 Ajudar a empresa no estabelecimento de políticas de risco
especialista
 Desenvolver contingência especialista e planos de recuperação
 Mantenha-se atualizado com os desenvolvimentos na área de
especialização
 Apoio investigações de incidentes e quase acidentes
6. Responsabilidades GR para o gerente de auditoria interna:
 Desenvolver uma baseada no risco programa de auditoria interna
 Auditoria dos processos de risco em toda a organização
 Receber e dar garantias sobre a gestão de risco
 Relatório sobre a eficiência ea eficácia dos controles internos

6: Implementação e avaliação comparativa

Avaliação de risco é uma parte fundamental do processo de gestão de risco.

A fim de alcançar uma gestão de risco global abordagem, uma organização
precisa para empreender adequada e avaliações de risco suficiente. Uma
gama das técnicas de avaliação de risco mais comuns consta na Tabela 4.

Estabelecer procedimentos de avaliação de risco

Avaliação de risco será necessária, como parte do processos de decisão

destinada a explorar oportunidades de negócios. Uma forma de garantir que
risco é parte do negócio de tomada de decisão é assegurar que uma
avaliação de risco está ligado a todos os documentos de estratégia
apresentada ao Conselho. Da mesma forma, avaliação de risco de todos os
projetos propostos devem ser realizadas e avaliações de risco mais deve
ser realizada durante todo o projeto. Finalmente, as avaliações de risco
também são necessários em relação a operações de rotina.

Outras considerações relevantes para o risco empresa avaliações incluem

decisões sobre como o risco avaliações serão gravados. É nesta fase que
uma organização vai decidir o nível de detalhe que será gravado sobre cada
risco no risco descrição. Outra parte importante do risco procedimentos de
avaliação será a identificação de o sistema de classificação de risco a ser
utilizado pelo organização.
 Página 21 de 29

Realizar avaliações de riscos

Uma organização deve desenvolver referências para determinar a

significância (ou relevância) da riscos identificados. A natureza destes
referência testes dependerá do tipo de risco. para financeira riscos, uma
soma de dinheiro pode ser usado como teste de benchmark de significância.
Para os riscos que podem causar interrupção das operações, o
comprimento do interrupção pode ser um teste adequado. Reputacional
riscos pode ser aferido em termos do perfil que o relatório do evento
receberão, a provável impacto do evento no preço da ação, ou o impacto
sobre o apoio político e financeiro recebidas das partes interessadas.

Tabela 4: técnicas de avaliação de risco

técnica breve descrição

Uso de questionários estruturados e listas de
 Questionários e checklists verificação para coletar informações para ajudar
com o reconhecimento dos riscos significativos

Recolha e partilha de ideias e discussão dos

eventos que poderiam afetar os objetivos,
 Workshops e brainstorming
expectativas das partes interessadas ou
dependências chave

Inspecções físicas das instalações e atividades

 Inspeções e auditorias e auditorias de conformidade com os sistemas e
procedimentos estabelecidos

Análise de processos e operações dentro da

 Fluxogramas e análise de
organização para identificar os componentes
dependência
críticos que são chave para o sucesso

Estudo de perigo operacional (HAZOP) e

metodologia de Análise do Tipo e Efeito de
 Abordagens HAZOP e
Falha (FMEA) são técnicas quantitativas de
FMEA
analise de falha.

Forças Fraquezas Oportunidades Ameaças

(SWOT) e Políticos Econômico e Social
 Análises SWOT e PESTLE
Tecnológico Legal Ambiental (PESTLE) analisa
oferecer abordagens estruturadas
para o reconhecimento de risco

Tendo identificado os procedimentos de avaliação adequados de risco e

decidiu que o teste de benchmark de importância para diferentes classes de
 Página 22 de 29

riscos, será então possível identificar o apetite ou a atitude a esse tipo de

risco, juntamente com a capacidade da organização para resistir a esse
risco. Finalmente, a organização pode determinar a exposição global ao tipo
particular de risco em consideração.

Fatores internos e externos podem dar origem a riscos. Figura 5 é baseado

no sistema de risco FIRM Scorecard classificação de risco e fornece
exemplos de condutores internos e externos de risco. Alguns sistemas de
classificação de risco têm risco estratégico como uma categoria separada.
No entanto, a FIRM abordagem Scorecard Risk sugere que estratégico
(bem como tático e operacional) os riscos devem ser identificados em todas
as quatro categorias.
 Página 23 de 29

Figura 5: Drivers de gestão de risco

DIRECOES EXTERNAS

RISCOS FINANCEIROS RISCOS DE INFRA-ESTRUTURA

NORMAS DE CONTABILIDADE COMUNICAÇÕES

TAXAS DE JURO LINKS DE TRANSPORTES
CÂMBIO CADEIA DE SUPRIMENTOS
FUNDOS E CRÉDITO TERRORISMO
DESASTRES NATURAIS
PANDEMIA
CONTROLE INTERNO
FRAUDE SISTEMAS DE TI
HISTÓRICO DO INSTALAÇÕES
PASSIVO SAÚDE E SEGURANÇA
INVESTIMENTOS HABILIDADES PESSOAS
DECISÕES CAPEX RECRUTAMENTO
LIQUIDEZ E FLUXO DE
CAIXA

CONTRATOS
AMBIENTE ECONÔMICO EXTENSÕES DA MARCA
RECALL
DO DO PRODUTO CSR
INTELECTUAL
COMPOSICAO
DESENVOLVIMENTO TECNOLOGICO PROPRIEDADE
PERCEPÇÃO PÚBLICA
CONSELHO
COMPETIÇÃO R & D ATIVIDADES
AMBIENTE DE
DEMANDA DE CLIENTES
M & A ATIVIDADE EXECUÇÃO REGULADOR
CONTROLE
REQUISITOS DE REGULAMENTAÇÃO COMPORTAMENTO cONCORRENTE

RISCOS DE MERCADO RISCOS DE REPUTACAO

Apetite pelo risco e as tolerâncias

É importante que o Conselho define regras para risktaking em relação a

todos os tipos de risco, e alguns organizações têm produzido um apetite
pelo risco declaração de que é DIRECOES EXTERNAS
aplicável a todas as classes de risco. Ele é
bastante fácil para uma organização para confirmar se ela não tem apetite
por causar lesões e problemas de saúde. Em prática, porém, este pode ter
de ser desenvolvida em um conjunto de metas para a saúde e segurança
performance. Há um perigo de que o apetite pelo risco declarações deixar
 Página 24 de 29

de ser dinâmico, e eles podem restringir o comportamento e resposta

rápida.

Ao nível da Administração, o apetite ao risco é um driver de estratégica

decisões de risco. No nível executivo apetite pelo risco, traduz em um
conjunto de procedimentos para assegurar que de risco recebe a devida
atenção ao fazer decisões táticas. A nível operacional apetite pelo risco, dita
restrições operacionais para a rotina actividades. Apesar de sua
importância, é surpreendente que o conceito de apetite pelo risco não é
mencionado em ISO 31000, embora seja incluído na maioria dos outros
normas de gestão de risco e bolsa de valores requisitos de listagem.

7. Medição e monitoramento

É frequentemente o caso que as avaliações de risco são registrados em um

registro de riscos. Não existe um padrão formato de um registro de riscos ea
organização deve estabelecer um formato adequado para esta importante
documento. O registro de riscos não deve se tornar um registro estático dos
riscos significativos enfrentados pela organização. Deve ser visto como uma
ação de risco plano que inclui detalhes dos controles atuais e os detalhes de
qualquer outra ações que são planejadas.

Essas ações ainda devem ser escritas como ações auditáveis que devem
ser concluídas dentro de um prazo definido por indivíduos identificados. Isso
vai habilitar a função de auditoria interna para monitorar a existentes
controles e monitorar a implementação de quaisquer controles adicionais
necessárias. Os recursos necessárias para implementar a política de gestão
de risco devem ser claramente estabelecidas em cada nível de gestão e
dentro de cada unidade de negócio. Risco gestão deve ser incorporado ao
planejamento estratégico e processos de orçamento.
Bem como a monitorização da eficácia do controles existentes ea
implementação de controles adicionais, o custo-eficácia da controles
existentes também devem ser monitorados. Além disso, monitorização e
medição inclui avaliação da cultura de risco e conscientes do risco quadro
de gestão e avaliação do medida em que as tarefas de gerenciamento de
risco estão alinhados com outras atividades corporativas.
Avaliar os controles existentes

Monitoramento e medição se estende até o avaliação da cultura,

desempenho e preparação da organização. O escopo de actividades
abrangidas pela monitorização e medição também inclui o monitoramento
de melhoria de risco recomendações e avaliação do incorporação de
atividades de gerenciamento de risco no organização, bem como a
monitorização de rotina do risco indicadores de desempenho.
 Página 25 de 29

Monitoramento da preparação da organização para lidar com a grande

ruptura é uma parte importante da gestão de riscos. Esta atividade
normalmente estende-se a o desenvolvimento e teste de continuidade de
negócios planos e planos de recuperação de desastres. Há uma
necessidade imperiosa de manter esses planos até data para que a
preparação da organização para lidar com os eventos de risco identificados
está assegurada.

Avaliação dos controles existentes levará à identificação de melhoria de

risco recomendações. Estas recomendações deve ser registrado no registro
de riscos por meio de uma plano de ação de risco. Uma parte importante da
avaliação da eficácia dos controles existentes é garantir que há avaliação
adequada do negócio planejamento de continuidade e planejamento de
recuperação de desastres disposições em vigor.

Incorporar a cultura de risco consciente

Mudanças na organização e no ambiente em que opera devem ser

identificados e modificações adequadas no sentido de protocolos. Atividades
de monitoramento deve fornecer garantia de que existem controles
apropriados em vigor e que o procedimentos são compreendidos e
seguidos. Mudanças dentro da organização e dos negócios externos
ambiente devem ser identificados, de modo que existentes procedimentos
podem ser modificados.

Qualquer processo de monitorização e medição também deve determinar

se:
 as medidas adoptadas atingiram o resultado pretendido
 os procedimentos adotados foram eficientes
 informação suficiente estava disponível para o avaliações de risco
 um melhor conhecimento teria ajudado para chegar a melhores decisões
 lições podem ser aprendidas para o futuro avaliações e controles

Incorporação de gestão de riscos envolve um ambiente que pode

demonstrar liderança da gerência sênior, o envolvimento de funcionários em
todos osníveis, uma cultura de aprendizagem com a experiência, prestação
de contas apropriado para acções (sem desenvolvimento de uma cultura da
culpa automático) e boa comunicação sobre as questões de risco.

8. Aprendizagem e elaboração de relatórios

Concluindo o ciclo de feedback sobre o risco processo de gerenciamento

envolve as etapas importantes de aprender com a experiência e os
relatórios sobre performance. , A fim de aprender com a experiência, uma
 Página 26 de 29

organização necessita para analisar o desempenho de risco indicadores e

medir a contribuição que gerenciamento de riscos corporativos fez a
sucesso da organização.

Os motivos para efectuar a gestão do risco iniciativa deveria ter sido

claramente estabelecida. Se isso não foi feito, a organização será incapaz
de avaliar se a contribuição foi de linha com as expectativas. Monitoramento
de risco indicadores de desempenho deve incluir uma avaliação da
contribuição a ser feita por risco gestão, bem como uma avaliação do
adequação dos mecanismos de controle que foram selecionados.

Monitorar o desempenho de risco.

Aprender as lições de gestão de risco também requer uma investigação das

opiniões dos principais partes interessadas, tanto interna como
externamente. Em particular, o parecer da auditoria interna e avaliação das
actividades de gestão de risco em auditoria comissão será de vital
importância. Aprendendo com experiência requer uma avaliação mais do
que da indicadores de desempenho de risco. Uma revisão anual da gestão
de riscos estrutura serão necessários, incluindo avaliação da arquitetura do
risco de estratégia, e protocolos. É importante que a organização tem uma
baseada no risco plano de auditoria e compromete-se opiniões de risco
adequada.

Outras características de aprender com a experiência incluem avaliação dos

relatórios de auditoria e uma avaliação do as fontes de garantia de risco
disponíveis para o Conselho e do comitê de auditoria. Uma avaliação da o
nível de garantia que foi obtido é também necessário. Muitas vezes, uma
fonte importante de risco garantia para o Conselho de Administração será
de auto-certificação, como um controle de processo de Avaliação de Riscos
Auto que fornece garantia de risco em relação gerenciamento de relatórios
de risco, e divulgação, bem como informação sobre a aprendizagem de
incidentes.

Relatório de desempenho de risco

Além da comunicação interna e relatórios, haverá uma obrigação

organizações para relatar externamente. Cada vez mais, esses relatórios
externos são produzidos em resposta a requisitos obrigatórios relativos ao
risco gestão e controle interno, como Turnbull e Sarbanes-Oxley. Relatórios
de risco externo é projetado para fornecer partes interessadas externas com
garantia de que os riscos tenham sido adequadamente gerenciado.
 Página 27 de 29

Relatórios externos deverá fornecer informações úteis às partes

interessadas sobre o estado da gestão de riscos e as ações que estão
sendo tomadas para garantir a melhoria contínua no desempenho. A
empresa precisa de informar a seus stakeholders em um base regular, que
define a sua gestão de risco políticas ea eficácia na realização dos seus
objetivos. Cada vez mais, olhar para as partes interessadas organizações
para prover evidências da adequada comportamento das empresas em
áreas como a comunidade assuntos, direitos humanos, práticas de
emprego, saúde e segurança e meio ambiente.

Comunicação de riscos fornece informações sobre histórico perdas e

tendências. Contudo, a divulgação é um risco mais prospectivas atividade
que antecipa emergentes riscos. Há uma clara diferença entre a medição
risco e desempenho de monitoramento e empresa passos para aprender
com a experiência para melhorar o risco processo de gestão e
enquadramento. Importante lições podem ser aprendidas que vai ajudar
com a melhoria o design do quadro de apoio e os quadro de implementação.
,

arquitetura de risco
 Declaração produzida, que estabelece responsabilidades de risco e
relaciona as questões com base no risco reservados ao Conselho
 Responsabilidades de gestão de risco atribuídas a uma comissão de
gestão adequada
 Arranjos estão no local para garantir a disponibilidade de
aconselhamento competente apropriado sobre os riscos e controles
 Cultura ciente risco existe dentro da organização e as ações estão em
curso para melhorar o nível de maturidade de risco
 Fontes de garantias de risco para o Conselho foram identificados e
validados
estratégia de risco

 Política de gestão de risco produzida que descreve o apetite pelo risco,

a cultura de risco e filosofia
 Dependências chave para o sucesso identificados, juntamente com os
assuntos que devem ser evitados
 Objetivos de negócio validado e os pressupostos que sustentam esses
objectivos testados
 Riscos significativos enfrentados pela organização identificada,
juntamente com os controles crítica necessária
 Plano de acção de gestão de risco estabelecido que inclui o uso de
indicadores de risco, conforme o caso
 Recursos necessários e desde que identificada a apoiar as atividades
de gestão de risco
protocolos de risco
 Página 28 de 29

 Estrutura de gerenciamento de risco adequadas identificadas e

adoptadas, com as necessárias adaptações
 Avaliações de riscos adequada e suficiente concluída e os resultados
foram registrados de forma adequada
 Procedimentos para incluir riscos como parte do negócio de tomada de
decisão estabelecido e implementado
 Detalhes de respostas de risco exigido gravado, juntamente com os
dispositivos para monitorar as recomendações de melhoria de risco
 Incidente procedimentos de comunicação criado para facilitar a
identificação de tendências de risco, juntamente com procedimentos de
escalação de risco
 Planos de continuidade de negócios e recuperação de desastres planos
estabelecidos e testados regularmente
 Disposições em vigor para auditar a eficiência ea eficácia dos controles
no local por riscos significativos
 Disposições em vigor para a notificação obrigatória em risco, incluindo
relatórios sobre pelo menos o seguinte:

 Apetite ao risco, tolerância e restrições

 Arquitetura de risco e procedimentos de escalada de riscos
 Cultura cientes de risco actualmente em vigor
 Risco arranjos de avaliação e protocolos
 Riscos significativos e indicadores de risco
 Controles críticas e deficiências de controle
 Fontes de segurança à disposição do Conselho

A tabela abaixo fornece uma visão geral das etapas envolvidas na

implementação de uma iniciativa de gestão de risco corporativo
(ERM). Implementação bem sucedida de uma iniciativa ERM é um
processo contínuo que envolve o trabalho com os 10 passos que se
seguem em uma base contínua. Os 10 passos estão divididos entre:

 Planejar e projetar
 Implementação e avaliação comparativa
 Medição e monitoramento
 Aprendizagem e elaboração de relatórios

atividade Conceitos / ferramentas e

técnicas
Planejamento e projeto (ver Seção 5)
1 Identificar benefícios pretendidos da iniciativa de Benefícios da ERM
gestão de riscos empresariais e ganhar Incorporação de gestão de
 Página 29 de 29

mandato Board risco

Planejar o escopo da iniciativa ERM e Upside de risco
2 desenvolver uma linguagem comum de risco expectativas das partes
interessadas
Estabelecer a estratégia de gestão de risco, Política de gestão de risco
3
quadro, e os papéis e responsabilidades arquitetura de risco
Implementação e avaliação do desempenho (ver Seção 6)
Adotar procedimentos adequados de avaliação descrição dos riscos
4 de risco e um sistema de classificação de risco Sistemas de classificação de
de acordo risco
Estabelecer benchmarks significado de risco e Técnicas de avaliação de
realizar avaliações de riscos risco
5
Testes de benchmark de
significância
Determine o apetite ao risco e os níveis de registro de riscos
6 tolerância ao risco, e avaliar os controles apetite pelo risco
existentes
Medição e monitoramento (ver secção 7)
Garantir a relação custo-eficácia dos controlos Planos de melhoramento de
7 existentes e introduzir melhorias risco
BCP e DRP
Incorporar a cultura de risco consciente e ambiente de controle
8 alinhar a gestão de risco com outras tarefas de comunicação de risco
gerenciamento
Aprendizagem e comunicação (ver secção 8)
Monitorar indicadores de desempenho e revisão Plano de auditoria e risco
9 de risco para medir a contribuição ERM comentários
Fontes de garantias de risco
Relatório de desempenho de risco em comunicação de risco
10 conformidade com as obrigações legais e requisitos legais
outros, e melhoria do monitor