THERSA

A NORMA
ISO 31000:2009
Gestão de Riscos:
Princípios e Diretrizes

Prof. ROGERS
Eng° Mecânico, Eng° Segurança do Trabalho, Eng° Qualidade,
IPMA Certified Project Management Associate
1

A Norma ISO 31.000 THERSA

 Norma ISO 31000:2009 Risk management - principles and

guidelines (Gestão de riscos - princípios e diretrizes);
 Publicada em 13/11/2009;
 Abrangente e convergente;
 No Brasil, a ABNT criou a Comissão de Estudo Especial de
Gestão de Riscos (CEE-63);
 e publicou a NBR ISO 31000 em 30/11/2009.

1
Os Destinatários THERSA

A quem se endereça a NBR ISO 31000:

a) Responsáveis pelo desenvolvimento da Política de Gestão de
Riscos no âmbito de suas organizações;
b) Responsáveis por assegurar que os riscos são gerenciados de
modo eficaz na organização como um todo ou em um setor,
atividade ou projeto específicos;
c) Quem precisa avaliar a eficácia de uma organização no
gerenciamento de riscos;
d) Desenvolvedores de normas, guias, procedimentos e códigos
de práticas que, no todo ou em parte, estabelecem como o
risco deve ser gerenciado dentro do contexto específico desses
documentos.
3

O Escopo da Norma ISO 31000 THERSA

PRINCÍPIOS

ESTRUTURA PARA PROCESSOS

GERENCIAR ..PARA..
RISCOS GERENCIAR
RISCOS
(Framework)

2
Os Princípios THERSA

1. Criar valor para os processos da organização;

2. Ser parte integrante de quaisquer processos da organização;
3. Integrar os processos decisórios;
4. Responder às incertezas explicitadas;
5. Processo deve ser estruturado e sistemático (retroalimentado);
6. Basear-se na melhor informação disponível no momento;
7. Ser customizada: a relação custo-benefício deve ser
balanceada;
8. Considerar o fator humano, valorizando a expertise,
conhecimento, experiência e abordagem lógico-intuitiva em
contraste à mera aplicação de tecnologia;

Os Princípios (continuação) THERSA

9. Zelar pela transparência e inclusão das partes interessadas;

10. Ser dinâmica, interativa e responder às mudanças;
11. Promover a melhoria contínua em seus processos
organizacionais.

3
A Estrutura da Gestão de Riscos THERSA

A Estrutura da Gestão de Riscos THERSA

4.2. Mandato e Comprometimento:

Atributos da Alta Direção:
 Articular e endossar a Política de Gestão de Riscos;
 Determinar que os Indicadores de Desempenho GR sejam alinhados
aos Indicadores de Desempenho organizacionais;
 Garantir o alinhamento dos objetivos GR aos objetivos e estratégias
da organização;
 Assegurar a conformidade com os requisitos legais e
regulamentares;
 Designar responsabilidades gerenciais e também nos respectivos
níveis dentro da organização;
 Assegurar que os recursos necessários serão alocados ao GR;
 Comunicar os benefícios do GR às partes interessadas;
 Assegurar a manutenção da Estrutura de Gestão de Riscos.
8

4
A Estrutura da Gestão de Riscos THERSA

4.3. Concepção da Estrutura para Gerenciar Riscos:

4.3.1 Entendimento da Organização e seu contexto:
 Compreender o contexto interno e externo da organização.
Aspectos do Contexto Externo incluem:
 Ambiente cultural, político, legal, regulamentar, financeiro,
tecnológico, econômico, material e competitivo. Seja internacional,
nacional, regional ou local;
 Cenários e tendências que vem impactando os objetivos da empresa;
 Percepções e valores das partes interessadas externas.
Aspectos do Contexto Interno incluem:
 Capacidades em termos de recursos e conhecimentos;
 Sistemas de fluxo de informação e processos de tomada de decisões
(formais e informais);
 Partes interessadas internas;
9

A Estrutura da Gestão de Riscos THERSA

4.3.1 Entendimento da Organização e seu contexto (continuação):

Aspectos do Contexto Interno incluem (continuação):
 Políticas, objetivos e estratégias adotadas para alcançá-las;
 Percepções, valores e cultura interna;
 Padrões e modelos de referência adotadas pela empresa;
 Estruturas (governança corporativa, etc).

4.3.2 Estabelecimento da Política de Gestão de Riscos:

Deve esclarecer os objetivos da organização p/ GR e especificar:
 Relação entre a Política GR e os objetivos e outras políticas da
organização;
 Tolerância organizacional e responsabilidades para gerenciar riscos;
 Modo de resolução de conflitos de interesses;
 Apetite ou aversão ao risco (específico) pela organização;
10

5
A Estrutura da Gestão de Riscos THERSA

4.3.2 Estabelecimento da Política G.Riscos (continuação):

Deve esclarecer os objetivos da org. p/ GR e especificar (continuação):
 Processos, métodos e ferramentas utilizadas para gerenciar riscos;
 Recursos disponíveis para auxiliar os responsáveis pela GR;
 O método pelo qual o desempenho da gestão de riscos será
mensurado e reportado;
 Compromisso de revisão periódica e verificação da Política GR, sua
Estrutura e Melhoria Contínua.

4.3.3 Responsabilidade:
A organização deve garantir a responsabilidade e autoridade para
gerenciar riscos, incluindo a implementação e manutenção do Processo
de Gestão de Riscos; bem como a garantia, adequação e eficácia de
quaisquer controles de riscos, facilitados através de:
11

A Estrutura da Gestão de Riscos THERSA

4.3.3 Responsabilidade (continuação):

 Determinar quem é responsável pelo desenvolvimento,
implementação e manutenção da Estrutura GR;
 Determinar quem são os Donos dos Riscos, a fim de implementar as
respostas e manter os controles de riscos. Reportando informações
relevantes;
 Estabelecer relatórios de desempenho interno e externo e
escalonamento do processo;
 Assegurar níveis adequados de reconhecimento, recompensa,
aprovação e sanção (penalidades).

4.3.4 Integração nos processos organizacionais:

A GR deve estar incluída em todos os processos da organização para
que seja relevante, efetiva e eficiente. Particularmente, a GR deve ser
incluída na Política de Desenvolvimento, Planejamento Estratégico e
nos Processos de Gerenciamento de Mudanças. 12

6
A Estrutura da Gestão de Riscos THERSA

4.3.5 Recursos:
 Pessoas, habilidades, experiências e competências;
 Recursos necessários para cada etapa do Processo GR;
 Processos e procedimentos DOCUMENTADOS;
 Sistemas de Informação e de gestão do conhecimento.

4.3.6 Estabelecimento de Mecanismos de Comunicação e

Reporte Internos:
A fim de assegurar:
 Os componentes-chave da Estrutura GR e as subsequentes
modificações sejam comunicadas de modo apropriado;
 Ocorra o reporte adequado e efetivo na Estrutura GR;
 A informação relevante seja disponibilizada aos níveis apropriados;
 Haja processos de consulta com as partes interessadas internas.
13

A Estrutura da Gestão de Riscos THERSA

4.3.7 Estabelecimento de Mecanismos de Comunicação e

Reporte Externos:
Os quais devem envolver:
 Engajamento das partes interessadas externas que sejam
adequadas, assegurando a efetiva troca de informações;
 Reportar externamente em conformidade com os requisitos legais,
regulamentares e de governança corporativa;
 Comunicar descobertas quando requeridas;
 Prover feedback e reporte na comunicação e consulta;
 Usar a comunicação para consolidar a confiança na organização;
 Comunicar as partes interessadas no caso da ocorrência de um
evento de crise ou de uma contingência.

14

7
A Estrutura da Gestão de Riscos THERSA

4.4. Implementação da Gestão de Riscos:

4.4.1 Implementação da Estrutura para Gerenciar Riscos:
A organização deve:
 Determinar um ritmo e estratégia de implementação da Estrutura GR;
 Aplicar a Política GR e seus processos aos processos
organizacionais existentes;
 Assegurar conformidade aos requisitos legais e regulamentares;
 Documentar as justificativas das tomadas de decisão, incluindo o
desenvolvimento e preparação dos objetivos alinhados com as
saídas do Processo GR;
 Armazenar a informação e treinar os setores;
 Comunicar e consultar as partes interessadas para garantir que a
Estrutura GR continua adequada.

15

A Estrutura da Gestão de Riscos THERSA

4.4. Implementação da Gestão de Riscos:

4.4.2 Implementação do Processo para Gerenciar Riscos:
 O gerenciamento de riscos é implementado pela garantia
de que o Processo GR é aplicado em todos os níveis e
funções relevantes da organização, como parte das práticas
e processos de negócios organizacionais.

16

8
A Estrutura da Gestão de Riscos THERSA

4.5. Monitoramento e Análise Crítica da Estrutura:

A fim de garantir que a GR é efetiva e continua a sustentar o desempenho

da organização, a organização deve:

 Estabelecer medidas de desempenho;

 Medir periodicamente o realizado, comparando com o planejado e
reportando desvios do Plano de Gerenciamento de Riscos;
 Rever periodicamente se a Estrutura, a Política e o Plano GR ainda
são adequados aos contextos interno e externo da organização;
 Reportar o progresso no Plano GR para os riscos identificados e
assegurar que a Política GR está sendo obedecida;
 Revisar a efetividade da Estrutura GR.

17

A Estrutura da Gestão de Riscos THERSA

4.6. Melhoria Contínua da Estrutura:

Baseada nas revisões, promover melhorias:
 Na Estrutura da Gestão de Riscos;
 Na Política de Gestão de Riscos;
 No Plano de Gerenciamento de Riscos.

18

9
O Processo da Gestão de Riscos THERSA

19

O Processo da Gestão de Riscos THERSA

5.2. Comunicação e Consulta com as Partes Interessadas:

 comunicação interna (endomarketing) e externa.

5.3. Estabelecimento do Contexto Estratégico:

 Como a organização pensa a gestão de riscos em relação aos seus
objetivos estratégicos?
 Como as variáveis externas não controláveis afetam os objetivos
estratégicos?
 Com a Política GR define a Estrutura e a(s) Metodologia(s)?

5.4. Processo de Avaliação de Riscos:

5.4.2 Identificação de Riscos:
 Identificar e listar os riscos;
 Identificar os fatores de riscos que potencializam a concretização do
risco; 20

10
O Processo da Gestão de Riscos THERSA

5.4.2 Identificação de Riscos (continuação):

 Avaliar os fatores de riscos: Análise SWOT e/ ou Matriz de Impacto
Cruzada.

5.4.3 Análise de Riscos:

 Determinar os critérios universais;
 Classificar os riscos;
 Definir a matriz de probabilidade e impacto (matriz de riscos).

5.4.4 Avaliação dos Riscos:

 Determinar os Grau de Criticidade de cada risco em função do
apetite ou aversão da empresa em relação ao risco avaliado;
 Priorizar os riscos de acordo com os quadrantes da Matriz de Riscos.

21

O Processo da Gestão de Riscos THERSA

5.5. Tratamento de Riscos:

 Decisão de tratar, aceitar, transferir, explorar ou rejeitar os riscos;
 Definir Plano de Ação: preventivo, detectivo ou contingencial.

5.6. Monitoramento e Análise Crítica:

 Criar indicadores de controle de riscos para avaliar mudanças dos
fatores de riscos.

5.7. Registro e Rastreabilidade do Processo de Gestão de Riscos:

Decisões relativas à criação de registros devem considerar:
 Benefícios de reutilização da informação p/ propósitos gerenciais;
 Custos envolvidos na criação e manutenção de registros;
 Requisitos regulamentares, legais e operacionais dos registros;
 Método de acesso, recuperação e armazenamento de mídias;
 Período de retenção e sensibilidade da informação. 22

11
CONCLUSÕES THERSA

Prováveis impactos oriundos da implantação dos requisitos

da Família de Normas ISO 31000:
 Tendência de baixa tolerância a riscos por parte do mercado;
 Valorização do Gerenciamento de Projetos, particularmente os
processos de planejamento;
 Valorização do Escritório G.Projetos (PMO) na empresa;
 Valorização do Gerenciamento Estratégico de Projetos,
Programas e Portfólios;
 Quebra de paradigmas: troca do primeiro pelo segundo viés
 Viés técnico: foco no uso ferramentas de análise de riscos;
 Viés humano: foco na investigação sistêmica de riscos (detetive);
 Mudança de paradigma para as Auditorias de Gestão de Riscos:
 Conceito de “evidência” -» documentos do planejamento do
projeto.
23

PERGUNTAS? THERSA

24

12