Você está na página 1de 31

NORMA ABNT NBR

BRASILEIRA ISO
31000
Primeira edição
30.11.2009

Válida a partir de
30.12.2009

Gestão de-riscos - Princípios e diretrizes


.;.:{~,_:.
Riek management- Prinêiples

õ
~
o
N
Õ3
o
C
-r

U5
~
E
l;."')

<D
-q
1....;

'"
N
o
~
ã)
s
("')
o
J,
o
to
('")
-q
N
L")

o
~
,
m
~
1.V

~
J1
~
e;

ª
[{
, ICS 03.100.01 ISBN 978-85-07-01838-4
.2::
5
Ü
x
(\)
o ASSOCIAÇÃO
u: Número de referência
::::> BRASILEIRA
~ DE NORMAS ABNT NBR ISO 31000:2009
rv
o, TÉCNICAS 24 páginas
.s~ o..
'-. EQ)
x
W © ISO 2009 - © ABNT 2009
ABNT NBR ISO 31000:2009

ê
o
N
ro
o
Õ

~
!/'J
~
O-
E
l.[)
<D
'<Ó"
ln
'<Ó"
N
"O

~
S
r')
o
<6
c
<C
r')
'<Ó"
N
ltl
'<Ó"
o © ISO 2009
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida
-§ ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT, .
~ único representante da ISO no território brasileiro.
~
;:: © ABNT 2009
.ã) Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida
:e ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT.
o::
;'1,;

2 ABNT
CL Av. Treze de Maio, 13 - 28° andar
20031-901 - Rio de Janeiro - RJ
~
Tel.: + 55 21 3974-2300
~ Fax: + 55 21 3974-2346
~
a; abnt@abnt.org.br
o www.abnt.org.br
5
;;
~
0-

ro
9-
'--- t:
<V
x
W

ii © ISO 2009 - © ABNT 2009 - Todos os direitos reservados


ABNT NBR ISO 31000:2009

Sumário Página
Prefácio Nacional iv
Introdução v
1 Escopo ; 1
2 Termos e definições 1
3 Princípios 7
4 Estrutu ra 8
4.1 Generalidades 8
4.2 Mandato e comprometimento ..............••. ;;.; ,,;...•.•.........................................................................................
9
4.3 Concepção da estrutura paragereriéiar riscos : 10
4.3.1 Entendimento da organizaçâo"e seu.cpntexto j:~::~: t 10
4.3.2 Estabelecimento da política degesjão:d~r.isco~;~;.!:: •.......i~.':i
...••................................................................
10
4.3.3 Responsabilização ........•...........•: \•..;•......;..•......!.}':).~•...... :~,.}.J~;,~.~.~: 11
4.3.4 Integração nos prccessos-orqantzaelcnals, ..•.....;:i~
:;;..':::; ..:::::H;;, 11
4.3.5 Recursos ~.: ::':.; ~::Jl ~:~t:
t\~1:í~~ 11
4.3.6 Estabelecimentocle mecanismos de>comut:l[ca~~p'~i~e~~}tei .~<?,s ~ 12
4.3.7 Estabeleciment.o de mecanlsmos de;com\Jt1icaÇjp~.:.t~R:ê'tte e~:~~ :12
4.4
4.4.1
Implementação da gestão de riscos'.:
Implementação da estrutura para get;~,nclarris~§~ ;{. .
.i: ;~.r~ ;:i:I;.:i;::l ~ :::
;J~
12
12
4.4.2 Implementaç:ão do processo de gestão de risco~ ; .< ••••••• ;~~t'i .. , 13
4.5 Monito~ament? e análise crítica;,da estrútura ~~~) :i{;~;~ i~f;;~ 13
4.6 Melhona continua da estrutura .',..........................•. ;.; ;.•~~· m~!;....••..•••..•..•..••.•.•••..•••.•..•........••.•.•......• 13

..:::.j~ ::::.::.:
~:i ~I~;?1~~~:ú~~~c~~~~~;~,:~:;:,::::::,::::,',:':,j~::i:::,:::::tl:,:::i:··:::::··:::::·:::::::::··::::::.···.:'
5.3.1 Generalidades , ~.............•...,j~:;; ~:), ;::).:: ,.. 15
5.3.2 Estabelecimento do contexto externo , j;:.:, >.{L ., ,',•.' 15
5.3.3 Estabelecimento do contexto interno,.y.: :';l:!
;:;'L ,,:;'~ 15
5.3.4 Estabelecimento do contextodo proéesso de ge,$tãode ri~J:;ps 16
5.3.5 Definição dos critérios deri~cp .......•.•....~ , ,.",~,Çiir.': 17
5.4 Processo de avaliação de riscos .; ;.., :..•." ..s.:..::: 17
5.4.1 Generalidades ...,..:.i:.:~;~·.:
:.:':~;.; 17
5.4.2 Identificação de riscos 17
5.4.3 Análise de riscos : 18
5.4.4 Avaliação de riscos ; 18
5.5 Tratamento. de riscos 19
5.5.1 Generalidades : 19
5.5.2 Seleção das opções de tratamento de riscos 19
5.5.3 Preparando e implementando planos para tratamento de riscos 20
5.6 Monitoramento e análise crítica 20
5.7 Registros do processo de gestão de riscos 21
Anexo A (infomativo) Atributos de uma gestão de riscos avançada ...............................................................•.. 22
A.1 22
Generalidades ..•........................................................................................................................................••.
A.2 Resultados-chave : 22
c
> A.3 Atributos 22
'Vi
::J A.3.1 Melhoria contínua :•.22
XQ) A.3.2 Responsabilização integral pelos riscos 22
C
sr:
A.3.3 Aplicação da gestão de riscos em todas as tomadas de decisão 23
:::: A.3.4 Comunicação contínua :.: 23
A.3.5 Integração total na estrutura de governança da organização 23
Bibliografia , 24

iii
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
ABNT NBR ISO 31000:2009

Prefacio Nacional

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras,
cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização
Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de
Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores
e neutros (universidade, laboratório e outros).

Os Documentos Técnicos ABNT são elaborados conforme as regras das Diretivas ABNT, Parte 2.

A Associação Brasileira de Normas Técnicas (ABNT) chama atenção para a possibilidade de que alguns dos,
elementos deste documento podem ser objeto, de;'.direitodGe patente. A ABNT não deve ser considerada
responsável pela identificação de quaisquer'd'ireitos de patentes. '
t,:._ 1J;T~,_ ,:~,
A ABNT NBR ISO 31000 foi elaborada pela Comissão de~r~§,!udo;L~sp,f1cial de Gestão de Riscos (CEE-63).
O Projeto circulou em Consulta Nacional coriforme EditaJ nº,MSçle (l:7;:,:.P8.gQ,º,9a 08.09.2009, com o número de
Projeto 63:000,01-001." . '~:~ ;.1';;

1',{" t~i; ~'{~'(~i


Esta Norma é uma adoç~0;:id,ênti,c~i em ;GQnt~~do
té~.~·icq~.;t e r~~Jt~~p,à ISO 31000:2009, que foi
~fiú~tU:li~~
elaborada pelo ISO Technica/.Man~gemenSEa0arq\;Work(~gGl:y?1jP'" mffj'qgement (ISO/TMB/WG), conforme
õ
~
o
ISO/lEC Guide 21-1 :2005. i+~.
,.,:';_:" .
'H";J'
,.-''J.>''':-.

N
ã3
o
Õ
O Escopo desta Norma Brasileiraem iÍ1gjês'~;o s~jci·~:i~~::.~~f
~ ,;';'::/~,

.:r-«
lii~~
~:\,~~~:'0.
Scope o'é ;.r};,;

This Standard provides principies


, .
and generiç~guidêlines
, ..{) :.,<:<~-,,:>:;(
on"~í§'lirtnanagêiPentf~0i
~'&i:J· <'c;:/-;;." \>:<",-,;,

This Standard can be used by any PUbli~);~PriJ~teor ig~~1nity ~~Y~rpriJ? essocetior, group or individual.
Therefore, this Standard is not specíficto anYindus.trY~~isflct~Çf); .;~1 ./'/'''
"_ _ ..>/\ ;_'>,;:h.:<' ~~;t: . ~-< . <:lY~
NOTE For coovenience, ali lhe ditterení.users-ot this Slandard.afi(j!referred loAYthegeneral term "organiza/ion",
',~: .".. --":-,,~~:;;,,,"'
~~~-'.' "

This Standard can be applied throughout thelife'bf'anorg~fJi.tat/6h,and to a wide range of activities, including
strategies and decisions, aperations, processes, iunctions, ptojects, products, services and assets.

This Standard can be applied to any type of risk, whatever its nature, whether having positive or negative
conseouences.

Althaugh this Standard provides generic guidelines, it is not intended to promote uniformity of risk management
ecroes.orqenizetions. The design and implementation of risk management plans and frameworks will need to take
into account the vaT'Jingneeds of a specific organization, íts particular objectives, context, structure, operations,
processes, functions, projects, products, services, ar assets and specific practices employed.

It is intended .tiiet this Standard be utilized to harmonize riskmanagement processes in existing and future
standards. It provides a common approach in support of standards dealing with specífic risks andlor sectors, and
o
does not replace those standards.
>
.~
li This Standard is not intended for the purpose of certification.
x
Q)

o
(/)
::::
~
a
~o.
E
Q)
x
LU
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
iv
ABNT NBR ISO 31000:2009

Introdução

Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tornam incerto
se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização
é chamado de "risco".

Todas as atividades de uma organização envoly!?m.:Jis.~º.•.A~,"~organizaçõesgerenciam o risco, identificando-o,


analisando-o e, em seguida, avaliando se o-rtsco deve ser modificado pelo tratamento do risco a fim de atender
a seus critérios de risco. Ao longo d~tódo,esteprqçel>so, e:las~comunicam e consultam as partes interessadas.
e monitoram e analisam criticamenteo.riscq e~s:;é6n~r:oles o rv:qçificam, a fim de assegurar que nenhum
tratamento de risco adicional seja requerido'.§sta'f\jorm'áldes ,"est~:~n?cesso sistemático e lógico em detalhes .
• <. • '--~_~À-- ." t{~ ~~J~-,
Embora todas as organizaçõesgerencierr(; os.crlscosvern U'!'fl grau, Norma estabelece um número
de princípios que precisam ser atendidos pa·r.atornar aCgêst d.e,;fis.~~sefi sta Norma recomenda que as
organizações desenvolvam, lmplernentern e:'melhprem Lcontir;t,.,rrtér:t~1~ma L./}a 1) cuja finalidade é integrar

õ o processo para gerencíarriscos nagoverna,~ça;estra,tégia e;$RJanej§r'1('to,g;e~tãb, processos de reportar dados


~
o e resultados, políticas, valores e cultura 'em tôdaáorgaiíizaçã&~;(>i f'i~;~ .
N
à3 :,:." ,' ':~:-'> ".: ~'j/~,~~:
- :[~~:~,:~.
o
o A gestão de riscos pode ser aplicada a toda:;ii(ma6.~gànização~~rnsu áriasf~eas e níveis, a qualquer momento,
'r

o bem como a funções, atividades e projetos especí,~~cos. ;·,:.1)1}~J.iJ1 '


V)
:J)
í . . ':?~ -".~_~~ ~'.5~'t;.'~;~ '~~I
a.
'l)
Embora a prática de gestão de riscos tenha~sid6:desenvàly,itá1iao 10 dO"!"" po e em muitos setores a fim de
É atender às necessidades diversas, a adoção.de p,r;9cessos;9à~~:stent mu estrutura abrangente pode ajudar
lD
<D a assegurar que o risco sejaqerenciado de ·fqfmá eficaz, éfici??nfee c nte te ao longo de uma organização.
'<t
lD A abordagem gen~rica, desc~it~ nesta Norma~fotli'~ce,?sprin~f~ios e,,~ triz ar,? gerenciarqualquerforma de
'<t
N riSCOde uma maneira sisternáttca, transparente e ,c,onflav~I;,dt1';~fro degll,êlqucoPo e contexto.
o , ';, "'~~-" :,~':)~ ,>::;. _..,' -i':_~;--'~;':/~\;~:::~:t~ __-<é'{
i"5 Cada setor específico ou aplicaçãO"g9ge~tã~ d~Jii$~~~traz~~nSigO~~~C*7~S.~i1f~des particulares,' vários públicos,
e:-
Q)

percepções e critérios. Portanto, uma'carà'cterística-chavedésta Non~Q.-aPé a inclusão do estabelecimento do


M
O contexto como .urna atividade no inícíódêste. prqéessogenérJc9í;:ylê' 'gestão de riscos. O estabelecimento do
'--- JJ
O contexto captura os objetivos da organizaçãô,>oambiéntéi~1íi2que ela persegue esses objetivos, suas partes
<D
C"Í interessadas e a diversidade de critérios de risco - o que auxiliará a revelar e avaliar a natureza e a complexidade
'<t
N de seus riscos. '
U;
.,;-
O
O relacionamento entre os princípios para gerenciar riscos, a estrutura na qual ocorre e o processo de gestão de
ro
u riscos descritos nesta Norma são mostrados na Figura 1.
c
[:
~ Quando implementada e mantida de acordo com esta Norma, a gestão dos riscos possibilita a uma organização,
O
<- por exemplo:
ai
.o
C2 aumentar a probabilidade de atingir os objetivos;
~
ro
Q..
encorajar uma gestão pro-ativa;
O
>
'u; estar atento para a necessidade de identificar e tratar os riscos através de toda a organização;'
::l
U
X
Q)

O
rn
::l
~
ro 1) NOTA DA TRADUÇÃO: Para os efeitos desta Norma Brasileira traduziu-se o termo framework por "estrutura".
Q.

'-..,c
~D-
E
!l)
><
LU

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados v


ABNT NBR ISO 31000:2009

melhorar a identificação de oportunidades e ameaças;

atender às normas internacionais e requisitos legais e regulatórios pertinentes;

melhorar o reporte das informações financeiras;

melhorar a governança;

melhorar a confiança das partes interessadas;

estabelecer uma base confiável para a tom~d?,~y,g~ç.is.ªg.,!Leplanejamento;

melhorar os controles;

alocar e utilizar eficazmente

melhorar a eficácia e a efi(::iêI1CLa:g peraê:igrlal.i


1 .

melhorar o desempenhO em mbienfe;


õ
~
o
N

o
Õ
.•.... minirriizar perdas;
oo:
u:
~ melhorar a aprendizagem or~lanlizélci(lIlalltl.e
~ o.
E
l!') aumentar a resiliência da organização.
<O
"Í"
io
"Í"
N
Esta Norma é destinada a atenderás nelce~,si(Ja(jt::ls ~iJhteressadas, incluindo:
o
-o it'
'õ a) os responsáveis pelo desenvolvirnento da pOF[):i~;c:a,:!clegesj fubito de suas organizações;
<ll
CL
r':> b) os responsáveis por assegurar qt.féo~)-t;i§ªOssãQe.nçª:z:me
9
<O
o
ou em uma área, atividade ou projeto esp:écífiçp1?~
'".,~.
<O
r':>
"Í"
N
c) os que precisam avaliar a eficácia de uma organização emgerenciar riscos; e
t!'Í
"Í"
o d) desenvolvedores de normas, guias, procedimentos e côdigos de práticas que, no todo ou em parte,
ro
-o estabelecem como o risco deve ser gerenciado dentro docontextó específico desses documentos.
c:
~
~ As atuais práticas e processos de gestão de muitas organizações incluem componentes de gestão de riscos,
2 e muitas organizações já adotaram um processo formal de gestão de riscos para determinados tipos de risco
'Q3 ou circunstâncias. Nesses casos, uma organização pode deddlr conduzir uma análise crítica de suas práticas
s:
ii: e processos existentes, tomando como base esta Norma.
t1l
::;
ro
CL Nesta Norma, as expressões "gestão de riscos" e "gerenciando riscos" são ambas utilizadas. Em termos gerais,
o "gestão de riscos" refere-se à arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente,
> enquanto que "gerenciar riscos" refere-se à aplicação dessa arquitetura para riscos específicos .
. ~
ü
x
<ll
o
sn
:::l
<; ro
ro0-
ro
ã.
'- E
<ll
><
LU

vi © ISO 2009 - © ABNT 2009 - Todos os direitos reservados


( ( ( (

Exemplar para uso exclusivo - Pauta Ribeiro Miranda - 045.243.606-03 (Pedido 245465 Impresso: 10/08/2010)

((j)

üi
O
IV
o
o
<D
"TI
@ (Õ'
»
(J)
...
c
a) Cria valor
Z
-I ..•.
lU

IV b) Parte integrante dos processos


o
C'
I organizaci,onais
Mandato e
comprometimento
<D ;;O.
-I !!. c) Parte da tomada de decisões
(4.2)
o
a. lU
o o
cn õ' d) Aborda explicitamente a
o
cn
:s
lU incerteza
a.
3
ª:
-
(1) e) Sistemática, estruturada e
Õ :s Concepção da estrutura
cn oportuna
O para gerenciar riscos
(ti (J)
(4.3)
'" de riscos (5.4.2)

...-
(l) (1) f) Baseada nas melhores Identifica5ão
<
III
:s informações disponlveis •
a.
o (1)
cn
O g) Feita sob medida
(J)

"C h) Considera fatores humanos e


:::!, Melhoria continua
lmplementação da
:s culturais gestão de riscos 1>11I. .1
o da estrutura
-a' i) Transparente e inclusiva (4.6)
(4.4)
o
(J)
Q. j) Dinâmica, interativa e capaz de
lU reagir a mudanças
cc
(1)

..•.
(J)

IUI
k) Facilita a melhoria
organização
continua da
Avaliação de riscos (5.4.4)
o Monitoramento e
Q.
análise crítica
...
(1)
da estrutura
(ji' (4,5)
o
o
JI
(1)
»
tn
..•.
..•
(J)
z
-I
..•.
r:::
r:::
Principios Estrutura
...• (Seção 3) (Seção 4) Z
lU D::J
(1) ;:o
..•
"C
o
Processo
(Seção 5)
CJ)
o O
(1)
(J) ..•.
w
(J)
o o
o
o
IV
o
o
(Q
~,
NORMA BRASILEIRA ABNT NBR ISO 31000:2009

Gestão de riscos - Princípios e diretrizes

1 Escopo

Esta Norma fornece princípios e diretrizes genéricas para a gestão de riscos,

Esta Norma pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo
ou indivíduo. Portanto, esta Norma não é espe,g~~8g;8\açé!\g>!t~~9uerindústria ou setor.
A ~
~":,~,_" ."
~ ~
, .-
NOTA

Esta Norma pode ser aplicadaaoJongo'd:~ vi~a defuma o


estratégias, decisões, operações, processos,
.
runções~:'pro'
..,'..'
;~. ~(.. '\~

Esta Norma podeserªplicad(r~ qualquertipod~; ri *~." natureza, quer tenha


consequências positivas ou 'negativas,:.>:~;;4' ~t'0,;
. . ~~. :,.~~:~;~ "-:::~<-:J )_:\#: !:~;
õ
~
o Embora esta Norma forn~ça élirêt(jze~,~iDé~icas/é~' não!;tet r a uniformidade da gestão de riscos
N
Õ3 entre organizações. A concepção e a inip!émeij!aç~º de pI~ios: ara gestão de riscos precisarão levar
e
o em consideração as· necessidades variaâasds urn'awrgã'htzaçã , seus objetivos, contexto, estrutura,
operações, processos.funçõês, projeto~:':hrod(J'tos, s~·r·vjçã~tbu af as específicas empregadas.
o
(J)
u: ,... >'7,"'; 'r>: ~~
~
o, Pretende-se que esta Norma seja utilizada para harmo.biz'a'r os e gestão de riscos tanto em normas
.s atuais como em futuras. Esta Norma fmrjece úma ab9rdág§1'D cOrnCllm apoiar Normas que tratem de riscos
L(')
co
'<t
L(')
'<t
N
o
-o

e;,
CI.1
e/ou setores específicos, e não substitU\~I:~S.. .:).:.;.·

Esta Normanão é destinada p.r~~ns d~rrt~~:~!~? i/


;~1i~.

'"o
c.6
2 Termos e defi nlções /,~,;;,~~~"",,;';;;i1j!!!3'(""#"
o Para os efeitos deste documento, aplicam-se ossequlatesterrnos e definições.
<O

'"N
'<t

l!'i 2.1
'<t
o risco
(1)
efeito da incerteza nos objetivos
-o
c
~ NOTA 1 Um efeito é um desvio em relação ao esperado - posítlvoe/ou negativo.
~
e
'Qj
NOTA 2 Os objetivos podem ter diferentes aspectos (tais come metas financeiras, de saúde e segurança e arnblentais)' e
..o podem aplicar-se em diferentes niveis(tais como estratégico,emtoda a organização, de projeto, de produto e de processo) .
ii
(1)

'3 NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (2.17.) potenciais eàs consequências (2.18.), ou
c,ro uma combinação destes.
o
.2: NOTA 4 O risco ê muitas vezes expresso em termos de uma combinação de. consequências de um evento (incluindo
(f)
:::l
Ü
mudanças nas circunstâncias) e a probabilidade (2.19) de ocorrência associada.
X
CI.1
o
u:
:::l
NOTA 5 A incerteza é °
estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua
compreensão, seu conhecimento, sua consequência ou sua probabilidade.
~
CI)
Q.

'- '-
CI)
[ABNT ISO GUIA 73:2009, definição 1.1]
'ã.
'-- EQ)
x
W

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados


1

./
ABNT NBR ISO 31000:2009 "

2.2
gestão de, riscos
atividades coordenadas para dirigir e controlar uma organização no que ~eref~r~ a,riscos (2.1)

[ABNT ISO GUIA 73:2009, definição 2.11

2.3
estrutura da gestão de riscos
conjunto de componentes que fornecem os fundarnentos iej.os arranjos organizacionaispara a concepção,
implementação, monitoramento (2.28), análise crítica e rnelhoria contínua da gestão de riscos (2.2) através
'- de toda a organização .

NOTA 1 Os fundamentos incluem a p~lítica, objetivos, mandatos e comprometimento para gerenciar riscos (2.1).

NOTA 2 Os arranjos organizacionais incluern,p!.~Í1ds,;:~i~~:i~'ri~~i~~t;;s,·


responsabilidades, recursos, processos e atividades.

NOTA 3 A estrutura da gestão de riE>cb$esta


toda a organização. ' ,"
"

[ABNT ISO GUIA 73:2009, definição

2.4

.-
õ
o
N
política de gestão de
declaração das intEmçI5esiecj!retriizzee;Es,~~~r~!.1~;;~!~
ro
o
.-o
Õ
[ABNT ISO GUIA 73:2009, définit;iío

(/)
tfl
2.5
i!:
c. atitude perante o rlsco ,
.§ abordagem da orqanizaçãó' para avaliar e ev~~htlu.âtfnente u afastar-se do, risco (2.1)
l!'l
(!) . ;".'

<:t
l!'l
[ABNTISO GUIA 73:2009, de~nição 3.7.1.1
<:t
N
o 2.6
-o
'õ plano de gestão de riscos .....,.' "'..,
Ql
a,
esquema dentro da estrutura da gest~~;.~ê':liisf~~ ."3), qu ordagem, os componentes de gestão
C'?
o e os recursos a serem aplicados para geren:çiElf.J:I$'cos{2,t)...."
'-- <6 ":"'''''}',i'1';'\'SJt,','é' ,:",.d,i;,,~f%PV'
o
ss: NOTA 1 Os componentes de' gestão tipicamente incluem procedimentos, praticas, atribuição de responsabilidades,
C'?
<:t
N
seqüência e cronologia das atividades.
tr.i
<:t
o NOTA 2 O plano de gestãO de riscos pode ser aplicado a um determinado produto, processo e projeto, ~m parte ou em tQd_ª_
m a organização.
"O
c:
~ [ABNT ISO GUIA 73:2009, definição 2~1.3]
~
e
'0)
D
2.7
Cê proprietário do risco
'-- "5
til pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco (2.1)
o,m
[ABNTISO GUIA 73:2009, definição 3.5.1.51
o
>
'(ii
:::J 2.8
'-- ,.- (3
x
Q) processo de gestão de riscos ',. ,'. ....,'
o
tfl
aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades-de comunicação;
:::J consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento (2.28)
~- ~
til
C.
e análise crítica dos riscos (2.1) ,
•....
'- m
o.. [ABNT ISO GUIA 73:2009, definição 3.1]
'- E
<lJ
><
'- 4J
2 © ISO 2009 - © ABNT 2009 - Todos os direitosreservados
ABNT NBR ISO 31000:2009

2.9
estabelecimento do contexto
definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos,
e. estabelecimento do escopo e dos critérios de risco (2.22) para a política de gestão de riscos (2.4)

[ABNT ISO GUIA 73:2009, definição 3.3.1]

2.10
contexto externo
ambiente externo no qual a organização busca atingir seus objetivos

NOTA O contexto externo pode incluir:

o ambiente cultural, social, político, leg§1"J;ê,9ttlatório';i;ÚFl,éin.ceiro,tecnológico,econõmico, natural e competitivo,


seja internacional, nacional, regioDa~;0úJr6éàl; '. ... •... .. ; .
',";'" .

.:_>._::.~:,:_:'; ;' J .' ;:}?r'-·!:5~~fT:~i


os fatores-chave e as tendêJ'i'êias q,l,l<~teJ1narií'ii(é'pact

as relações com partes interess,ad'~~'(2·:a)e~;~~na


J:~~--'.: ~':.:X:.:'~:·:~· ;i:::1t~ ,:~-::r~ ;:.'~~ii
[ABNT ISO GUIA 73:2009, définiç:ao 3.3;1·~1] i':,:;; :,;
" ',;o', • ~._.~:

.-
õ 2.11 j,' ;tt: ';:q
o
N contexto interno .••... ,. '.. i:.. ,' 'S:' .,~ .,i't<~;
to
o . ambiente interno no C!1J.al;~orgahi't~~·go'P:~SC9i~tffi~'jn,seu·
o..- t
,,(
":/
",',
.-<--~-::

r/l~
NOTA O contexto inte~o pode.incluir:

governança. estruturaorgf!nizacional,
r~.~~~~
jj

.
fU,~:%ões,:~
respon~~,p
·;':t l ..

políticas, objetivos e estratéqias imPle~~btad~~ para a'ffi:.


< '. .. ". F.f:<:-; <';~j>.;

capacidades compreendidas .ern termo~t~e~~ii,ursos .. ' capital, tempo, pessoas, processos,


sistemas e tecnologias);', ;,:">
:'::;kJ.::." -.,:;~1.. ;:~:
.,'/< çi~
sistemas de informação, fluxolà~<i~fbi1T;tação e(&são(tanto formais como informais):
". -"}:;. ..•.~ ,.<.,,: ";:,. ,.

relações com partes interessadas ini~rii;~§"e';~j?~,;~êrcep

cultura da organização;

normas, diretrizes e modelos adotados pela organização; e

- forma e extensão das relações contratuals,

[ABNT ISO GUIA 73:2009, definição 3.3.1,2]

2.12
comunicação e consulta
processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações
e se envolver no diálogo com as partes interessadas (2.13}e outros, com ret ação a gerenciar riscos (2.1)

NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade (2.19), significância, avaliação,
aceitabilidade, tratamento ou outros aspectos da gestão de riscos,

NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma Organização e suas partes
interessadas ou outros, antes de tomar uma decisão ou dlrecionar uma questão específica, A consulta é:

um processo que impacta uma decisão através da.influência ao invés dopoder.;e

© ISO 2009 - © ABNT 2009 - Todos os direitosreservados 3


ABNT NBR ISO 31000:2009

uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.

[ABNT ISO GUIA 73:2009, definição 3.2.1]

2.13
'-- parte interessada
pessoa ou organização que pode afetar, ser afetada, ou perceber-seafetada por uma decisão ou atividade

NOTA Um tomador de decisão pode ser uma parte interessada.

[ABNT ISO GUIA 73:2009, definição 3.2.1.1]

2.14
processo de avaliação de riscos2)"1'.ç!;i"'21!;Z;""'LJ","~~<
processo global de identificação de risc,~,l[l'i(2f1'5),al'1álisede, riscos (2.21) e.avaliação de riscos (2.24)
~ _ ;.t?~~.;~;
.,<;{~.~/'~~:"~'~c' '. ".,' _,.: .',' . '-'
[ABNT ISO GUIA 73:2009, definição:~3.4.1r;,/ ',;;;;r"'''~';i~;\
:.-.:", "".;,. "{;Mg~~ p.<~.-: =rx'?l
'r~:l~ç~
~.15 . .
identlflcaçâc
_.
de rrscos .;/
"•','.
i'5I \:2<,;;:,;;.,::
.xi:· ·ff·~.~~:~
processo de busca, reconhecimento;e7aescrli~aoid;eirisc
~
-» • ',' ,f~? ~~~!
y;;~ ,
~o .•...

~Cõ
o
N

o
C,, i..n~ .'-"~,:('
NOTA 1 A identificação de :riscos envoíve a id~'QJifiéa,ªao<l
consequências (2.18) potenciais. 'Ii~~

_õ NOTA 2 A identificação d~riscos POdeenvol~~r da~osY'~i~~~ricqi~náli de pessoas informadas e


especialistas, e as necessldades-daspértes interE1.ssád.ªs (2.13)1, }B:~;

~~:;T ISOGUIA73200;definição 3.5.11:~ ',. "tli


fonte de risco .::, .>:;. 'lF'~ :it'fl
Pot§P9ia~~1 ínSeG~:~ara
elemento que, individualmente OUcd:lJ:1binad;(;li~;teiJj':ô

NOTA Uma fonte de risco pode se;,'tângíVeL~~ int~ã~gt:;l~;:'


">;' :. ')'-;',~,: :\.j;-,·'~··:;1,<:,. ,').,

[ABNT ISO GUIA 73:2009, definição 3.5.1.2r',~;: .:i~;·~·'·!"if'·!


~;~~,~:!f:~~\*,~@,?i(;jY'
2.17
evento
ocorrência ou mudança em um conjunto específico de circunstâncias

NOTA 1 Um evento pode consistir em uma ou mais ocorrências e-pode ter várias causas.

NOTA 2 Um evento pode consistir em alguma coisa não acontecer.

NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".

NOT A 4 Um evento sem consequências (2.18) também pode ser referido como um "quase acidente", ou um "incidente" ou
"por um triz".

[ABNT ISO GUIA 73:2009, definição 3.5.1.3]

2) NOTA DA TRADUÇÃO: Para os efeitos desta Norma Brasileira, o termo risk assessment foi traduzido como "processo
de avaliação de riscos" (2.14) para evitar conflito com o termo riskevaluation, que foi traduzido como "avaliação de riscos"
(2.24). "

4 © ISO '2009 - © ABNT 2009 - Todos os direitos reservados


ABNT NBR IS031000:2~09

2.18
consequência
resultado de um evento (2.17) que afeta os objetivos

NOTA 1 Um evento pode levar a uma série de consequências.

NOTA 2 Uma consequência pode ser certa ou incerta e podeter.efeitos positivos ou negativos sobre os objetivos.

NOTA 3 As consequências podem ser expressas qualitativa oucuanntaüvemente. v

NOTA 4 As consequências iniciais podem desencadear reações em cadeia

[ABNT ISO GUIA 73:2009, definição 3.6.1.3]

2.19
probabilidade (/ikelihood)
chance de algo acontecer

'. u!ilizada para referir-se. à chance . de algo


mente, qualitativa. ou quantitativamente,
u frequ~ncia.9urante um determinado
. . ~
.••. ".

õ
.•... aslíriçuas: em vez disso, o equivalente
o é muitas vezes interpretado estritamente
N
Cõ elihood" é utilizado com a mesma ampla
o
Õ
.•... s.
(:)
(/)

'"~
Q.

organização, parte da organização,

[AfjNT ISO GUIA 73:2009, definição o ..o'L ..iJJ


~.t~;;·:,:~ii~.,;i:';<~;i,itf't"jj'<j'.iF~
2.21
análise de riscos
processo de compreender a natureza do risco (2.1) e determinar o nível de risco (2.23)

til NOTA 1 A análise de riscos fornece a base para a avaliação.d.eriscos (2.24) e para as decisões sobre otratamentcde
"O
'C riscos (2.25).
~
~ NOTA 2 A análise de riscos 'inclui a estimativa de riscos ..
,-
...
o
'15
.o
a:: [ABNT ISO GUIA 73:2009, definição 3.6.1]
til
"5
a,til 2,22
critérios de risco
-o
,~ termos dê referência contra os quais a significância de um risco (2:1) é avaliada
<li
:J
13
x NOTA 1 - Os critérios de risco são baseados nos objetivos orqanlzaclonais e no contexto externo (2,10) e contexto interno
Q)

o (2.11).
'"
:::l
('Il

ro NOTA 2 Os critérios de risco podem ser derivados de normas, leis, políticas e outros requisitos.
Q. '··0
'-
('Il [ABNT ISO GUIA 73:2009, definição 3.3.1.3]
õ.
E
Q)
x
W

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados 5


ABNT NBR ISO 31000:2009

2.23
. nível de risco
magnitude de um risco (2.1) ou combinação de riscos, expressa em termos da combinação das consequências
(2.18) e de suas probabilidades (2.19)

[ABNT ISO GUIA 73:2009, definição 3.6.1.8]

2.24
avaliação de riscos
processo de comparar os resultados da análise de riscos (2.21)com.os critérios de risco (2.22) para determinar
se o risco (2.1) e/ou sua magnitude é aceitável ou tolerável

NOTA A avaliação de riscos auxilia na decisão sobre o tratamento de riscos (2.25).

[ABNT ISO GUIA 73:2009, definição

2.25
tratamento de riscos
processo para modificar o ris~col(2~.1)

NOTA 1

õ
..- a ação de evitar o
o
C\I
êõ assumir ou aumentar orisc(), a
o
o
v-
a remoção da fonte dJitis2p (2.1·ê);

a alteração da probabilidade (2.19);

a alteração das consequê':lfias(2.18);

o compartilhamento do risco cQmo61r~part$';~u

a retenção do risco por uma escolh~·ç,O~kci~Jlte.


. ' " "';:,~>;

NOTA 2 Os tratamentos de riscos relatiYos"ãscoq§~.ClHeh.Si~§~;R~f.l muitas vezes referidos como "mitigação


de riscos", "eliminação de riscos", "prevenção de riscoswé;;'rêÓuçã6"'tle''1iscos''.

NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar. riscos existentes.

[ABNTISO GUIA 73:2009, definição 3.8.1]

2.26
controle
medida que está modificando o risco (2,1)

NOTA 1 Os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que modificam o risco.

NOTA 2 Os controles nem sempre conseguem exercer o efeito demodificaçãó pretendido ou presumido.
o
>
'w::l [ABNT ISO GUIA 73:2009, definição 3.8.1.1]
Ü
x
a>
o 2.27
V1
::l risco residual
t1l
risco (2.1) remanescente após o tratamento do risco (2.25)
ro
Q.
~
ro
Q. NOTA 1 O risco residual pode conter riscos não identificados.
E
Q)
x
W

6 © ISO 2009 - © ABNT 2009 - Todos os direitos reservados


ABNT NBR ISO 31000:2009

NOTA 2 '0 risco residual também pode ser conhecido como ','riscoretido".

.[ABNT ISO GUIA 73:2009, definição 3.8.1.6]

2,28
monitoramento
verificação, supervisão, observação crítica ou identificação da situação, executadas .de forma contínua, a fim de
identificar mudanças no nível de desempenho requerido ou esperado

NOTA O monitoramento pode ser aplicado à estrutura da gestão de riseos·{2.3), ao processo de g~stão. de riscos
(2.~), ao risco (2.1) ou ao controle (2.26).' . . ,.,

[ABNT ISO GUIA 73:2009, definição 3.8.2,1]

;~~ise crítica .,. ./,{:,,~~"~J*.1tii'!!;7';"":*<~;~/"I\;&"';''''';';,.. _

atividade realizada para deterrr]il1ar a' a.dequ, do assunto em questão para atingir
os objetivos estabelecidos 0-' '. •. .,'\, .

.:. .: ·8? ~~7.~1 ~:~f~:,


,~'j

NOTA A análise crítica pod:'ser aPJicad~a;:~


esfr·utura.~(f.á9 ao processo de gestão de riscos (2.8),
aorisco (2.1) ou ao contrj;~r(~:,2'6)?:tW"k;~; ~;~~' ~~~
[ABNT ISO GUIA 73:2Q.ó9,defintç~ó 3.8;~~21::f:
- .. -~- .' :~·::.r:;'>' . :~;~ç:;' ~'?;f.: /~-:~f'
fif
~i;~; ~('~:t~".~,.
A •

3 Princípios ,::;Jk,~{;}}V}F
'.~-,~:/?,;)i{{;~.~,

:~~x~ d~~~;~t~sde
ris~riJ~er~ijcaz.
,.'. '/,',
C~ié~i:~~
~:'/.},./ ~"'.:;,,:
-)}~!,i ;:·~ti~
níveis, atenda aos princípios

a) A gestão de riscó~içric:\ e protege~~ªlo!;~~;


'-~:i\~}.;-~'.i:> . ~.~. t~~~
A gestão de riscos C~i:i~riQ\i!Lpara
a~t;'~al\?:&ção
d s,,ipara ~ melhoria dê désemp~nfl~
referente, por exempI6,:,~,S~auranç~~e ".'. fà conformidade legal e ré~iuiàtpria,
à aceitação pública, à P[ç>!y,.çã,<?"dd<fi1e "dul0, aoqerenciamentcdeprojetos,
à eficiência nas operações,~;ª;,govemança e
. . ,< , " _,
~~;~:~.:~,:::::.:::,;~.~.,:j:'>~'~~>t---'-: ,_'~:._, - ,; :'::ú> :

b) A gestão de riscos é parte integt'ãri'e,;,~.~;~8:qg~:?[~~;g~$~m$organizacionais .


;.;:>::~
. . , .~. Ó~~-.~.;_:..: >'~:'':<'~'

A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos
da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de
todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de
projetos e gestão de mudanças.

c) A gestão de riscos é parte da tomada de decisões;

A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir
entre formas alternativas de ação,

d) A gestão de riscos aborda explicitamente a incerteza.

o A gestão de riscos explicitamente leva em consideração a incerteza, .a natureza dessa incerteza, e como ela
.!!
~{f) pode ser tratada. .
::>
15
'-~
e) A gestão de riscos é sistemática,estruturada eoportuna.
O
-:;:,
l1l " . ,,,. " '" ' . ,".

til Uma abordagem sistemática, oportuna E? estruturada paja a.g~i>tã'odrtiscoscontribui,para a;efici,~nciae,para


-tiS os resultados consistentes, comparáveis e confiáveis.·; ,'..". '. " • '::'.: '-;;:'
O-

-~ O-
c:
_<Li
x
'U

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados 7


A8NT N8R ISO 31000:2009

f) A gestão de riscos baseia-se nas melhores informações disponíveis.

As entradas para o processo de gerenciar riscos são baseadas em fontes de informação, tais como dados
históricos, experiências, retroalimentação das partes interessadas, observações, previsões, e opiniões
de especialistas, Entretanto, convém que os tomadores .de decisão se informem e levem em consideração,
quaisquer limitações' dos dados ou modelagem utiliz~dos,ou a possibilidade de divergências entre
especialistas, .

g) A gestão de riscos é feita sob medida.

A gestão de riscos está alinhada com o contexto interno e externo da organização e como perfil do risco.

h) A gestão de riscos considera fatores humanos e culturais.

A gestão de riscos reconheceas9~~.a,:Ciêlfí'Pd~~:lI!!p':?~tJl:!S e)ntençqés do pessoaljnterno e/externo


que podem facilitar ou dificultar a~~8Jflªção . . ivo··org.anização,·
'/í,..)<~~:):,:.,--,,).. , ._, .. :::-<.' "~o

i) A gestão de riscos é transp~iêrlite'e


';,' ,U _,

ilar, dos.tornadores de decisão


neça pertinente e atualizada.
representadas e terem suas

•..
õ
o
N j)
- Cõ
o
Õ
~ A gestão de riscos ~çonlinuaf:iJentepe dida em que acontecem eventos
externos e internos/óicÓntexto/e o co ento ea análise crítica de riscos
são realizados, novo~:;r.i;cos satgem, a cem.

k) A gestão de riscos f~~il,itaa melhori


:~t~::;.'-~~:'~(,:
Convém que as organíz~çÕ~~"desen sua maturidade
na gestão de riscos juntamérlJe:&p,mto

o Anexo A fornece informações adf amgerehciar rlscos deformatl1é3i~.


eficaz.

4 Estrutura

4.1 Generalidades

o sucesso da gestão de riscos irá depender da eficácia da estruturadé,gestãoqueforneceosfundarrient~s e os


arranjos que irão incorporá-Ia através de toda aorqanizaçãovem todos os níveis. ,A estruturaauxllia a gérenda~
riscos eficazmente através da aplicação do processo de géstãb de-riscestver Seção S)-em diferentes 'níveis .€Í
dentro de contextos específicos da organização. A estrutura a§s.~,gura·quea informação sobre riscos proveniente
desse processo seja adequadamente reportada e~tíli*ádacom~) base para a. tomada de decisões
e a responsabilização em todos os nfvels.orpanizacionàis aplicáveis.

o 'Esta seção descreve os componentes necessáriosda·estrUtur~fe~~rag.éf~npi?tJ!SC9,Se aforn;í~:.comoeles;~~;Jn,teri


o?!
<Il relacionam de maneiraiterativa, conforme mostradona Figur~'2:. ..... ,...... ' '.; , -ÓcÓ: .,; '.' .',
::l o , ~. :.,i;..... .
Õ
x
Q)

'- o
tn
:::l
(I:l
ro0-
ro
o.
E
ti)
)(

UJ
© ISO 2009 - © ABNT 2009 - Todos-os direitos reservados.
8
ABNT NBR ISO 31000:2009

Manda.to e comprometimento (4.2)

Concepção da estrutura para gerenciar riscos (4.3)


Entendimento da o~ganização e seu contexto (4.3.1)
Estabelecimento da política de gestão de riscos (4.3.2) :
Responsabilização (4.3.3)
Integração nos processos organizacionais (4.3.4)
Recursos (4.3.5) .
Estabelecimento de mecanismos de comunicação e reporte internos (4.3.6)
Estabelecimento de mecanismos de comunicação e reporte externos (4.3.7)

I
·1
Melhoria contínua da estrutura Implementação da gestão de riscos (4.4)
I (4.6) Implementação da estrutura para gerenciar riscos (4.4.1)
Implementação do processo de gestão de riscos (4.4.2)

..-õ
o
N

o
Õ Monitoramento e análise crítica da estrutura (4.5)

, • '. é ~~~~~ ;:~~~~


Figura 2 ---'~e~acionament~~n~fe,; os co
.':'/::~~
:-, ~\ii1 :,;'~i
Esta e:trutura ~ão pretel\~}:~d?r~scre~~ju ' is~em
a gestao de riSCOSem·';~~l1·~.lstemat~~e' tão: -adaptem
os componentes da estrutura~,,~tj'~:~neG~lsi s
. :> ~.~:\:~tti':';:~._;"?~' . .
Se as práticas e processos degé~~gluirem componentes degestãóde riscos
ou se a organização tiver já adotadõ' riscos para determinados tipos ou situações
de risco, então convém que estes sejam eavaliadós em relação a esta Norma,incluindo
os atributos contidos no Anexo A, a fim de determinar sua ~(jfiCiência;e éfi~aCia.
, .,.'

4.2 Mandato e comprometimento

A introdução da gestão de riscos, e a garantia de SU?CÇlrítíl')uç,eficácia requerem, comprometimento forte


e sustentado a ser assumido pela administração da- orga.nizªç~g!J).eJl',ç9mqlJr:D. ,p.Ié!I1~jClmf;)ntQ .rjgoroso
e estratégico para obter-se esse comprometimento em todos.os nív~Is':'Cónvér:r:r'qÍJeCl;
'~,ârh.iqj~tráçã.o:.: :." "." ~

defina e aprove a política de gestão de riscos;

assegure que a cultura da organização e a política de gestão de r[scose,stejarn alinhac:l~s;

o
>
defina indicadores de desempenho para a gestão' d~ riscós~ueestejaní alínhados com oslndlcadores
<ii '. de desempenho da organização; :,i
~
Ü
'X
'Q)
o ; alinhe os objetivos da gestão de riscos corri os obletizose estratégias-da organização;
'In
~
..
til
W
a.
. assegure a conformidade legal eregulatória; .
...ro
a.
E
,O)
x
W
© ISO 2009 • © ABNT 2009 • Todos os direitos reservados
9
ABNT NBR ISO 31000:2009

atribua responsabilidades nos níveis apropriados dentro.da.orqanização;

assegure que os recursos necessários sejam alocados para 'a gestão de riscos;

comunique os benefícios da gestão de riscos a todas, as partes interessadas; e

assegure que a estrutura para gerenciarriscoscontinue;a:seraprbpFiada;

4.3 Concepção da estrutura para gerenciar riscos

4.3.1 Entendimento da organização e seu contexto

para ,gerenciar riscos, é importante avaliar e


Antes de iniciar a concepção e a implemen!§.ç"~?:::.@.a~e~~~~~tg!ê
compreender os contextos externo e .j~t13frr6"·da organizaçab, uma Vez que estes podem influenciar
significativamente a concepção da estr;t:Jt\!lriL·,\
:./;,_;'!?J<~;\F:<·-·-- .
A avaliação do contexto externo d~~'Óf.gí3n e irf&(l)Iir,
' '. •. ",. .i: .,/';:,( ;/:,;$ ).~:, "~;l
a) ambientes cultural, sociat,;~PfJ!ític5~il!e'ga1ú,g.~1.*,tório~fi~a conõrnico, natural e cornpetitivo,
Quer seja internacional, .nacípnal~;:çegioll<!~ou;;19pal;t;!t·;
. .;.:~,~,y
/;} ,:i!:2Úi? ,:{.i;\~!. '.\;.:,i~~~
b) fatores-chave e tend~nCi~s q~Ei-itenham,;~f:np:~mo
..-õ
o .<> ~~ »,~:~ ~t<~~~~~, 7:!/1 ~i~~
"- ~ c) relações com partes intef:essadáS:-e~R' é~so'
O~j ~~~r
CX)
o
Õ
-e- ';',' ,;"
o
(J)
Vl
~
A avaliação do contexto iriterno da'organizaç8o Rode i
:'s:_.> '~~'~':, ~)j' ~:~j
c. governança. estruturaorqànizacional, full,çõest,eresp
."<"-:,.~') ;'!';i:
É
ll)
C!)
~ políticas, objetivos e eSff,R!,é~J~s
imPlei,ta~1 para'
io
~
C'\I
o capacidades, entendidas 'em'ter;Q1os 4~~rEr"~so capital, tempo, pessoas,
"O

processos, sistemas e tecl;'l6lÔ,gl"'. ~'h;
Ql . "~:;':,
e:-
M sistemas de informação, fluxos de maeaoe decisão (formais e informais);
O
~
O
C!)
C'"Í
~
"!
L!) cultura da organização;
~
O
li) normas, diretrizes e modelos adotados pela organização; é
"O
c:
(\)
'- forma e extensão das relações contratuais.
~
e
'Qi
J:J 4.3.2 Estabelecimento da política de gestão de riscos
a::
(\)
"5
(\)
Convém que a política de gestão de riscos estabeleça claramente-os objetivos e o comprometimento d~
a, organização em relação à gestão de riscos e, tipicamente-aborde;
o
> a justificativa da organização para gerenciar riscos;
'00
:l
(3
x as ligações entre os objetivos e políticas da organização corri a política de 9,estão de riscos;
Ql
o
(J)
:l as responsabilidades para gerenciar riscos;
•..
(\)
(\)
0-
a forma com que são tratados conflitos de interesses; ,
ro
ã.

,(I}
E
x
W

10 © ISO 2009 - ©ABNT 2009· Todos os direitos reservados


ABNT NBR ISO 31000:2'009'

o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo


qerenclamento dos riscos;

a forma com que o desempenho da gestão de riscos.será medido e reportado; e

o comprometimento de analisar criticamente e melhorar periodicamente a. política e a estrutura da g~stão


de riscos em resposta a um evento ou mudança nas clrcunstânclas. . ,

Convém que a política de gestão de riscos .sejacomunlcadaaproprladaménte.

4.3.3 Responsabilização

Convém que a organização assegure que haja responsabilização,8utorIdade e vccmpetênciaaproprladas para


gerenciar riscos, incluindo implementar e ma9ter~o7P[Ocesso de gestão de riscos, e assegurar a suficiência,
a eficácia e a eficiência de quaisquer COl;J,tf91és!'r'§-'t'Õ'l'p~d~rfacilitadopor:
:-,.~t-§;!/f$:)I

~,.~-::,;~~J?;h~
identificar os proprietários dq$'rísc e~~m'\'â~~~sp

~1:c~~~car
os responsáyei~;"IO vlfne~r' nutenção. da estrutura para gerel'lciar

identificar outras r~s'~9n's?t&~f~~de S·i~SSb anização no processo de gestão

;;~;;~~:medi:+j~~~,
~et
ô
~
o uexternos e relação com os devidos
N
Õ5
o
Õ
-e-
assegurar niveis,;à:prôpriaàos de red§ji!héçiment
. .-: -: ,'~- ;-s~'*t ~';:~..t:.4
. :- ~\~~',~'
4.3.4 Integração nÔ~,'Rré,<:essosorg~Q,!z
. .. ::':~~::~.
:~-::::- .~;?
COnvém que a gestão d~tlsêps sejà:inqi~· esses da-orqanízação, de forma.que
seja pertinente. eficaz ee~,,9iéi;l;~: ~oniir c9s se torne parte integrante, e.não
separado, desses processosprg§J1lzaQI,o",r,Ja .. ;;9V"gestãode riscos seja incorporada
no desenvolvimento de políticásJnàçmaliseH~'tí ~gico e de negócios, e nos processos
de gestão de mudanças. . ";:i"!\~;:i;;::"';"';
Convém que exista um plano de gesta' ,'~~r~~~A''';'''''';~a~;:
"~~c':f;~:«}lIi'·
' anit~ção; a fim de assegurar que a pblíticade
ge'sta ,
!«. _l.\;:';0' - •

gestão de riscos seja implementada e que a ~osseja incorporada em todas as práticas e processos
da organização. O plano de gestão de riscos pode ser integrado em Outros planos organizacionais, tais como
um plano estratégico. ,.. .

4.3.5 Recursos
. ". ".

Convém que a organização aloque recursos apropriados para a qestão de-riscos.

Convém que os seguintes aspectos sejam considerados:

pessoas, habilidades, experiências e competências;


. : .:

recursos necessários para cada etapa do processo de gestão déríscos:

processos, métodos e ferramentas da organização paÍ'~:seremutilizad9p para .getenGiarxiscos·; ,


-'.
processos e procedimentos documentados;

sistemas de gestão da informação e.do conheclmento.,e

programas de treinamento.
. ;~.

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados


ABNT NBR ISO 31000:2009

;;"j
4.3.6 Estabelecimento de mecanismos de ccmunlcaçâc.ereporte internos

Convém que a organização estabeleça mecanismos de comuBJ.çaçâo!nternae:reporte a fim de apoiare incentivar


a responsabilizaçãoe à propriedade dos riscos. Convémquetai~mec~ni~mosassegurem qu~: ..'

componentes-chave da estrutura da gestão de riscq~",e "~!Jaisquer alterações subsequentesç.sejarn


comunicados adequadamente: .: Ó:.»: '.:-' , .

exista um processo adequado de reporte'interno:sobrea~?truturá;,'?uaefic~cia.eoss~us'~esultad.os; ,

as informações pertinentes derivadas da aplicação da gElst~pderis,c9s estejam dlsponlveis nos níveis e nos
momentos apropriados; e . ... .. ' . .

haja processos de consulta às partesinte.rê?""sp:d:ãs~li1têfn"a~,


..•,
- . ,_.~/.f;.f~ij~:~~;':<:'>
.' '. -.-,'....
Convém que estes mecanismos ing.luarn:procy ,lida, .CJsriscos, conforme
apropriado, a partir de uma variedadêdef der'

4.3.7 Estabelecimento de%t~~:~ri~~~~~i~

Convém que a' organizaçao.,Çles~nYOlva '~ comunicará com partes


interessadas externas. COQÇéffíqué;~stoen'
ô
~
- _. ~~~.
.",

.:.:,.:tc.
o
N
ã5 engajar as partes int~tes~adag;~x:iêFIfi,"
,.~ -r- ..-_~,;..
e
o
~ o reporte externo pa~~:ai~hdirtrEmtode
::.t~L ~;: .

fornecer retroaliment-á,çãb:eréGortar s
. '0.-:;.-:,' :iV;.
~~(f~,::
'.~~).
usar comunicação par~;jptí,~!ruir conf
~- \~:~~ .y~~::

comunicar as partesintere~~~'ct~~},elJ1
:.<;/:"': ~~:~~:<~.
fffi*,' ;,
<", ••

Convém que estes mecanismos' i . "açãó;s'~bre:9,~; riscos, ,t;o.:.JJ!o,'


apropriado, a partir de urna variedade . á:sel1sibmdà'âe~''.' ..

4.4

4.4.1 Implementação da estrutura para gerericiar riscos

Na implementação da estruturapara gerenciar riscos, convém.quea organização:


J' '".

d~fina a estratégia e o momento apropriado para lmplernentaçâo da estrutura;

aplique a política e o processo de gestão de riscos aos proc!3SS0Sorganizacionais;

atenda aos requisitos legais e regulatórios;

o assegure que a tomada de decisões, incluindo o desenv91v,imentoeo es~~belecimentode objetivos, ,esteja


>
'(ií alinhada com os resultados dos processos de'. gestão
".
de.ris;cos;'
.".d ....;..
'; h;'
::l
li
x
CD
o
mantenha sessões de informação e treinamento; e'
cn
::l
~ consulte e comunique-se com as partes interessadas pataassequrar que a estrutura da gestão deriscos
ro
o. continue apropriada.
ro
õ.
E
CD
x
UJ
© ISO .2009 - © ABNT 2009 - Todos os direitos reservados
12
'-. --

4.4.2 Implementação do processo de gestão de riscos-

o Convém que a gestão de riscos seja implementada para assegurar que o-processo de gestão de riscos descrito na
Seção 5 seja aplicado, através de um plano de gestãode.riscosj érntodos os níveis e funções pertinentes da
organização, como parte de suas práticas e processos. ..

4.5 Monitoramento e análise crítica da estrutura'

A fim de assegurar que a gestão de riscos seja eficaz e côntinua a": apoiar .6 desempenho organizacional,convém
que a organização: . •

meça o desempenho da gestão de riscos utilizando indiéadores,osqu~is devem ser ánalisados criticamente;
de forma periódica, para garantirsuaadequação;
"f~~$~~~~~·", ..~
meça periodicamente o progres~Bl . relação ao plano de g'estão de riscos;
:.- , . ".' ''''''~' .. ,-.' '~

analise criticamente de to 9trutura dagestâ6 de riscoSJ~ind~)ãô


apropriados, dado o.contê .
.', :l-.ti'
reporte sobre os ris."" :$b
está sendo segUid~57êj~';'
ô
-e-
o
N

a.•... 4.6
o
(J)
(J)
Q)
'-
o.
.E
Ltj
<.O
-.t
Ltj
-.t
C'\I
o 5 Processo
"'O

e:,
Q)

5.1 Generalidades
('f)

9
<.O
o
<.O
C"i
-.t
C'\I parte integrante da gestão,
Ll'i
-.t
o
\ incorporado na cultura e nas práticas, e
l1l
"'O
c:
~ adaptado 'aos processos de nelgól:;iosidla·t)rgâriiiaçã~o;::it;;;;'i't;;;;i·l;,!:,,;;',~!jJigi" ",
~ ';;~L~!·~~~~·,·;·é~'"~.l~~~~,r·~
e
'ã;
Ele compreende as atividades descritas em 5.2 a 5.6. O próóessc.deqestâó de riscos
.o
~
l1l
:;
C1l
>- o-
o
>
'ijj
:l
(3
x
Ql
oVl
:::J
til
'-
C1l
o.
~ '-
l1l
Õ.
:'- E
Q)
x
UJ
© ISO 2009 - © ABNT 2009 - Todos os cÍirEiitosres~rVados
,.
ABNT NBR ISO 31000:2009

Comunicação e Monitoramento e
consulta análise critica
(5.2) (5.6)

5.2 Comunicação e
':,:+7::.,', ";igu~a
co~~~Jta
Iticesso.
í~11~~í
. -"~':+" ".' ',':, ~ ~;~
Convém que a comunicação eà·é9n~,\,!!ta às:~a :. .,. . . ..,
fases do processo de gestão de ris~~~·.'''õ;\;;.,'.'. '
'r.. <;".
I
".;
Portanto, convém que os planos de'~$9'J.l~hiGi;\ç,,~2econsl,lltaesenvolvidos em um estágio inicial.
Convém que estes planos abordem questõ~:~p~~!.ª~Ç19:9a·da "..' .' co- propriamente dito, suas causas,sUas
consequências (se conhecidas) e as medidas qu-e::estâÔ:, madasparatratá-los. Convém que comunicação
e consulta interna e externa eficazes sejam realizadas à ,fim de- a§~.~glJrar que _os responsáveis. pelâ
implementação do processo de gestão de riscos e aspartesinteressadascorllpreendamosJündamentos sobre
os quais as decisões são tomadas e as razões pelas quaisaç~résespecíficas S?O requeridas. ,-,' '

Uma abordagem de equipe consultiva pode:

auxiliar a estabelecer o contexto apropriadamente;


.Ô :x"." . ~
assegurar que os interesses das partes interessadas.sejam'?ompreengid9§;,econsiderados;

auxiliar a assegurar que os riscos sejam identificadcs.adequadarriente;

reunir diferentes áreas de especialização em conjunto parà análise dos riscos;

assegurar que diferentes pontos de vista sejam devidamente considerados quando dadeânlção dos critérios
de risco e n~ avaliação dos riscos; ,

garantir o aval e o apoio para um plano de tratamento;

aprimorar a gestão de mudanças durante o processode qestão deriscoste

desenvolver um plano apropriado para comunicação e COflsultaiiW~ina e.é~terna.

14 e ISO 200'9 -'© ABNT 2009 -Todosos díreítosreservados


ABNT NBRISO 31000:2009

. '.~

A comunicação e consulta às partes interessadas são irnport~ntes .na medida emque elas fazem julg~rnentos
sobre riscos com base em suas percepções. Essasperqégçôespo.demYáriardevidoàs.diferenças,devalores;
necessidades, suposições, conceitos e preocupações dás. partes interessadas. Como os seus pontos de vista
podem ter um impacto significativo sobre as decisôes.ctornadas, convém que as" percepções das partes
interessadas sejam identificadas, registradas e levadas ern.consideraçâo no processo de tomada de decisão. .

Convém que a comunicação e a consulta facilitem a 'troca de friformações verdadeiras, pertinentes, exatas
e compreensíveis, levando em consideração os aspectos derconfide,n'cialidadee ínteqrldade das pessoas.

5.3 Estabelecimento do contexto

5.3.1 Generalidades

Ao estabelecer o contexto, a organizaçãg.,<ªfi.~IlIJaf:;se~J,üetivos", define os parâmetros externos' e internos


a serem levados em consideração .?Jl~~~r.enciarriscos, e
estabelece o escopo e os critérios de risco para o
restante do processo. Mesmo qu~<'WÚíf9SaeS.te~J e . eja$jmilares àqueles considerados na concepção
da estrutura da gestão de risc9;~f(y.ef ;11;~o"'" t ' er '. ·.ext~para o proc(;lsso de gestão deriscos,
eles precisam ser considerados ..;éoI1J:·' ~~alh m: la.eles se relacionam com o escopo do
respectivo processo de ges,tã~ô,d~rJ§.~.o . '?:fz'j .
. :,. :.<:. .:':,,:.~~~.'~'

. ,-~-:~..' ~ ,;if-.~"-:-'
5.3.2 Estabelecimentodo'cón-té)cto
·'.<i;~á·

õ
.•... O contexto externo é o\ârribien't~J~xtern
o
N
Cõ vós e as preocupaçõesçdas-pastes
~.
Entender o contextci'kh!~rnó;:~ impor
.•.... interessadas extern«~;! ~~jam.:.'~çonside 'Ho.sde risco. o contexto §!xt~rno
o
Ul
é baseado no conteXto:,.::de1.oda a específicos sobre requisito.sd~gª'is
rn e requlatórios, perc_~pç6~~ dE!:~partes 'riscos especiflcos parâ-:o~'~stôpo
~
(!)

'--
.sc. do processo de gestãÕ,:<:ty}~lscos.,
-, .~;
ln
(J:)
'<t O contexto externo pOde;,i6,aÓJr,
mas nã
io
'<t
N
o ambientes. cultural, "'S:ocial7':::, polí econômico, natural
"o'
i5 e competitivo, quer sejairiiér;J;Ía'biçn
(\)
:~'2:~~,>::"
",
S ':i";-" .. ,C",

c"l fatores-chave e tendências qúéi{


'1>
(J:) . .. J' . ~
o
(J:)
C"i
relações com as partes interessadas externas e suas percepções e valores.
'<t
N
L!'Í
'<t 5.3.3 Estabelecimento do contexto interno
o
ti)
"O
C.
o contexto interno é o ambiente interno no qual a organização busca atingir seus objetivos.

'-
~
~ Convém que o processo de gestão de riscos esteja alinhadocomacultl.Jra,processos;.estr,uluraees~r9~~gip,da
'- e
'ãj
organização. O contexto interno é algo' dentrodaorganiFaçãoque pode influenciar a maneira pela qual 'pma
..c organização gerenciará os riscos. Convém que ele seja estabelecido,. porque: "
~
ro
's a) a gestão de riscos ocorre no contexto dos objetlvos.daorqanizaçâo:
ro
a.. :-,::~;"';i.,-,'" ;.: .~.~~-:" ., .; ,::;.;~-l -'+.>~

o b) convém que os objetivos e os critérios deUmdy!erlJliÍ);àap:pr()j'~tb".PFàc·esso'oU;'§i~iVi9adesejart1:·c'?rl~~?et~;d2s


>
'00
::l
tendo como base os objetivos da.orgar1iZação:·cOm'Ô'~~,!?â~,j~{;I~";.":·;:r;.:,; "',~:i;,,;~:;.,.~'::::2~·:~i{~~~~f~
13
x
(])
c) algumas organizações deixam de reconhecer . oportunidéldes, ~pah:~atingir seus obletivos "estratéçiccs. -
o
rn
::l
de projeto ou de negócios, o que afeta o comprometimento, a credibilidade, a confiança e o valor
~ organizacional.
ti)
c.
ti;
c.
E
Q)
x
UJ
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
15
ABNTNBR ISO 31000:2009

É necessário compreender o contexto interno. Isto pode inéiuir,m'as não está limitado a: .

governança, estrutura orqanlzacional.funções


.
e respcnsabllldades;
. . .
'. ' .

políticas, objetivos e estratégias lrnplernentadas.para atinQi~los;

capacidades, entendidas em termos de recursos e conhecimento (por. ;~xemplo,_cqpital, tempo; pes~oa.~\


processos, sistemas e tecnologias);

sistemas de informação, fluxos de informação e processesde.tomada.de-éecisão (formais e lnforrnaisj;

relações com as partes interessadas internas, e suas.percepções.e.valores;

cultura da organização;

normas, diretrizes e modelos ad.IQf~.tfºsfp,e,

. forma e extensão das relaçõ.~~.ô" .


,"~i~~Z-'"
~:~~.?~
~:::
5.3.4 Estabelecjm~ntod~~~~~;t~~f~"O
.r,~;';;' ~~;;

õ
.,.... Convém que sejam estebel~:Cido:~,~6Sot .. s parâmetros das atividades
o
N
da organização,. ou daqu~~à~tpartW~ld: ãode riscos está .sendo apiicad6.
ã5 Convém que a gestão dõ.s:riscos{s<,e ssidade de justificar os recursos.
e
o utilizados na gestão de rl~ço:~,Cd@yémqu bilidades e a:? autorldades.ialém
.,....
dos registros a serem ma:Qtici:ª,s,
tà.ijj,bém s .
o
(j) .?~::;;~';:~:~. ·\;~)ti -. :~.. .
•..c,
(j)
Q)
O contexto do processo .~~ 19~stãó' de ris essidades de umaor9fHliza9ão ..
É Ele pode envolver, mas naôiesta limltadoa
. - .. 'y) ..... :"":.
LO
tO
"<t
LO definição das metas eo~i~tt;
~ .'t .. :)

~ _.~~y~~;::.
',/
.0
""O définição das responsabilidá
'ti
e:-
Q)

definição do escopo, bem como vldadesda gestão de riscos a sererri,'


M
o realizadas, englobando inclusões e ei<
c.b
o
tO
M
"<t. definição da atividade, processo, função, projeto, produto, serviço ouatlvo em termos de tempo e localização;
N
Lti
-e-
o definição das relações entre um projeto,processó?Oü·,:~iiVidadeespe.~íficos e outros projetos, processos
ro ou atividades da organização; ,/
""O
c: . .

~ definição das metodologias de processo de avaliação. de riJ)cbs;"


'- ~ . ., ;./.:J.:: .. ~:. ."i":~'~~~
..;. ..~.
e
'ai
. .
definição da forma como são avaliados odesempenhoea:'~fitácra,~pagestãO
:. . ~-"<;~:.-:~.~<:.:<._... :_ ' '_'_. ': .;.' _~v_"~ ... , .

dos riscos; .
..c
a::
ro ldentlflcação e especificação dasdeclsões que t~:m qUÉts:~~~r~rn:&éJ~~;e"» '. ;, .Ó
S
a..ro
.... <,... . .;:-.. ,.. ~.

identificação, definição ou elaboração dos estudos necesS'áríos,d'êsUà~x!~dsã~ ed~jeti~bs,edosre-g,ur$o~: ':


o
.~
(j)
requeridos para tais estudos. J .>:::. ..;:;.;,
:;:,
ü
x
Q) A atenção para estes e outros fatorespertinentespOde.,alº~~r,áª,§SeguJ~(que a áb:ordâgem ad6ta#a"Pârâ. ,
o a gestão de riscos seja apropriada às clrcunstânclas.ê orgánít~çãoea'psris.ç9s que afetamarealização~~::S.~u~
'"
:J
objetivos. . ,,;t':.:<:j .c.: .' -. . .. ' .
~
..
ro
p.
ro
Õ.
E
Q)
x
UJ

16 © ISO 2009 - © ABNT 2009 - Todos os direitos reservados


ABNTNBR ISO 31000:2009

5.3.5 Definição dos critérios de risco

Conv~~, que a orçanização defina ~s .critérios a seremu~til~lqq~:p,~.raa~é~War~t~sI911[fjqâ,nçiapo rlsco. COI)Yél)i}q,u,e


os -Crlt:lrIOSreflitam o~ ,valores, .0bJetlvos e .recursosda:9~Qaniz.~~?(),.A,lg'un~.critéri0s"'J'.l(lclernSer)IllP~,~!o~SpOJ, t
ou d~r~v~dos d~. reqUl~ltos legais : r~gulatoriose?utro,~~R~CiJpisit0sque:'aórganizi:f~ã~subScrevá .. Gdljlp'~rÍ}:ique
os.,.cr~t~nos.de riSCOsejam cornpatívels com a po((tIGa'd~+g~stãq"9~ Jj$~!>§l,dá>organi:zaç~o:,(ver4;3.2)',;,défiqídos
no IniCIO de "qualquer processo de "gestã0 .'.de riscos.e. 8nalis"ados.:. critrc;a'mérite:,de·;forma;;-contínua'~,.
. <.;'('.':;': '.;:, /' .>?':;_.~,';.""~_:'" ""~ .."'< <-",o, <~;,o:.:.
: .:. __ . ': '.'" "'."."'""'" .>',
<~;(':_._/,:f~::;\':W·;·'> "J
A '.~

Ao definir os critérios de risco.convémque osfatores'a.s'éf~:m;:COl;Isid~radgs.jntl.ué1m


ossegüintes aspecto~: .'
, .: ,c '~)','!':é"';)'iT '..:'~"'; ':"';','<;,;
a natureza eos tipos. de causasede cons~qUências,:qiJêm(jderfl,;.()côm",ér.e'córno-elas
,,'
serã'o mêdÍdá~;;;,':. "
',:, ._. '".. ,'. ,. ; ,'-- -' , -' -', • - '", ,'- ,'.- < - ',~,,:

, "

como a probabilidade será definida;

como o nível de risco dev~f.§ .i~


, . ·:flF''i:.~§,..

os pontos de vista dasrpar:tês '


, .',iWi',(,
i. o níve: emqueo rlstro seT
" ".·§f!;,~l ,,'
-~ sé convém que ,êôh;15ina dei caso afirmá~ivo,
. como e quais co,jhi~çõe:~:P'oov:'
". ~~~';~' :~:t""O/'-"
5.4 Processo de~yãliaçãô de ris
o
'U)
.rt)
~
O- . 5,4.1
" . ,'it;J:~\ ;~~l,: .
Generalldades~.,,\· 'i$,: '
. . ~::,'~ '_,;t~;;..
E
.'O·processo de avaliaçãQ~Ô
de riscos';;!'~~t;:,:i.~~>;
NOTA A IEC ~1010 fornece'9'

5.4.2 Identificação de riscos

Convém que a organização identifique as fonte . o/áreas delmpàctos.ieventos '(incluindo m,udanças),as


circunstâncias) e suas causas e consequências poteneiais;,Afinãlidade desta etapaéçerarurna flsta abrançente
de riscos baseada nestes eventos que possam criar, aumentar evttar, reduzir, acelerar ou atrasar a realização dos
objetivos. É importante identificar os riscos associados' com- nãoperseguirumaopqrtunidade. A identificação
abrangente é crítica, pois um risco que não é identificado nesta fase não será incíuldo em análises posteriores;
'(:
Convém que a identificação inclua todos os riscos, estandosuasfontes sob o controle da organização ou 'hão,
mesmo que as fontes ou causas dos riscos possamnão ser evidentes. Convém que aJdentlflcaçãode riscos
inclua o exame de reações em cadeia provocadas por consequências específicas, incluindo .os efeitos cumulativos
e em cascata. Convém que também seja considerada uFh.aamplagama·-de consequências, ainda que a fonte
ou causa do risco não esteja evldente.iAlém deidenjifiçar.,o que poçl.e acontecer, .é necessário considerar
possíveis causas e cenários que mostrem quals conseqüências po,dem 'O:9orrer. Convém que todas as causas
e consequências significativas sejam consideradas.

Convém que' a organização. apllqu e .ferramentas.,e.téc~i~~~i4'~'i9e,~ijft8~ç:~'~.de,~i&SQS"~:u~,~.~jam.,


fl:~,E;l~iYA~~~':'fOS
seus objetivos e capacidades e aos riscos$nfrf?ntados/f~fcitl'D.~Ç,9~Sj:<p~rtil'l~ríte>e;?ltu~.n?adé;3s
são. in,P,9ga,ntes
na identificação de riscos. Convém que, ,inclºamjJ?t~l2;rê9J·~e!>.:;~a~~~~~?'f1":!·?gbr~~:,~,~;;,f9-!9S.J?~r,,":~~:ê~~~~9-ê
acontecimentos, sempre que possível. Convém que pés~p,᧷>cç:il11_H(ZQciçp'li),b;ec,Irn.~l1tqj'ª.R@cgu~;do
seJ.~.rn.:e9Y,9Iyld~§
na identificação dos riscos, .. . . .. .
. ~:.~.
-,

.~:.' .. "

© 150 2009· © ABNT 2009,· Todos os direitos reservados :;·17


ABNT NBR 150_31000:2009

., ....

5.4;3 Análise de riscos


',: '
. .

. A ará!f~e de riscos envolve desenvolver açornpreensãÔ_~O.~&l~ÇOS:A;é:lhálí:§~.de.ri~cos fornece uma entrada.para


a avaliação de riscos e para as declsões sobre a.neceSsidqd.'é:;dÇlsn$;eQif§êtem trat~dbs;esobre as estrategias
e métodos mais adequados de tratamento de riscos. A anàlisede riscos também pode fornecer uma entrada para
a tomada de decisões em que escolhas precisam ser féitfi$·e as opções envolvem diferentes tipos e níveis
de risco. . ....- '. .

A análise de riscos envolve a apreciação das causaseá~ÜOrítés;(j~~': risço,sU8s con~égq~ncias:R!;)~jti~~~(~ r ,

negativas, e a probabilidade de que essas cónsequênciaspóS:~~ni,ócor;rer,C:0nvémq!Je·ósfátdr,~s,que a(etai:rtisg


consequências e a probabilidade sejam identificados. O risc.~·;~alJ.,ªIi.s~~:tp~:~~J~rmi!'l~mdà:-::se
••as..conse(fü~Jlé;i'a~<e,
.sua probaoüídade, e outros atributos do risco. Urnever'1to:;pgq~iter\vátj'as:çdÍ1sê~:IOêj;ciás~~;;;p<:rde' ''Íâilós~ afetar
objetivos. Convém que os controles existentes e suaeficácia.e'éflciênciátambéirlsejam;levadosemconsideraçao~

Convém que a forma em que. as conse ·~;~~~~~··'~i€·S:~Q;"~ip~e~s~si;~O:ó~~d~~;~Omq~:ê.


combinadas para determinar um níve . .... . .', 0', $:ií:lféitm?çiD'es;disp'OBJMelse,a$"Íi!iÍ;a,ltG(qçtê;(
para a qual a saída do processo d . 'VéllJ?qLieissot(icf():~~a:cóf.npát(v~ͧ~órn'::·
os critérios de risco. É também i . . ··f~teritesris'Cosesuasfont~s.' ...

.c~~~~~~~:,;eJ~~~:be~~f~~ir~~~b~"':"

'l'
..D •
tálç,res;c9mo divergêr:icia a:
i:~ Idade eà contínua pertinência
T'"
'-0
'-N
1tli5
-.
<-o
·0
T'"
'Ncáné n!S'êl éde'
riscos p endendo .do risco, da finalidadé':
d. da análise e das inform ircunstâncias, a análise pode ser
o
rJl
qualitativa, semlcuantltat
,gJ
o.
E em dos resultados de um evento
Li a partir dos dados disponíveis;
intanqíveis. Em alguns casos)'
\l.ênçiCjs~.?LlaS prob;ª9!H8~~"ê)~'
.: .', "·~~f· ~r~~:-:'
~.~,"
",.,\j~~~

5.4.4 "Avaliação de riscos


"".,,~~.,;x
•• ~ ». :,~.;\N'.;.• .. >"~":i,I%:il:/':i:;ii0i;t
~8
A finalidade da avaliação de riscos é auxiliar .,·decisõ~s COI11.base. nos resultados da-análise
de riscos, sobre quais riscos necessitam de tratamento e apriQt\qadep!2!:a~i.njpleJl1ertaçã.Q;cjo tcatamento;iC, ,X.<h' .
.. _ ' ...,.\.-~--,:}-f~/,-<:';, -_ ,_ __;:::?~i."--",<::-;--::~,:,,~;-,~.'~,. j.:~;.'d::,};H'·:<~5~·-<·:.:.:·:;j:~~~:',.'>~~·r/-~\~L2._:
'.':~
A avaliação de riscos envolve comparar o nível de risco encontrado dúfa'nle',ó,'precesso,de,ar,tálise cortí,às;crjtê'ri o:s··/:
de risco estabelecidos quando o contexto fOiconsiderado;c;O:Combase.·nesta.comparação, a necessldade:'
do tratamento pode ser considerada.
',.

Convém que as decisões levem em conta o contexto. maisar:D,pió",doJis.coe;.c0,n~!der~P1;aJ0l.eJênCla )a()s;JiS.CP~:i..


assumida por partes que não a própria organização que se fiénefiêia, do ris~o.';Convém;.que;"a'Sdecisõ.e.s.;s~jam:
tomadas de acordo com os requisitos legais, requlatórloseoutres requisitos;

Em algumas circunstâncias, a avaliação de riscos pode levar à decisão de se proceder a uma análise mais
aprofundada. A avaliação de riscos também pode levar à decisão de não se tratar o risco de nenhuma outra forma
o que seja manter os controles existentes. Esta decisão será influenciada pela atitude perante o risco
>
'ijí
::J da organização e pelos critérios de risco que foram estabelecidos.
13
x
Ql
.-"v_'
o
rJl
::J
~
.:g,
ro'
o.
E
!!i
UJ
© ISO 2009 -©-ABNT 2009- Todos OS direitos reservados
18
ABNT N.BR ISO ,31000:2009
" '< _.' '. ',. -_'. 0",

5.5 Tratamento de riscos

5.5;1 Generalidades

o tratamento de riscos envolve a seleção de uma ou .malscpções para modificar os riscos e a implementação
dessas opções. Uma vez implementado, o.trat.amento.fornece noves.centteles ou modifici:losexistentes .
• "'0,'-"_,' .'. '. ,: ._ •..• , _ _ , ..•• ' ,. .' ",".

Tratar riscos envolve um.processo cíclico composto por:

avaliação do tratamento de riscos já realizado;

decisão se os níveis de risco residual são toleráveis;'

avaliação da eficácia desse .


,: ....

As opções de tratamento deiist~s,


as-circunstâncias. As opçº~s,po ,/.
~~,:/>., ",'.:'

ô
.,....
o
N
CO
s
..,....

'0
'(/l
!Il
<I)
'c.
Ê
ÍD
<!)
'::t
tn
~
-c
o

Q)
e::-
M
O ,
<!:J
O
<!:J Selecionar a opção mais adequada de tratam , ..".;,nvol"eequilibrar;deumlado, os custose.osesforços
(tj
'<I' deimplementação e, de outro, os benetlclos decorrentes;"rel'alivQs-é!.r~,q4.i.sjtÓs··legais\·
regulatórios o;u qúais'quer
N
l{Í outros, tais como o da responsabilidade social e o dapràt~ção :dpárnbl~mtenatl!.lraL Convém que as de~i~ões
'<I' também levem em consideração os riscos que demandam"LJm'tratal11j:l.ntoEl.conomic~t1'1~lite.n~ojustificá\(eli,cqmo,
O
m, por exemplo, riscos severos (com grande' consequênclaneqaüva), porém raros (compróbabilidade ri1uJto,bajxâ).h,' .; ",_. .",' .- __ ,', • "... • •• :•••• _ .•••

'O
C
~ Várias opções de tratamento podem ser.consideradas eaRittaqa~jndivid~?,Ir:n~l)te9u',~or:nbínªdas, A,.of:g~nizà.çao.
~-
normalmente, beneficia-se com a adoção deumacombiií~tç.~;o (jeQpçõe~d,7)r:~tameI;lJQ::.,.,~'~"". . };'''~:>'
e
'ã) '~'. ~ ",.'
.o
i:i: Ao selecionar as opções de tratamento .·derisço~.;)~9I1y,ér1)!qu~,,~, ~rg~lli~ªÇ~9:içp'nSid!3(~ ,~()~;
..yalpr:es
(Il e as percepções das partes interessadas, e as formas.maf~padeqlJ,ê~ps:p,ª~a:se;comuhlca,.rcomelas;:.ql:!êndo ..?,~
'3
rn opções de tratamento de riscos podem.afetar o risco-nQ.testo,~d?:;i-ltg~lil~§w~p,OU.COI1l'é3s,,;partes,i~t\'lte§,s,?,p~S'f
a.
convém que todos os envolvidos partlclpern da deéisâ'o.gQ'i,póra.ig~~lm~~t~~Maz~s,?lgubs'tratam'é.l'Ítº~~~pqdern
o ser mais aceitáveis para algumas das partes interessadasd(,FqUEl,para outr.as.· . . . '. ' ..
.::
!Il
. , ..... /'., ... ':-- .. '--'" . -"':.:.,"

:::l
13 Convém que o plano de tratamento identifique clarament!3aórdem:depr1:~ridade emque.cada tratamento deva
x
Q)

o ser implementado. ." .


ti)
:::l
~ O tratamento de riscos, por. si só, pode jntroduztr riscos:'Um risco signincath/o, pode derivar dofracasso ou da
rn
o..
~ ineficácia das medidas de tratamento de riscos. O momtoramento precisa fazer parte do plano de tratamento
m
a.. deforma a garantir que as medidas permaneçam eficazes-
E
'- ~
UJ

© ISO 2009 - © ABNT 2009 - Todos os direitos reservados ~ 19


ABNT NBR ISO 31000:2009

. ..

~r.tS~ta'~
f~~~~~f.~~:;~~1:~;f:~~~d~Ea~t!i~i~t~ít
Y~••
5.5.3 Preparando
-
e implementando planos. para tratamento de riscos . - "".,., ". .-' .

A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão
implementadas. Convém que as informações fornecidas nos planos de tràtamentoincluarn:

-'--' as razões para a seleção das .opções de tratamento, incluindo os beneflciosquese esperaobter;

os responsáveis pela aprovação do plano e os responsávei§pela.implementaçáodo plano;


ações propostas: .J;b~:~~§:~~:~:;",~,:;t!Y7!'!)ti~~{i}t0;ii!Y\'t.''':::':~,";;'''<
...

-. - (~ . - .,_ ' ,.-.'., . '. ". -..:!-;;;;;:;" :;'1""':"

. os recursõsreqt.ieridos,.inclu~i'g~~~(f

medidas de desempenho'fit~%f~~x~{
:fti? .:<~-" .,~~&;i~~·
requisitos para a apreséntá~ão~;(;f~'info 1

~ . ,5. ::'_ :~~:'~ :~~~~:::

- ct,()t:logramae prograffi'~~o. ,~/E<""k;'


Con~ém qu~ o~ planos ~'&;itr~tarrt~;6,t~;
;ej~
com as partes mteressad~~,C!Ji?roplJ,~das.,
..:t\~·. :*<~ '~:f? .
- ",H't- ' 4;.:,\- ~)<~~'. .._.
Convém que os tomadoressdê-declsão e outt:a~ pa:es int
risco residual após o tr~1?m~nto do risc,l1 q~~vém .
a mohitorarnento, análise crí~i~á:e! quando ~~ioPrt;l~1do,
st

5.6 Moniloramenlo
ea~~;t'::jtall .
Convém que o monitoramento e a\'aT]'í3.!Js"
e envolvam a checagem ou vigilântiãJij. resposta aumfato
-.'-
específico. '

Convém que as responsabilidades relativas ao monltoramentoe'àanállse crítica sejam claramente definidas.

Convem que os processos de monitoramento e análise critica; da orgahizaçãoabranjamtodos os aspectos do


processo da gestão de riscos com a finaIidadé de:" -Ó: .'

garantir que os controles sejam eficazes e eficientes nopr~j~to e na9pera.çãb;

obter informações adicionais para melhorar o processo deavaliaçãbd.os' riscos;

analisar os eventos (incluindo os "quase incidentes"); mudanças, tendênclas, sucessos e fracàss,o~


e aprender com eles;
'I.

detectar mudanças no contexto' externo e interno, incluin,dQ'l?lteraç9:eShq,$,,§rLtériosq8@çoe)noprºptip.J~I~çp:;,;:


as.quais podem requerer revisão dos tratamentos dos risé9;~esua~;priorid~de~ie . . '",,/,:';
.....-' >.:~: .,'~..
identificar os riscos emergentes.

20 © ISO 2009 -.© ABNT 2009 - Todos os direitos reservados,


ABNT NBR ISO 31 OOO:~009

o proqrésso na lmplernentação dos planos de trataljlentº,Heris2os proporciona uma medida de desempenho,


Os resultados p'o_demser incorporados 'na, gestão, ,ha',r:iJ-~,ns~r~ç~9~. ~~~,~presentação de- informações Jlanto
externa quanto lnternarnenté) a respeito do desempenhóg!99él'dáorganji~9ão. '

Convém que os resultados do monítorarnento edª·.â~àlis'e crítica' sejálií' r'egistrad6se: reportadóS':~Xtêrna


e internamente conforme apropriado" etambém convém~g~;$ej~(~tütiÍizaàpsc:()rnoentr<:!dapara. a.al;lál.i~ei;critica
da estrutura de gestão de riscos (ver 4.5).
. ·~~t~·
",':!' '_ ' ::,<,'
,,'," ',,' ,'" ':'
,
:', ,,-
5.7 Registros do processo de gestão 'de~iscos :;;,

Convém que as atividades de gestão de riscos s~jam,J;asti,é~y~ís;./~e·PJ()pé~socde:gestã(jde,.ri9C:,os,;ps}tegi~t~os


,
fornecem os fundamentos para amelhoria dos rnêtodose f~rrameritas,.bern.como de todo o processo. " ",.

Convém que as decisões relativas à cria - ,e;:tê'glS'tí:õsi1:IJWer:n.em.conSideração:

a necessidade da organizaçªe!lâ~:,~prén
- .:~~~~~!=~~;.~
.,.
os benefícios da reutiliz<;l:çãqãeJ,.",
··t· :.:-;;~~.•'

os custos e os eSfor~,~,é~v
.:;~:rf-: ~
s as necessidades q~';'~~ist~'GA~i'legai
,:~::~.::-'
..~~~;~:.·-;~?~L.:_,.~.
Õ
N
ã5 o método de aceSáb,1fiacili$atei-"
.'.:;'.-;.~'.~J':' .>,-, . .--j:' ..
!2 ,:~ < ,;:J.c
o
.•... .~(::~~ .:.~'~: . ~i«(:"
o período de reteÔ,~ã'(jÍ;
e .;;;-~
~r~ '~(~ ~\; ~

a sensibilidade dá~I~fqrmàções .
. ·~·'f~':'.
'">:.;:'. •

' \::!'

•• ~< •

<~ -~- - .

‫ן‬-
m
Õ.
E
~
w
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados 21
ABNT NBR ISO 31000:2009

Anex()~
(infomati~q)

Atributos de uma gestã,o~~ri~çosêivançadà,

A.1 Generalidades

Convém que as organizações visem um nível de dés~nip.éllhl{i,~ , , r:r~~t9~de


~li~estruJuta::" ";'- ' d"';"{' ,',
consonância com a criticidade das decisões .a se " " ",,( à;ed a rt ,utos.a aixo r"
""t 'b""" 'b"'" 'taOuem:~,·nl~,'IPv;oe".",PI",',:a',e
" " ";''
de desempenho para gerenciar riscos. p"" , r es:~úrriedii,seu próprio', ,esempenho::á;;,p.ar;tit'
desses-critérios, alguns indicadores ta a9áatrfbuto.' ' ", '

A.2Resultados-chave

A.2.1

A.2.2 'Os riscos da orfJaljizCl',~ãc)~

A.3 Atributos
~,,-
-'"
).,

A.3.1

A ênfase é colocada o~stabel~cirnento de metas de


desempenho orqanizacional,' §.subsequentesmudançi'ls· de '
.... - ';-;'",- ., ".' ',-". ..... ',- .' ,.,', ... ' .;~, ..'<.J:
processos, sistemas, recursos';
O,::,: .:,/_.: :-,:::_.::_ :::::,';<:':,::"< -::-::-,.. - ,,":,.... .' o:-':~::c::.:-:·~,.':~:<_,_~":,:::::.::<';::,:;::.'
Isso pode ser indicado pela exist nlra as ""qLJa[s."o.'desemp~nh'o"aa "
gerência individual e da organização .. ,,'., ','" pode,serpublicéldo ecomunieadb.
Normalmente, haverá pelo menos uma , '" "Pé'1.t'lP.~,<ym,?,eg.~i9a.{UrJ1arey!q?p,d~
processos e o estabelecimento de objetivos de os<para~o.p~rJod()seguinte, '.' '

Esta avaliação de desempenho da gestão dOSrjS(;oSeP~~~,:rr;i~~r,~Ót~"9'~;+~i'$terna';b6'rpbÇatÍVOde' av~fi~~ã'~


e mensuração do desempenho de departamentos e, indivíduo§,?>:i;,' ,,;"

A.3.2 Responsabilização integral pelos riscos

Formas avançadas de gestão de riscos incluem umaformad~iresPQnsal:>llizaç~b,abrangehte,integralmenteac~itª


e muito bem definida, relativa aos riscos, controles e tart;lf:pS;;dotJ7ptamel"lto\dosriscos. li1divíduosdesignadoS
aceitam suas responsabilidades, são adequadamente, qualificg9ps" e,.PPq?uem<recursos.adequados para verifiqar
controles, monitorar riscos, melhorar os controles, e comunicar-se eficazmente comas partes interessadas
internas e externas sobre os riscos e sua gestão.

Isto pode ser indicado quando todos osmembros de urna.o~g~i1izaçãQestãQtbtalmehte,consCientes dos riscos;
controles e tarefas para os quais são responsáveis ..',NOrm~lmente,'issoestará registrado, em descriçôesde
cargo/posição, em bancos de dados ou sistemas. deihfqrmação.C::onx~.m, que, a definição das funções
e responsabilidades relativas à gestão dos riscos faça partedElitbdos os prográmasdeformação da organização.

22
.' ..•...

A organização assegura que aqueles responsáveis estão' e,quipaqos para.desempenhar completamente as suas
funções, fornecendo-Ihes a autoridade, tempo, treinamento; 'recursos' e habilldades suficientes para' assumirem
suas responsabilldades. ' '

A.3.3i Aplicação da gestão de, riscos emtopas~:s,t$?,l1la,c:lCls,c:le:dE!cis'ão


. ." ...•...... " ,,",', .

o processo de tornada de dec~são~entro"daorg~l;Iiz~çã9'i',<~~ja"qq~J:~()r9IJíyelde suaiIJlPortânciaê~ignifjcância,


envolve explicitamente a consideração dosriscos e ap'li'caç~bda::g;é,~tão-cle::r>isc9sem
àlgurngrauapro~riado. ~.
.; . ,

Isto -pode ser incicado por registros dereimlões-e deói~q~§;'qu,~;~~í"nçim.~tr~I"r1,:,que·di$c;\JssÕesexpJJçitqS,spbre


os :iscos ocorreram. Além disso, convém que ~ei.apQ~~'í~~I;v;!3rq~ê.JO.9'~:~()scomP?,I?~~!~scJagestã.9,d,l:)risp,os
estao representados dentro dos processos-chave para aJoll1ada d~,Çieclsaºna orqamzaçao-por exemplo, para as
decisões sobre a alocação de capital, sobre grandes projêtose.sobrereestruturação e mudançasorganizacionais.
Por estas razões, uma base sólida deg~,êlªp;~e;~fiS'&5s:t'i~';';''Í,is.tadentro
daor~anizaçãpcomo fornecendoa base
par? a governança eficaz: . 'i;~~~J:~~o;~:'~":"
. , -,:, ...,. .' .' ,,',.:;;,~:;;,
A.3.4 comantceção cont!l,ítc: " '~~\.{;;';;';:<:l.
.~.«:''': '_'_'.,'A.~·' ,;:,:,,~::.(

Formas' avançad'as de g~~t~b .:' .com ,parte$:dnteressa~ª~iÍ~t~rr:ías.


e externas, incluindo info:iiffial1vo . ito,d9,-d.e$~tríp~nh9,~a!~~,~t~q·.ge
riscos, como parte da ~q'§igpve,
>::..' /2':' ::::t:F
Isto pode ser indica~q,~:~; .cq):n~P<!.R~, arte integrante e essencial da gestão
de nscos. A cornumcaçae e epn,e'f;a '.< nal, de tal forma que decisões-bem
informadas possam§~rt9m~'~~ssobr idadede
. -
~.'. .iratarnento,
. ~.
'déíiic9rdo
. . ..- :'"
..com
."

critérios de risco abra,w~é'0tes;~;,pdequa


i~:~'d'i i :,.~
.~ ".~~\

Reportes externos e ir;íJE?J1t!ps, 'abrange nifjcaltvos.e sobre o desempenho da


gestão de riscos. contr(§;\l1e;fu substanci .~ntJ;qd,euma·organização.
f:<;::\ ...
A.3.5

Isto é indicado pela linguagem dos gestores e. por impo-rtaf'ites materiais·.e~critosnaorganizaçãOgu~qti(iZarn


o termo "incerteza" em conexão com riscos. Esse atributó'nbrmalmeljtetambém aparêçe'r:éfletidoiias'd.e'e!~r:açÕ:es.
de política da organização, em especial as rerativéi'~~(~~~i~o'ç:le,ri~cos,Normalmenté; ;esseãtributó';'é,"vêrififéldci
por meio de entrevistas com gestores edâ evidência
.
de.s~~~.ações;e;declafações
...., -' .
.. ; ,(.: '
..".,.<.:,,'

o
.<:
(J)
:::l
(3
X
(J)

o
(J)
:::l
til
(;j
o.
ro
õ.
E
~
w
, 23
© ISO 2009 - © ABNT 2009 - Todos os direitos reservados
ABNT NBR ISO 31000:2009

Biblio.gr~~i,a '/.

:'j.

[1] ABNT ISO GUIA 73:2009, Gestão de riscos - Vocabulário;

"
[2]IEC 31010, Risk management- Risk assessmentguid~line~ •..

-"'.-

."

",";

~
~
ô
.•... '\',

o
·N
Õ3
-o e <,
.•...
o
<J)
"1Il
~
•...
o-
É
lt'l
tO
'<t
io
~
o
-o

Q)

~
""o
cb
o ::-~:
tO
ct;
'<t
N
<ri
'<t
o
,
(1)
'O
c:
~ .,
~
o
•...
'v
.D
li:
(1)

'Si
ro
a.
, ",-:.-: ~
o
,<:
III
::l
Ü
X
Q)

o
tn
:J
ro
ta
.0.
•...
(1)
o.
E
~ )(
w
© ISO 2009 - ©ABNT 2009 7 Todos os direitos reservados
24