1) O documento discute os princípios e estrutura do gerenciamento de riscos em organizações.
2) Ele destaca que o gerenciamento de riscos deve ser integrado a todas as atividades, personalizado ao contexto da organização e baseado em melhor informação disponível.
3) A alta direção e órgãos de supervisão devem liderar o processo demonstrando comprometimento com a customização e implementação da estrutura de gerenciamento de riscos.
1) O documento discute os princípios e estrutura do gerenciamento de riscos em organizações.
2) Ele destaca que o gerenciamento de riscos deve ser integrado a todas as atividades, personalizado ao contexto da organização e baseado em melhor informação disponível.
3) A alta direção e órgãos de supervisão devem liderar o processo demonstrando comprometimento com a customização e implementação da estrutura de gerenciamento de riscos.
1) O documento discute os princípios e estrutura do gerenciamento de riscos em organizações.
2) Ele destaca que o gerenciamento de riscos deve ser integrado a todas as atividades, personalizado ao contexto da organização e baseado em melhor informação disponível.
3) A alta direção e órgãos de supervisão devem liderar o processo demonstrando comprometimento com a customização e implementação da estrutura de gerenciamento de riscos.
Integrada: a GR é parte integrante de todas as atividades
São base para GR; convém que: a) sejam organizacionais É iterativo e auxilia no estabelecimento de considerados na estrutura e nos processos; e b) 2. Estruturada e abrangente: abordagem estruturada e estratégias, no alcance dos objetivos e na possibilitem a uma organização gerenciar os efeitos abrangente para a GR contribui para resultados consistentes e tomada de decisões fundamentadas comparáveis da incerteza nos seus objetivos 3. Personalizada: estrutura e processos da GR são personalizados e proporcionais aos contextos interno e externo da organização relacionados aos seus objetivos Parte da governança e liderança, em todos 4. Inclusiva: envolvimento apropriado e oportuno das partes os níveis, e contribui para a melhoria dos Centro e propósito da interessadas possibilita que seus conhecimentos, pontos e vista sistemas de gestão I. PRINCÍPIOS GR: criação e e percepções sejam considerados; resulta em melhor proteção de valor conscientização e GR fundamentada 5. Dinâmica: riscos podem emergir/mudar/desaparecer de Parte de todas as atividades associadas acordo com contextos externo e interno; GR antecipa, detecta, reconhece e responde a mudanças/eventos de uma maneira com uma organização e inclui interação com O QUE É GERENCIAR RISCOS? apropriada e oportuna as partes interessadas 6. Melhor informação disponível: entradas para GR são baseadas em informações históricas/atuais e em expectativas Considera os contextos externo e interno futuras; GR considera quaisquer limitações/incertezas associadas a informações/expectativas; convém que informação da organização, incluindo o comportamento seja oportuna, clara e disponível para as partes interessadas humano e os fatores culturais 7. Fatores humanos e culturais: comportamento humano e cultura influenciam todos os aspectos da GR, em cada nível e estágio Baseia-se em princípios, estrutura e processos, que podem: a) já existir total ou 8. Melhoria contínua: GR é melhorada continuamente por aprendizado e experiências parcialmente na organização; e b) necessitar ser adaptados ou melhorados, para que o gerenciamento seja eficiente, eficaz e consistente
O trabalho da AD/OS vai ajudar a organização a: a)
ALTA DIREÇÃO E ÓRGÃOS DE alinhar GR com objetivos, estratégia e cultura; b) AD é responsabilizada (accountable) por gerenciar riscos, SUPERVISÃO (AD e OS): Convém que reconhecer e abordar todas as obrigações e os OS são responsabilizados por supervisionar a GR; é demonstrem liderança/comprometimento por: compromissos voluntários; c) estabelecer quantidade e requerido/esperado que OS compreendam os riscos aos a) personalizar e implementar estrutura; b) tipo de risco a ser assumido para orientar o desenv. de quais a organização está exposta e assegurem que: a) riscos emitir declaração ou política com critérios, comunicados à organização e às partes sejam adequadamente considerados no estabelecimento de Fornece diretrizes sobre a gestão de riscos enfrentados abordagem/plano/curso de ação de GR; c) interessadas; d) comunicar o valor da GR para objetivos; b) sistemas de GR estejam implementados e assegurar recursos para GR; e d) atribuir por organizações; é uma abordagem comum para autoridades, responsabilidades e organização e partes interessadas; e) promover operem eficazmente; c) riscos sejam apropriados no monitoramento sistemático dos riscos; e f) assegurar contexto dos objetivos; d) informação sobre riscos e sua qualquer tipo de risco, que não é específica para responsabilização (accountability) dentro da gestão seja apropriadamente comunicada organização que a estrutura de GR permaneça apropriada ao nenhum setor contexto da organização
1. Integração (da GR): apoia-se na compreensão das
ISO 31000:2018 - estruturas e do contexto organizacional; risco é gerenciado Gestão de Riscos em todas as partes da organização e todos têm responsabilidade; governança orienta rumo, relações, regras, (GR): Diretrizes II. ESTRUTURA processos e práticas; determinar a responsabilização pela (Analítico) - GR e os papéis de supervisão é parte da governança; Autoria: Marcelo integrar GR deve ser personalizado para as necessidades e 2.1. Definindo o escopo: refere-se às atividades de GR; a cultura; convém que GR não seja separada do propósito, de Lima governança, estratégia, objetivos, operações etc. como o processo de GR pode ser aplicado em diferentes níveis, é importante ser claro sobre o escopo, os objetivos e Propósito da estrutura de GR é apoiar a o alinhamento aos objetivos; ao planejar a abordagem, as organização na integração da GR em atividades 2. Concepção (da estrutura de GR): envolve 5 itens considerações incluem objetivos e decisões, resultados Gerenciando riscos significativas e funções; eficácia da GR dependerá principais: a) entender organização e seu contexto interno e esperados, tempo, localização, inclusões/exclusões, Centro da estrutura: externo; b) articular o comprometimento com a GR por meio ferramentas e técnicas para o processo de avaliação de da integração na governança e nas atividades liderança e da AD/OS; c) atribuir papéis organizacionais, autoridades, riscos, recursos, responsabilidades, registros e (incluindo tomada de decisão); isso requer apoio responsabilidades e responsabilizações, por meio da AD/OS comprometimento relacionamentos com outros projetos/processos/atividades das partes interessadas e Alta Direção e com identificação dos proprietários dos riscos; d) alocar Tomando decisões (vide parágrafos COMO CRIAR E PROTEGER VALOR NAS recursos físicos, humanos, tecnológicos etc.; e e) 2.2. Contextos externo e interno: são o ambiente no qual a acima sobre AD/OS); estabelecer comunicação (compartilhar informação com ORGANIZAÇÕES? (propósito da GR) desenvolvimento da organização procura definir e alcançar objetivos; GR a partir público-alvo) e consulta (fornecimento de retorno para da compreensão dos ambientes externo e interno no qual a Convém que: a) organização avalie práticas e estrutura envolve os contribuir nas decisões/atividades) para aplicação eficaz da organização opera; compreender o contexto é importante Estabelecendo/alcançando objetivos processos de GR e lacunas, abordando lacunas na itens a seguir GR porque a GR ocorre no contexto dos objetivos/atividades da estrutura; e b) componentes da estrutura e modo de organização, fatores organizacionais podem ser fonte de funcionamento sejam personalizados para as 3. Implementação (da estrutura de GR): por meio do risco, e propósito/escopo do processo de GR podem estar necessidades da organização desenvolvimento de plano apropriado, identificação dos tipos interrelacionados com os objetivos da organização Melhorando o desempenho de decisões e dos decisores, modificação dos processos de tomada de decisão, e compreensão e prática dos arranjos de 2.3. Definindo critérios de risco: organização especifica a GR; ocorre com engajamento e conscientização das partes e quantidade e o tipo de risco que pode ou não assumir; abordagem explícita da incerteza convém que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de tomada de decisão; 4. Avaliação (da eficácia da estrutura de GR): ocorre com 1. Comunicação e consulta: auxiliam as partes critérios alinhados à estrutura de GR, personalizados para o propósito/escopo, e refletindo valores, objetivos e recursos mensuração periódica do desempenho da estrutura e exame interessadas pertinentes (internas e externas) na de adequação para apoiar o alcance dos objetivos da organização, bem como levando em consideração compreensão do risco, na base para decisões e nas obrigações da organização e pontos de vista das partes; razões para ações específicas; comunicação busca para estabelecer critérios, convém considerar natureza e tipo 5. Melhoria (da estrutura de GR): aborda: a) adaptação; e promover conscientização e entendimento do risco, de incertezas, consequências e probabilidades, tempo, uso 1. Risco: efeito da incerteza nos objetivos b) melhoria contínua; discute mudanças internas e externas, ao passo que consulta envolve obter retorno e de medidas, nível de risco, combinações/sequências de lacunas ou oportunidades de melhoria múltiplos riscos, e capacidade da organização informação para auxiliar a tomada de decisão; 2. Gestão de riscos: atividades coordenadas reúnem diferentes áreas de especialização, para dirigir e controlar uma organização no asseguram a consideração de pontos de vista que se refere a riscos diferentes, fornecem informações para facilitar supervisão e tomada, e constroem senso de 3.1. Identificação de riscos: propósito é encontrar, 3. Parte interessada: pessoa ou organização inclusão e propriedade entre os afetados pelo risco reconhecer e descrever riscos que possam ajudar ou impedir que organização alcance objetivos; informações pertinentes, que pode afetar, ser afetada ou perceber-se apropriadas e atualizadas são importantes; organização afetada por uma decisão ou atividade pode usar variedade de técnicas para identificar incertezas; convém que fatores e relacionamento entre fatores sejam 4. Fonte de risco: elemento que, considerados (fontes tangíveis e intangíveis de risco, causas individualmente ou combinado, tem o 2. Escopo, contexto e critérios: personalizam o e eventos, ameaças e oportunidades, vulnerabilidades e processo de GR; envolvem definição do escopo do capacidades, mudanças nos contextos, indicadores de riscos potencial para dar origem ao risco emergentes, natureza e valor dos ativos/recursos, TERMOS E DEFINIÇÕES processo e compreensão dos contextos externo e consequências e impactos nos objetivos, limitações de interno 5. Evento: ocorrência ou mudança em um conhecimento e de confiabilidade da informação, fatores temporais, vieses/hipóteses/crenças); convém que riscos conjunto específico de circunstâncias sejam identificados independentemente de fontes estarem sob controle, e considerar que pode haver mais de um tipo 6. Consequência: resultado de um evento Envolve aplicação sistemática de políticas, de resultado/consequências que afeta os objetivos procedimentos e práticas para atividades de comunicação e consulta, estabelecimento do 3. Processo de avaliação de riscos: é o processo 3.2. Análise de riscos: propósito é compreender natureza 7. Probabilidade: chance de algo acontecer contexto e avaliação, tratamento, global de identificação, análise e avaliação; convém do risco e suas características, incluindo nível de risco; que esse processo seja conduzido de forma envolve consideração detalhada de incertezas, fontes de monitoramento, análise crítica, registro e risco, consequências, probabilidade, eventos, cenários, relato de riscos sistemática, iterativa e colaborativa, usando a 8. Controle: medida que mantém e/ou controles e sua eficácia; um evento pode ter múltiplas melhor informação disponível e complementado por modifica o risco investigação adicional causas/consequências e afetar múltiplos objetivos; pode ser realizada com vários graus de detalhamento e complexidade; técnicas podem ser qualitativas, quantitativas ou combinação de ambas; convém que considere fatores (probabilidade de Processo de GR eventos/consequências, natureza/magnitude das III. PROCESSOS consequências, complexidade e conectividade, fatores temporais e volatilidade, eficácia dos controles existentes, sensibilidade e níveis de confiança); análise pode ser influenciada por qualquer divergência de opiniões, vieses, percepções de risco, julgamentos e influências adicionais (qualidade da info., hipóteses/exclusões, limitações de técnicas); eventos altamente incertos podem ser difíceis de Convém que o processo de GR seja parte da quantificar, caso em que combinação de técnicas fornece gestão e da tomada de decisão, integrado na maior discernimento; análise fornece entrada para avaliação de riscos, decisões sobre tratamento e estratégia/métodos estrutura, nas operações e nos processos da mais apropriados; resultados propiciam discernimento para organização; pode ser aplicado nos níveis decisões estratégico, operacional, de programas ou de projetos 3.3. Avaliação de riscos: propósito é apoiar decisões; envolve comparação dos resultados da análise com os critérios estabelecidos para determinar onde é necessária ação adicional; pode levar a uma decisão de fazer mais nada, considerar as opções de tratamento de riscos, realizar Há muitas aplicações do processo de GR; análise adicionais, manter os controles, ou reconsiderar convém considerar natureza dinâmica e objetivos; convém que: a) decisões levem em consideração contexto e consequências reais/percebidas para as partes; variável do comportamento humano e da b) resultado da avaliação seja registrado, comunicado e cultura; processo de GR é apresentado como então validado nos níveis apropriados da organização sequencial, mas é na prática iterativo
4.1. Seleção de opções de tratamento de riscos: ;
selecionar as opções mais apropriadas de tratamento de riscos envolve balancear os benefícios face aos custos/esforço/desvantagens da implementação; opções de tratamento não são necessariamente mutuamente exclusivas ou apropriadas em todas as circunstâncias; opções podem 4. Tratamento de riscos: propósito é selecionar e envolver evitar o risco ao decidir não iniciar ou continuar com implementar opções para abordar riscos; envolve a atividade, assumir ou aumentar o risco (oportunidade), remover a fonte de risco, mudar a probabilidade, mudar as processo iterativo de formular/selecionar opções, consequências, compartilhar o risco (contratos/seguros), ou planejar/implementar tratamento, avaliar eficácia reter o risco por decisão fundamentada; justificativa para deste tratamento, decidir se risco remanescente é tratamento é mais ampla que considerações econômicas; aceitável e, caso não o seja, realizar tratamento convém que seleção de opções seja feita de acordo com adicional objetivos, critérios de risco e recursos disponíveis, considerando valores/percepções/envolvimento das partes; tratamento pode não produzir os resultados esperados e produzir consequências não pretendidas ou novos riscos; convém que risco remanescente seja documentado, monitorado, analisado criticamente e, onde apropriado, passe por tratamento adicional
4.2. Preparação e implementação de planos de
tratamento de riscos: propósito é especificar como opções de tratamento escolhidas serão implementadas, com compreensão pelos envolvidos e monitoramento dos progressos do plano; convém que plano identifique a ordem do tratamento e seja integrado à gestão da organização; convém que plano de tratamento inclua justificativa para a seleção das opções, pessoas responsabilizáveis/responsáveis, ações, recursos requeridos, medidas de desempenho, restrições, relatos/monitoramento, e momento das ações
5. Monitoramento e análise crítica: propósito é
assegurar e melhorar a qualidade e a eficácia da concepção, implementação e resultados do processo; convém que sejam parte planejada do processo de GR, com responsabilidades claramente estabelecidas; convém que ocorram em todos os estágios do processo; incluem planejamento, coleta e análise de informações, registro de resultados e fornecimento de retorno; convém que os resultados sejam incorporados em todas as atividades de gestão de desempenho, medição e relatos da organização
6. Registro e relato: convém que o processo de
GR e os resultados sejam documentados e relatados por meio de mecanismos apropriados; ambos visam a comunicar atividades e resultados da GR a toda a organização, fornecer informações para tomada de decisão, melhorar as atividades de GR, e auxiliar a interação com as partes interessadas; convém que as decisões sobre informação documentada levem em consideração sensibilidade da informação e contextos externo e interno; relato é parte da governança e convém que melhore a qualidade do diálogo com partes e apoie AD/OS a cumprirem suas responsabilidades; fatores para o relato incluem, mas não se limitam a diferentes partes interessadas e suas necessidades, custo/frequência/pontualidade do relato, método do relato, e pertinência da informação para objetivos/tomada de decisão