Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASILEIRA ISO
31000
Primeira edição
30.11.2009
Válida a partir de
30.12.2009
õ
~
o
N
Õ3
o
C
-r
U5
~
E
l;."')
<D
-q
1....;
'"
N
o
~
ã)
s
("')
o
J,
o
to
('")
-q
N
L")
o
~
,
m
~
1.V
~
J1
~
e;
ª
[{
, ICS 03.100.01 ISBN 978-85-07-01838-4
.2::
5
Ü
x
(\)
o ASSOCIAÇÃO
u: Número de referência
::::> BRASILEIRA
~ DE NORMAS ABNT NBR ISO 31000:2009
rv
o, TÉCNICAS 24 páginas
.s~ o..
'-. EQ)
x
W © ISO 2009 - © ABNT 2009
ABNT NBR ISO 31000:2009
ê
o
N
ro
o
Õ
~
!/'J
~
O-
E
l.[)
<D
'<Ó"
ln
'<Ó"
N
"O
~
S
r')
o
<6
c
<C
r')
'<Ó"
N
ltl
'<Ó"
o © ISO 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida
-§ ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT, .
~ único representante da ISO no território brasileiro.
~
;:: © ABNT 2009
.ã) Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida
:e ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT.
o::
;'1,;
2 ABNT
CL Av. Treze de Maio, 13 - 28° andar
20031-901 - Rio de Janeiro - RJ
~
Tel.: + 55 21 3974-2300
~ Fax: + 55 21 3974-2346
~
a; abnt@abnt.org.br
o www.abnt.org.br
5
;;
~
0-
ro
9-
'--- t:
<V
x
W
Sumário Página
Prefácio Nacional iv
Introdução v
1 Escopo ; 1
2 Termos e definições 1
3 Princípios 7
4 Estrutu ra 8
4.1 Generalidades 8
4.2 Mandato e comprometimento ..............••. ;;.; ,,;...•.•.........................................................................................
9
4.3 Concepção da estrutura paragereriéiar riscos : 10
4.3.1 Entendimento da organizaçâo"e seu.cpntexto j:~::~: t 10
4.3.2 Estabelecimento da política degesjão:d~r.isco~;~;.!:: •.......i~.':i
...••................................................................
10
4.3.3 Responsabilização ........•...........•: \•..;•......;..•......!.}':).~•...... :~,.}.J~;,~.~.~: 11
4.3.4 Integração nos prccessos-orqantzaelcnals, ..•.....;:i~
:;;..':::; ..:::::H;;, 11
4.3.5 Recursos ~.: ::':.; ~::Jl ~:~t:
t\~1:í~~ 11
4.3.6 Estabelecimentocle mecanismos de>comut:l[ca~~p'~i~e~~}tei .~<?,s ~ 12
4.3.7 Estabeleciment.o de mecanlsmos de;com\Jt1icaÇjp~.:.t~R:ê'tte e~:~~ :12
4.4
4.4.1
Implementação da gestão de riscos'.:
Implementação da estrutura para get;~,nclarris~§~ ;{. .
.i: ;~.r~ ;:i:I;.:i;::l ~ :::
;J~
12
12
4.4.2 Implementaç:ão do processo de gestão de risco~ ; .< ••••••• ;~~t'i .. , 13
4.5 Monito~ament? e análise crítica;,da estrútura ~~~) :i{;~;~ i~f;;~ 13
4.6 Melhona continua da estrutura .',..........................•. ;.; ;.•~~· m~!;....••..•••..•..•..••.•.•••..•••.•..•........••.•.•......• 13
..:::.j~ ::::.::.:
~:i ~I~;?1~~~:ú~~~c~~~~~;~,:~:;:,::::::,::::,',:':,j~::i:::,:::::tl:,:::i:··:::::··:::::·:::::::::··::::::.···.:'
5.3.1 Generalidades , ~.............•...,j~:;; ~:), ;::).:: ,.. 15
5.3.2 Estabelecimento do contexto externo , j;:.:, >.{L ., ,',•.' 15
5.3.3 Estabelecimento do contexto interno,.y.: :';l:!
;:;'L ,,:;'~ 15
5.3.4 Estabelecimento do contextodo proéesso de ge,$tãode ri~J:;ps 16
5.3.5 Definição dos critérios deri~cp .......•.•....~ , ,.",~,Çiir.': 17
5.4 Processo de avaliação de riscos .; ;.., :..•." ..s.:..::: 17
5.4.1 Generalidades ...,..:.i:.:~;~·.:
:.:':~;.; 17
5.4.2 Identificação de riscos 17
5.4.3 Análise de riscos : 18
5.4.4 Avaliação de riscos ; 18
5.5 Tratamento. de riscos 19
5.5.1 Generalidades : 19
5.5.2 Seleção das opções de tratamento de riscos 19
5.5.3 Preparando e implementando planos para tratamento de riscos 20
5.6 Monitoramento e análise crítica 20
5.7 Registros do processo de gestão de riscos 21
Anexo A (infomativo) Atributos de uma gestão de riscos avançada ...............................................................•.. 22
A.1 22
Generalidades ..•........................................................................................................................................••.
A.2 Resultados-chave : 22
c
> A.3 Atributos 22
'Vi
::J A.3.1 Melhoria contínua :•.22
XQ) A.3.2 Responsabilização integral pelos riscos 22
C
sr:
A.3.3 Aplicação da gestão de riscos em todas as tomadas de decisão 23
:::: A.3.4 Comunicação contínua :.: 23
A.3.5 Integração total na estrutura de governança da organização 23
Bibliografia , 24
iii
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
ABNT NBR ISO 31000:2009
Prefacio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras,
cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização
Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidade, laboratório e outros).
Os Documentos Técnicos ABNT são elaborados conforme as regras das Diretivas ABNT, Parte 2.
A Associação Brasileira de Normas Técnicas (ABNT) chama atenção para a possibilidade de que alguns dos,
elementos deste documento podem ser objeto, de;'.direitodGe patente. A ABNT não deve ser considerada
responsável pela identificação de quaisquer'd'ireitos de patentes. '
t,:._ 1J;T~,_ ,:~,
A ABNT NBR ISO 31000 foi elaborada pela Comissão de~r~§,!udo;L~sp,f1cial de Gestão de Riscos (CEE-63).
O Projeto circulou em Consulta Nacional coriforme EditaJ nº,MSçle (l:7;:,:.P8.gQ,º,9a 08.09.2009, com o número de
Projeto 63:000,01-001." . '~:~ ;.1';;
N
ã3
o
Õ
O Escopo desta Norma Brasileiraem iÍ1gjês'~;o s~jci·~:i~~::.~~f
~ ,;';'::/~,
.:r-«
lii~~
~:\,~~~:'0.
Scope o'é ;.r};,;
This Standard can be used by any PUbli~);~PriJ~teor ig~~1nity ~~Y~rpriJ? essocetior, group or individual.
Therefore, this Standard is not specíficto anYindus.trY~~isflct~Çf); .;~1 ./'/'''
"_ _ ..>/\ ;_'>,;:h.:<' ~~;t: . ~-< . <:lY~
NOTE For coovenience, ali lhe ditterení.users-ot this Slandard.afi(j!referred loAYthegeneral term "organiza/ion",
',~: .".. --":-,,~~:;;,,,"'
~~~-'.' "
This Standard can be applied throughout thelife'bf'anorg~fJi.tat/6h,and to a wide range of activities, including
strategies and decisions, aperations, processes, iunctions, ptojects, products, services and assets.
This Standard can be applied to any type of risk, whatever its nature, whether having positive or negative
conseouences.
Althaugh this Standard provides generic guidelines, it is not intended to promote uniformity of risk management
ecroes.orqenizetions. The design and implementation of risk management plans and frameworks will need to take
into account the vaT'Jingneeds of a specific organization, íts particular objectives, context, structure, operations,
processes, functions, projects, products, services, ar assets and specific practices employed.
It is intended .tiiet this Standard be utilized to harmonize riskmanagement processes in existing and future
standards. It provides a common approach in support of standards dealing with specífic risks andlor sectors, and
o
does not replace those standards.
>
.~
li This Standard is not intended for the purpose of certification.
x
Q)
o
(/)
::::
~
a
~o.
E
Q)
x
LU
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
iv
ABNT NBR ISO 31000:2009
Introdução
Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tornam incerto
se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização
é chamado de "risco".
O
rn
::l
~
ro 1) NOTA DA TRADUÇÃO: Para os efeitos desta Norma Brasileira traduziu-se o termo framework por "estrutura".
Q.
'-..,c
~D-
E
!l)
><
LU
melhorar a governança;
melhorar os controles;
Exemplar para uso exclusivo - Pauta Ribeiro Miranda - 045.243.606-03 (Pedido 245465 Impresso: 10/08/2010)
((j)
üi
O
IV
o
o
<D
"TI
@ (Õ'
»
(J)
...
c
a) Cria valor
Z
-I ..•.
lU
...-
(l) (1) f) Baseada nas melhores Identifica5ão
<
III
:s informações disponlveis •
a.
o (1)
cn
O g) Feita sob medida
(J)
..•.
(J)
IUI
k) Facilita a melhoria
organização
continua da
Avaliação de riscos (5.4.4)
o Monitoramento e
Q.
análise crítica
...
(1)
da estrutura
(ji' (4,5)
o
o
JI
(1)
»
tn
..•.
..•
(J)
z
-I
..•.
r:::
r:::
Principios Estrutura
...• (Seção 3) (Seção 4) Z
lU D::J
(1) ;:o
..•
"C
o
Processo
(Seção 5)
CJ)
o O
(1)
(J) ..•.
w
(J)
o o
o
o
IV
o
o
(Q
~,
NORMA BRASILEIRA ABNT NBR ISO 31000:2009
1 Escopo
Esta Norma pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo
ou indivíduo. Portanto, esta Norma não é espe,g~~8g;8\açé!\g>!t~~9uerindústria ou setor.
A ~
~":,~,_" ."
~ ~
, .-
NOTA
'"o
c.6
2 Termos e defi nlções /,~,;;,~~~"",,;';;;i1j!!!3'(""#"
o Para os efeitos deste documento, aplicam-se ossequlatesterrnos e definições.
<O
'"N
'<t
l!'i 2.1
'<t
o risco
(1)
efeito da incerteza nos objetivos
-o
c
~ NOTA 1 Um efeito é um desvio em relação ao esperado - posítlvoe/ou negativo.
~
e
'Qj
NOTA 2 Os objetivos podem ter diferentes aspectos (tais come metas financeiras, de saúde e segurança e arnblentais)' e
..o podem aplicar-se em diferentes niveis(tais como estratégico,emtoda a organização, de projeto, de produto e de processo) .
ii
(1)
'3 NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (2.17.) potenciais eàs consequências (2.18.), ou
c,ro uma combinação destes.
o
.2: NOTA 4 O risco ê muitas vezes expresso em termos de uma combinação de. consequências de um evento (incluindo
(f)
:::l
Ü
mudanças nas circunstâncias) e a probabilidade (2.19) de ocorrência associada.
X
CI.1
o
u:
:::l
NOTA 5 A incerteza é °
estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua
compreensão, seu conhecimento, sua consequência ou sua probabilidade.
~
CI)
Q.
'- '-
CI)
[ABNT ISO GUIA 73:2009, definição 1.1]
'ã.
'-- EQ)
x
W
./
ABNT NBR ISO 31000:2009 "
2.2
gestão de, riscos
atividades coordenadas para dirigir e controlar uma organização no que ~eref~r~ a,riscos (2.1)
2.3
estrutura da gestão de riscos
conjunto de componentes que fornecem os fundarnentos iej.os arranjos organizacionaispara a concepção,
implementação, monitoramento (2.28), análise crítica e rnelhoria contínua da gestão de riscos (2.2) através
'- de toda a organização .
NOTA 1 Os fundamentos incluem a p~lítica, objetivos, mandatos e comprometimento para gerenciar riscos (2.1).
2.4
.-
õ
o
N
política de gestão de
declaração das intEmçI5esiecj!retriizzee;Es,~~~r~!.1~;;~!~
ro
o
.-o
Õ
[ABNT ISO GUIA 73:2009, définit;iío
(/)
tfl
2.5
i!:
c. atitude perante o rlsco ,
.§ abordagem da orqanizaçãó' para avaliar e ev~~htlu.âtfnente u afastar-se do, risco (2.1)
l!'l
(!) . ;".'
<:t
l!'l
[ABNTISO GUIA 73:2009, de~nição 3.7.1.1
<:t
N
o 2.6
-o
'õ plano de gestão de riscos .....,.' "'..,
Ql
a,
esquema dentro da estrutura da gest~~;.~ê':liisf~~ ."3), qu ordagem, os componentes de gestão
C'?
o e os recursos a serem aplicados para geren:çiElf.J:I$'cos{2,t)...."
'-- <6 ":"'''''}',i'1';'\'SJt,','é' ,:",.d,i;,,~f%PV'
o
ss: NOTA 1 Os componentes de' gestão tipicamente incluem procedimentos, praticas, atribuição de responsabilidades,
C'?
<:t
N
seqüência e cronologia das atividades.
tr.i
<:t
o NOTA 2 O plano de gestãO de riscos pode ser aplicado a um determinado produto, processo e projeto, ~m parte ou em tQd_ª_
m a organização.
"O
c:
~ [ABNT ISO GUIA 73:2009, definição 2~1.3]
~
e
'0)
D
2.7
Cê proprietário do risco
'-- "5
til pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco (2.1)
o,m
[ABNTISO GUIA 73:2009, definição 3.5.1.51
o
>
'(ii
:::J 2.8
'-- ,.- (3
x
Q) processo de gestão de riscos ',. ,'. ....,'
o
tfl
aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades-de comunicação;
:::J consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento (2.28)
~- ~
til
C.
e análise crítica dos riscos (2.1) ,
•....
'- m
o.. [ABNT ISO GUIA 73:2009, definição 3.1]
'- E
<lJ
><
'- 4J
2 © ISO 2009 - © ABNT 2009 - Todos os direitosreservados
ABNT NBR ISO 31000:2009
2.9
estabelecimento do contexto
definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos,
e. estabelecimento do escopo e dos critérios de risco (2.22) para a política de gestão de riscos (2.4)
2.10
contexto externo
ambiente externo no qual a organização busca atingir seus objetivos
.-
õ 2.11 j,' ;tt: ';:q
o
N contexto interno .••... ,. '.. i:.. ,' 'S:' .,~ .,i't<~;
to
o . ambiente interno no C!1J.al;~orgahi't~~·go'P:~SC9i~tffi~'jn,seu·
o..- t
,,(
":/
",',
.-<--~-::
r/l~
NOTA O contexto inte~o pode.incluir:
governança. estruturaorgf!nizacional,
r~.~~~~
jj
.
fU,~:%ões,:~
respon~~,p
·;':t l ..
cultura da organização;
2.12
comunicação e consulta
processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações
e se envolver no diálogo com as partes interessadas (2.13}e outros, com ret ação a gerenciar riscos (2.1)
NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade (2.19), significância, avaliação,
aceitabilidade, tratamento ou outros aspectos da gestão de riscos,
NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma Organização e suas partes
interessadas ou outros, antes de tomar uma decisão ou dlrecionar uma questão específica, A consulta é:
uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.
2.13
'-- parte interessada
pessoa ou organização que pode afetar, ser afetada, ou perceber-seafetada por uma decisão ou atividade
2.14
processo de avaliação de riscos2)"1'.ç!;i"'21!;Z;""'LJ","~~<
processo global de identificação de risc,~,l[l'i(2f1'5),al'1álisede, riscos (2.21) e.avaliação de riscos (2.24)
~ _ ;.t?~~.;~;
.,<;{~.~/'~~:"~'~c' '. ".,' _,.: .',' . '-'
[ABNT ISO GUIA 73:2009, definição:~3.4.1r;,/ ',;;;;r"'''~';i~;\
:.-.:", "".;,. "{;Mg~~ p.<~.-: =rx'?l
'r~:l~ç~
~.15 . .
identlflcaçâc
_.
de rrscos .;/
"•','.
i'5I \:2<,;;:,;;.,::
.xi:· ·ff·~.~~:~
processo de busca, reconhecimento;e7aescrli~aoid;eirisc
~
-» • ',' ,f~? ~~~!
y;;~ ,
~o .•...
~Cõ
o
N
o
C,, i..n~ .'-"~,:('
NOTA 1 A identificação de :riscos envoíve a id~'QJifiéa,ªao<l
consequências (2.18) potenciais. 'Ii~~
NOTA 1 Um evento pode consistir em uma ou mais ocorrências e-pode ter várias causas.
NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".
NOT A 4 Um evento sem consequências (2.18) também pode ser referido como um "quase acidente", ou um "incidente" ou
"por um triz".
2) NOTA DA TRADUÇÃO: Para os efeitos desta Norma Brasileira, o termo risk assessment foi traduzido como "processo
de avaliação de riscos" (2.14) para evitar conflito com o termo riskevaluation, que foi traduzido como "avaliação de riscos"
(2.24). "
2.18
consequência
resultado de um evento (2.17) que afeta os objetivos
NOTA 2 Uma consequência pode ser certa ou incerta e podeter.efeitos positivos ou negativos sobre os objetivos.
2.19
probabilidade (/ikelihood)
chance de algo acontecer
õ
.•... aslíriçuas: em vez disso, o equivalente
o é muitas vezes interpretado estritamente
N
Cõ elihood" é utilizado com a mesma ampla
o
Õ
.•... s.
(:)
(/)
'"~
Q.
til NOTA 1 A análise de riscos fornece a base para a avaliação.d.eriscos (2.24) e para as decisões sobre otratamentcde
"O
'C riscos (2.25).
~
~ NOTA 2 A análise de riscos 'inclui a estimativa de riscos ..
,-
...
o
'15
.o
a:: [ABNT ISO GUIA 73:2009, definição 3.6.1]
til
"5
a,til 2,22
critérios de risco
-o
,~ termos dê referência contra os quais a significância de um risco (2:1) é avaliada
<li
:J
13
x NOTA 1 - Os critérios de risco são baseados nos objetivos orqanlzaclonais e no contexto externo (2,10) e contexto interno
Q)
o (2.11).
'"
:::l
('Il
ro NOTA 2 Os critérios de risco podem ser derivados de normas, leis, políticas e outros requisitos.
Q. '··0
'-
('Il [ABNT ISO GUIA 73:2009, definição 3.3.1.3]
õ.
E
Q)
x
W
2.23
. nível de risco
magnitude de um risco (2.1) ou combinação de riscos, expressa em termos da combinação das consequências
(2.18) e de suas probabilidades (2.19)
2.24
avaliação de riscos
processo de comparar os resultados da análise de riscos (2.21)com.os critérios de risco (2.22) para determinar
se o risco (2.1) e/ou sua magnitude é aceitável ou tolerável
2.25
tratamento de riscos
processo para modificar o ris~col(2~.1)
NOTA 1
õ
..- a ação de evitar o
o
C\I
êõ assumir ou aumentar orisc(), a
o
o
v-
a remoção da fonte dJitis2p (2.1·ê);
NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar. riscos existentes.
2.26
controle
medida que está modificando o risco (2,1)
NOTA 1 Os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que modificam o risco.
NOTA 2 Os controles nem sempre conseguem exercer o efeito demodificaçãó pretendido ou presumido.
o
>
'w::l [ABNT ISO GUIA 73:2009, definição 3.8.1.1]
Ü
x
a>
o 2.27
V1
::l risco residual
t1l
risco (2.1) remanescente após o tratamento do risco (2.25)
ro
Q.
~
ro
Q. NOTA 1 O risco residual pode conter riscos não identificados.
E
Q)
x
W
NOTA 2 '0 risco residual também pode ser conhecido como ','riscoretido".
2,28
monitoramento
verificação, supervisão, observação crítica ou identificação da situação, executadas .de forma contínua, a fim de
identificar mudanças no nível de desempenho requerido ou esperado
NOTA O monitoramento pode ser aplicado à estrutura da gestão de riseos·{2.3), ao processo de g~stão. de riscos
(2.~), ao risco (2.1) ou ao controle (2.26).' . . ,.,
atividade realizada para deterrr]il1ar a' a.dequ, do assunto em questão para atingir
os objetivos estabelecidos 0-' '. •. .,'\, .
3 Princípios ,::;Jk,~{;}}V}F
'.~-,~:/?,;)i{{;~.~,
:~~x~ d~~~;~t~sde
ris~riJ~er~ijcaz.
,.'. '/,',
C~ié~i:~~
~:'/.},./ ~"'.:;,,:
-)}~!,i ;:·~ti~
níveis, atenda aos princípios
A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos
da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de
todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de
projetos e gestão de mudanças.
A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir
entre formas alternativas de ação,
o A gestão de riscos explicitamente leva em consideração a incerteza, .a natureza dessa incerteza, e como ela
.!!
~{f) pode ser tratada. .
::>
15
'-~
e) A gestão de riscos é sistemática,estruturada eoportuna.
O
-:;:,
l1l " . ,,,. " '" ' . ,".
-~ O-
c:
_<Li
x
'U
As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados
históricos, experiências, retroalimentação das partes interessadas, observações, previsões, e opiniões
de especialistas, Entretanto, convém que os tomadores .de decisão se informem e levem em consideração,
quaisquer limitações' dos dados ou modelagem utiliz~dos,ou a possibilidade de divergências entre
especialistas, .
A gestão de riscos está alinhada com o contexto interno e externo da organização e como perfil do risco.
•..
õ
o
N j)
- Cõ
o
Õ
~ A gestão de riscos ~çonlinuaf:iJentepe dida em que acontecem eventos
externos e internos/óicÓntexto/e o co ento ea análise crítica de riscos
são realizados, novo~:;r.i;cos satgem, a cem.
4 Estrutura
4.1 Generalidades
'- o
tn
:::l
(I:l
ro0-
ro
o.
E
ti)
)(
UJ
© ISO 2009 - © ABNT 2009 - Todos-os direitos reservados.
8
ABNT NBR ISO 31000:2009
I
·1
Melhoria contínua da estrutura Implementação da gestão de riscos (4.4)
I (4.6) Implementação da estrutura para gerenciar riscos (4.4.1)
Implementação do processo de gestão de riscos (4.4.2)
..-õ
o
N
Cõ
o
Õ Monitoramento e análise crítica da estrutura (4.5)
o
>
defina indicadores de desempenho para a gestão' d~ riscós~ueestejaní alínhados com oslndlcadores
<ii '. de desempenho da organização; :,i
~
Ü
'X
'Q)
o ; alinhe os objetivos da gestão de riscos corri os obletizose estratégias-da organização;
'In
~
..
til
W
a.
. assegure a conformidade legal eregulatória; .
...ro
a.
E
,O)
x
W
© ISO 2009 • © ABNT 2009 • Todos os direitos reservados
9
ABNT NBR ISO 31000:2009
assegure que os recursos necessários sejam alocados para 'a gestão de riscos;
,(I}
E
x
W
4.3.3 Responsabilização
~,.~-::,;~~J?;h~
identificar os proprietários dq$'rísc e~~m'\'â~~~sp
~1:c~~~car
os responsáyei~;"IO vlfne~r' nutenção. da estrutura para gerel'lciar
;;~;;~~:medi:+j~~~,
~et
ô
~
o uexternos e relação com os devidos
N
Õ5
o
Õ
-e-
assegurar niveis,;à:prôpriaàos de red§ji!héçiment
. .-: -: ,'~- ;-s~'*t ~';:~..t:.4
. :- ~\~~',~'
4.3.4 Integração nÔ~,'Rré,<:essosorg~Q,!z
. .. ::':~~::~.
:~-::::- .~;?
COnvém que a gestão d~tlsêps sejà:inqi~· esses da-orqanízação, de forma.que
seja pertinente. eficaz ee~,,9iéi;l;~: ~oniir c9s se torne parte integrante, e.não
separado, desses processosprg§J1lzaQI,o",r,Ja .. ;;9V"gestãode riscos seja incorporada
no desenvolvimento de políticásJnàçmaliseH~'tí ~gico e de negócios, e nos processos
de gestão de mudanças. . ";:i"!\~;:i;;::"';"';
Convém que exista um plano de gesta' ,'~~r~~~A''';'''''';~a~;:
"~~c':f;~:«}lIi'·
' anit~ção; a fim de assegurar que a pblíticade
ge'sta ,
!«. _l.\;:';0' - •
gestão de riscos seja implementada e que a ~osseja incorporada em todas as práticas e processos
da organização. O plano de gestão de riscos pode ser integrado em Outros planos organizacionais, tais como
um plano estratégico. ,.. .
4.3.5 Recursos
. ". ".
programas de treinamento.
. ;~.
;;"j
4.3.6 Estabelecimento de mecanismos de ccmunlcaçâc.ereporte internos
as informações pertinentes derivadas da aplicação da gElst~pderis,c9s estejam dlsponlveis nos níveis e nos
momentos apropriados; e . ... .. ' . .
.:.:,.:tc.
o
N
ã5 engajar as partes int~tes~adag;~x:iêFIfi,"
,.~ -r- ..-_~,;..
e
o
~ o reporte externo pa~~:ai~hdirtrEmtode
::.t~L ~;: .
fornecer retroaliment-á,çãb:eréGortar s
. '0.-:;.-:,' :iV;.
~~(f~,::
'.~~).
usar comunicação par~;jptí,~!ruir conf
~- \~:~~ .y~~::
comunicar as partesintere~~~'ct~~},elJ1
:.<;/:"': ~~:~~:<~.
fffi*,' ;,
<", ••
4.4
o Convém que a gestão de riscos seja implementada para assegurar que o-processo de gestão de riscos descrito na
Seção 5 seja aplicado, através de um plano de gestãode.riscosj érntodos os níveis e funções pertinentes da
organização, como parte de suas práticas e processos. ..
A fim de assegurar que a gestão de riscos seja eficaz e côntinua a": apoiar .6 desempenho organizacional,convém
que a organização: . •
meça o desempenho da gestão de riscos utilizando indiéadores,osqu~is devem ser ánalisados criticamente;
de forma periódica, para garantirsuaadequação;
"f~~$~~~~~·", ..~
meça periodicamente o progres~Bl . relação ao plano de g'estão de riscos;
:.- , . ".' ''''''~' .. ,-.' '~
5.1 Generalidades
('f)
9
<.O
o
<.O
C"i
-.t
C'\I parte integrante da gestão,
Ll'i
-.t
o
\ incorporado na cultura e nas práticas, e
l1l
"'O
c:
~ adaptado 'aos processos de nelgól:;iosidla·t)rgâriiiaçã~o;::it;;;;'i't;;;;i·l;,!:,,;;',~!jJigi" ",
~ ';;~L~!·~~~~·,·;·é~'"~.l~~~~,r·~
e
'ã;
Ele compreende as atividades descritas em 5.2 a 5.6. O próóessc.deqestâó de riscos
.o
~
l1l
:;
C1l
>- o-
o
>
'ijj
:l
(3
x
Ql
oVl
:::J
til
'-
C1l
o.
~ '-
l1l
Õ.
:'- E
Q)
x
UJ
© ISO 2009 - © ABNT 2009 - Todos os cÍirEiitosres~rVados
,.
ABNT NBR ISO 31000:2009
Comunicação e Monitoramento e
consulta análise critica
(5.2) (5.6)
5.2 Comunicação e
':,:+7::.,', ";igu~a
co~~~Jta
Iticesso.
í~11~~í
. -"~':+" ".' ',':, ~ ~;~
Convém que a comunicação eà·é9n~,\,!!ta às:~a :. .,. . . ..,
fases do processo de gestão de ris~~~·.'''õ;\;;.,'.'. '
'r.. <;".
I
".;
Portanto, convém que os planos de'~$9'J.l~hiGi;\ç,,~2econsl,lltaesenvolvidos em um estágio inicial.
Convém que estes planos abordem questõ~:~p~~!.ª~Ç19:9a·da "..' .' co- propriamente dito, suas causas,sUas
consequências (se conhecidas) e as medidas qu-e::estâÔ:, madasparatratá-los. Convém que comunicação
e consulta interna e externa eficazes sejam realizadas à ,fim de- a§~.~glJrar que _os responsáveis. pelâ
implementação do processo de gestão de riscos e aspartesinteressadascorllpreendamosJündamentos sobre
os quais as decisões são tomadas e as razões pelas quaisaç~résespecíficas S?O requeridas. ,-,' '
assegurar que diferentes pontos de vista sejam devidamente considerados quando dadeânlção dos critérios
de risco e n~ avaliação dos riscos; ,
. '.~
A comunicação e consulta às partes interessadas são irnport~ntes .na medida emque elas fazem julg~rnentos
sobre riscos com base em suas percepções. Essasperqégçôespo.demYáriardevidoàs.diferenças,devalores;
necessidades, suposições, conceitos e preocupações dás. partes interessadas. Como os seus pontos de vista
podem ter um impacto significativo sobre as decisôes.ctornadas, convém que as" percepções das partes
interessadas sejam identificadas, registradas e levadas ern.consideraçâo no processo de tomada de decisão. .
Convém que a comunicação e a consulta facilitem a 'troca de friformações verdadeiras, pertinentes, exatas
e compreensíveis, levando em consideração os aspectos derconfide,n'cialidadee ínteqrldade das pessoas.
5.3.1 Generalidades
. ,-~-:~..' ~ ,;if-.~"-:-'
5.3.2 Estabelecimentodo'cón-té)cto
·'.<i;~á·
õ
.•... O contexto externo é o\ârribien't~J~xtern
o
N
Cõ vós e as preocupaçõesçdas-pastes
~.
Entender o contextci'kh!~rnó;:~ impor
.•.... interessadas extern«~;! ~~jam.:.'~çonside 'Ho.sde risco. o contexto §!xt~rno
o
Ul
é baseado no conteXto:,.::de1.oda a específicos sobre requisito.sd~gª'is
rn e requlatórios, perc_~pç6~~ dE!:~partes 'riscos especiflcos parâ-:o~'~stôpo
~
(!)
'--
.sc. do processo de gestãÕ,:<:ty}~lscos.,
-, .~;
ln
(J:)
'<t O contexto externo pOde;,i6,aÓJr,
mas nã
io
'<t
N
o ambientes. cultural, "'S:ocial7':::, polí econômico, natural
"o'
i5 e competitivo, quer sejairiiér;J;Ía'biçn
(\)
:~'2:~~,>::"
",
S ':i";-" .. ,C",
'-
~
~ Convém que o processo de gestão de riscos esteja alinhadocomacultl.Jra,processos;.estr,uluraees~r9~~gip,da
'- e
'ãj
organização. O contexto interno é algo' dentrodaorganiFaçãoque pode influenciar a maneira pela qual 'pma
..c organização gerenciará os riscos. Convém que ele seja estabelecido,. porque: "
~
ro
's a) a gestão de riscos ocorre no contexto dos objetlvos.daorqanizaçâo:
ro
a.. :-,::~;"';i.,-,'" ;.: .~.~~-:" ., .; ,::;.;~-l -'+.>~
É necessário compreender o contexto interno. Isto pode inéiuir,m'as não está limitado a: .
cultura da organização;
õ
.,.... Convém que sejam estebel~:Cido:~,~6Sot .. s parâmetros das atividades
o
N
da organização,. ou daqu~~à~tpartW~ld: ãode riscos está .sendo apiicad6.
ã5 Convém que a gestão dõ.s:riscos{s<,e ssidade de justificar os recursos.
e
o utilizados na gestão de rl~ço:~,Cd@yémqu bilidades e a:? autorldades.ialém
.,....
dos registros a serem ma:Qtici:ª,s,
tà.ijj,bém s .
o
(j) .?~::;;~';:~:~. ·\;~)ti -. :~.. .
•..c,
(j)
Q)
O contexto do processo .~~ 19~stãó' de ris essidades de umaor9fHliza9ão ..
É Ele pode envolver, mas naôiesta limltadoa
. - .. 'y) ..... :"":.
LO
tO
"<t
LO definição das metas eo~i~tt;
~ .'t .. :)
~ _.~~y~~;::.
',/
.0
""O définição das responsabilidá
'ti
e:-
Q)
dos riscos; .
..c
a::
ro ldentlflcação e especificação dasdeclsões que t~:m qUÉts:~~~r~rn:&éJ~~;e"» '. ;, .Ó
S
a..ro
.... <,... . .;:-.. ,.. ~.
, "
.~:.' .. "
., ....
.c~~~~~~~:,;eJ~~~:be~~f~~ir~~~b~"':"
'l'
..D •
tálç,res;c9mo divergêr:icia a:
i:~ Idade eà contínua pertinência
T'"
'-0
'-N
1tli5
-.
<-o
·0
T'"
'Ncáné n!S'êl éde'
riscos p endendo .do risco, da finalidadé':
d. da análise e das inform ircunstâncias, a análise pode ser
o
rJl
qualitativa, semlcuantltat
,gJ
o.
E em dos resultados de um evento
Li a partir dos dados disponíveis;
intanqíveis. Em alguns casos)'
\l.ênçiCjs~.?LlaS prob;ª9!H8~~"ê)~'
.: .', "·~~f· ~r~~:-:'
~.~,"
",.,\j~~~
Em algumas circunstâncias, a avaliação de riscos pode levar à decisão de se proceder a uma análise mais
aprofundada. A avaliação de riscos também pode levar à decisão de não se tratar o risco de nenhuma outra forma
o que seja manter os controles existentes. Esta decisão será influenciada pela atitude perante o risco
>
'ijí
::J da organização e pelos critérios de risco que foram estabelecidos.
13
x
Ql
.-"v_'
o
rJl
::J
~
.:g,
ro'
o.
E
!!i
UJ
© ISO 2009 -©-ABNT 2009- Todos OS direitos reservados
18
ABNT N.BR ISO ,31000:2009
" '< _.' '. ',. -_'. 0",
5.5;1 Generalidades
o tratamento de riscos envolve a seleção de uma ou .malscpções para modificar os riscos e a implementação
dessas opções. Uma vez implementado, o.trat.amento.fornece noves.centteles ou modifici:losexistentes .
• "'0,'-"_,' .'. '. ,: ._ •..• , _ _ , ..•• ' ,. .' ",".
ô
.,....
o
N
CO
s
..,....
'0
'(/l
!Il
<I)
'c.
Ê
ÍD
<!)
'::t
tn
~
-c
o
'õ
Q)
e::-
M
O ,
<!:J
O
<!:J Selecionar a opção mais adequada de tratam , ..".;,nvol"eequilibrar;deumlado, os custose.osesforços
(tj
'<I' deimplementação e, de outro, os benetlclos decorrentes;"rel'alivQs-é!.r~,q4.i.sjtÓs··legais\·
regulatórios o;u qúais'quer
N
l{Í outros, tais como o da responsabilidade social e o dapràt~ção :dpárnbl~mtenatl!.lraL Convém que as de~i~ões
'<I' também levem em consideração os riscos que demandam"LJm'tratal11j:l.ntoEl.conomic~t1'1~lite.n~ojustificá\(eli,cqmo,
O
m, por exemplo, riscos severos (com grande' consequênclaneqaüva), porém raros (compróbabilidade ri1uJto,bajxâ).h,' .; ",_. .",' .- __ ,', • "... • •• :•••• _ .•••
'O
C
~ Várias opções de tratamento podem ser.consideradas eaRittaqa~jndivid~?,Ir:n~l)te9u',~or:nbínªdas, A,.of:g~nizà.çao.
~-
normalmente, beneficia-se com a adoção deumacombiií~tç.~;o (jeQpçõe~d,7)r:~tameI;lJQ::.,.,~'~"". . };'''~:>'
e
'ã) '~'. ~ ",.'
.o
i:i: Ao selecionar as opções de tratamento .·derisço~.;)~9I1y,ér1)!qu~,,~, ~rg~lli~ªÇ~9:içp'nSid!3(~ ,~()~;
..yalpr:es
(Il e as percepções das partes interessadas, e as formas.maf~padeqlJ,ê~ps:p,ª~a:se;comuhlca,.rcomelas;:.ql:!êndo ..?,~
'3
rn opções de tratamento de riscos podem.afetar o risco-nQ.testo,~d?:;i-ltg~lil~§w~p,OU.COI1l'é3s,,;partes,i~t\'lte§,s,?,p~S'f
a.
convém que todos os envolvidos partlclpern da deéisâ'o.gQ'i,póra.ig~~lm~~t~~Maz~s,?lgubs'tratam'é.l'Ítº~~~pqdern
o ser mais aceitáveis para algumas das partes interessadasd(,FqUEl,para outr.as.· . . . '. ' ..
.::
!Il
. , ..... /'., ... ':-- .. '--'" . -"':.:.,"
:::l
13 Convém que o plano de tratamento identifique clarament!3aórdem:depr1:~ridade emque.cada tratamento deva
x
Q)
. ..
~r.tS~ta'~
f~~~~~f.~~:;~~1:~;f:~~~d~Ea~t!i~i~t~ít
Y~••
5.5.3 Preparando
-
e implementando planos. para tratamento de riscos . - "".,., ". .-' .
A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão
implementadas. Convém que as informações fornecidas nos planos de tràtamentoincluarn:
-'--' as razões para a seleção das .opções de tratamento, incluindo os beneflciosquese esperaobter;
. os recursõsreqt.ieridos,.inclu~i'g~~~(f
medidas de desempenho'fit~%f~~x~{
:fti? .:<~-" .,~~&;i~~·
requisitos para a apreséntá~ão~;(;f~'info 1
5.6 Moniloramenlo
ea~~;t'::jtall .
Convém que o monitoramento e a\'aT]'í3.!Js"
e envolvam a checagem ou vigilântiãJij. resposta aumfato
-.'-
específico. '
a necessidade da organizaçªe!lâ~:,~prén
- .:~~~~~!=~~;.~
.,.
os benefícios da reutiliz<;l:çãqãeJ,.",
··t· :.:-;;~~.•'
os custos e os eSfor~,~,é~v
.:;~:rf-: ~
s as necessidades q~';'~~ist~'GA~i'legai
,:~::~.::-'
..~~~;~:.·-;~?~L.:_,.~.
Õ
N
ã5 o método de aceSáb,1fiacili$atei-"
.'.:;'.-;.~'.~J':' .>,-, . .--j:' ..
!2 ,:~ < ,;:J.c
o
.•... .~(::~~ .:.~'~: . ~i«(:"
o período de reteÔ,~ã'(jÍ;
e .;;;-~
~r~ '~(~ ~\; ~
a sensibilidade dá~I~fqrmàções .
. ·~·'f~':'.
'">:.;:'. •
' \::!'
•• ~< •
<~ -~- - .
ן-
m
Õ.
E
~
w
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados 21
ABNT NBR ISO 31000:2009
Anex()~
(infomati~q)
A.1 Generalidades
A.2Resultados-chave
A.2.1
A.3 Atributos
~,,-
-'"
).,
A.3.1
Isto pode ser indicado quando todos osmembros de urna.o~g~i1izaçãQestãQtbtalmehte,consCientes dos riscos;
controles e tarefas para os quais são responsáveis ..',NOrm~lmente,'issoestará registrado, em descriçôesde
cargo/posição, em bancos de dados ou sistemas. deihfqrmação.C::onx~.m, que, a definição das funções
e responsabilidades relativas à gestão dos riscos faça partedElitbdos os prográmasdeformação da organização.
22
.' ..•...
A organização assegura que aqueles responsáveis estão' e,quipaqos para.desempenhar completamente as suas
funções, fornecendo-Ihes a autoridade, tempo, treinamento; 'recursos' e habilldades suficientes para' assumirem
suas responsabilldades. ' '
o
.<:
(J)
:::l
(3
X
(J)
o
(J)
:::l
til
(;j
o.
ro
õ.
E
~
w
, 23
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
ABNT NBR ISO 31000:2009
Biblio.gr~~i,a '/.
:'j.
"
[2]IEC 31010, Risk management- Risk assessmentguid~line~ •..
-"'.-
."
",";
~
~
ô
.•... '\',
o
·N
Õ3
-o e <,
.•...
o
<J)
"1Il
~
•...
o-
É
lt'l
tO
'<t
io
~
o
-o
'õ
Q)
~
""o
cb
o ::-~:
tO
ct;
'<t
N
<ri
'<t
o
,
(1)
'O
c:
~ .,
~
o
•...
'v
.D
li:
(1)
'Si
ro
a.
, ",-:.-: ~
o
,<:
III
::l
Ü
X
Q)
o
tn
:J
ro
ta
.0.
•...
(1)
o.
E
~ )(
w
© ISO 2009 - ©ABNT 2009 7 Todos os direitos reservados
24