4.

MANUAL DE GESTÃO DE RISCOS SCHIOPPA RODAS E

RODÍZIOS

1. INTRODUÇÃO

Os riscos e incertezas são inerentes a quase todas as atividades realizadas por

indivíduos ou organizações. Portanto, faz-se imprescindível que toda e qualquer atividade
seja previamente planejada, os riscos que a envolve sejam mapeados e preferencialmente,
mitigados.
A gestão de riscos tem a função de assegurar que a empresa atinja seus objetivos,
além de ser uma importante ferramenta para ajudar na tomada de decisões e na redução ou
na eliminação de retrabalhos.
Este documento é para o uso das pessoas que criam e protegem os valores da
organização, gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos
e melhorando o desempenho.
Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos
e internos que tornam incerto se elas alcançarão seus objetivos.
Gerenciar riscos é:
 Iterativo e auxilia a empresa no estabelecimento de estratégias, no alcance de
objetivos e na tomada de decisões fundamentadas.
 Parte da governança e liderança, e é fundamental para a maneira como a organização
é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão.
 Parte de todas as atividades realizadas pela empresa e inclui a interação com as
partes interessadas.
 Considerar os contextos externo e interno da organização, incluindo o comportamento
humano e os fatores culturais.
 Baseia-se nos princípios, estrutura e processos delineados neste documento, como
ilustrado na Figura 1.
 Figura 1 - princípios, estrutura e processos

1.1 Escopo

I – Assegurar que os responsáveis pela tomada de decisões, em todos os níveis, tenham

acesso as informações suficientes quanto aos riscos aos quais está exposta a organização;
II – Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos
a níveis aceitáveis;
III – Agregar valor à empresa por meio da melhoria dos processos de tomada de decisão e
do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua
materialização.

1.2 Estrutura do Manual de Gestão de Risco

A responsabilidade pela elaboração, edição e controle da distribuição é do

Coordenador do Sistema de Gestão da Qualidade. Este manual está estruturado em
capítulos que estabelecem a forma pela qual as diversas atividades que compõem o Sistema
de Gestão de Riscos são aplicadas, bem como as principais atribuições e responsabilidades.
Este Manual apresenta todos os documentos que apoiam e complementam as definições
aplicáveis ao Sistema de Gestão de Riscos.
1.3 Controle e Revisão do Manual

Este Manual sofrerá revisões, sempre que alterações significativas no Sistema forem
executadas e quando mudanças na estrutura organizacional da empresa venham afetar o
sistema de trabalho. O controle, revisão e distribuição do Manual seguem a mesma
abordagem conceitual prevista no procedimento de controle de documentos. Em casos
eventuais, sendo necessárias, cópias não controladas poderão ser emitidas.

2 REFERÊNCIAS NORMATIVAS

 Manual de Gestão de Riscos para Fornecedores FCA, 3ª edição de 30/05/2020;

 ABNT NBR ISO 31000:2018 Gestão de riscos – Diretrizes;
 ABNT ISO/TR 31004:2015 Gestão de riscos — Guia para implementação da ABNT
NBR ISO 31000;
 ABNT NBR ISO/IEC 31010:2012 Gestão de riscos — Técnicas para o processo de
avaliação de riscos.

3 TERMOS E DEFINIÇÕES

Para os efeitos deste documento, aplicam-se os seguintes termos e definições:

Risco: efeito da incerteza nos objetivos.

Nota: 1. Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou

ambos, e pode abordar, criar ou resultar em oportunidades e ameaças; 2. Objetivos podem
possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis. Risco
é normalmente expresso em termos de fontes de risco (3.4), eventos (3.5) potenciais, suas
consequências (3.6) e suas probabilidades (3.7).

Gestão de riscos: Atividades coordenadas para dirigir e controlar uma organização

no que se refere a riscos (3.1).
Parte interessada: Pessoa ou organização que pode afetar, ser afetada ou perceber-
se afetada por uma decisão ou atividade.
Nota: 1. O termo “parte interessada” pode ser utilizado como alternativa a “stakeholder”.
Fonte de risco: Elemento que, individualmente ou combinado, tem o potencial para
dar origem ao risco (3.1).
 Evento: ocorrência ou mudança em um conjunto específico de circunstâncias.
Nota: 1. Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e
várias consequências (3.6); 2. Um evento pode também ser algo que é esperado, mas não
acontece, ou algo que não é esperado, mas acontece; 3. Um evento pode ser uma fonte de
risco.
Consequência: resultado de um evento (3.5) que afeta os objetivos.
Nota: 1. Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou
negativos, diretos ou indiretos, nos objetivos; 2. As consequências podem ser expressas
qualitativa ou quantitativamente; 3. Qualquer consequência pode escalar por meio de efeitos
cascata e cumulativos.
Probabilidade: chance de algo acontecer.
Nota: 1. Na terminologia de gestão de riscos (3.2), a palavra “probabilidade” é utilizada para
referir-se à chance de algo acontecer, não importando se definida, medida ou determinada,
ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita
utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante um
determinado período).
Controle: medida que mantém e/ou modifica o risco (3.1).
Nota: 1. Controles incluem, mas não estão limitados a qualquer processo, política,
dispositivo, prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco; 2.
Controles podem nem sempre exercer o efeito modificador pretendido ou presumido.

4 PRINCÍPIOS

I - Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse

público;
II - Estabelecimento de níveis de exposição a riscos adequados;
III - Estabelecimento de procedimentos de controle interno proporcionais ao risco, observada
a relação custo-benefício, e destinados a agregar valor à organização;
IV - Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do
planejamento estratégico;
V - Utilização da gestão de riscos para apoio à melhoria contínua dos processos
organizacionais.
 A gestão de riscos eficaz requer os
elementos da Figura ao lado e pode ser
explicada como a seguir:
a) Integrada: A gestão de riscos é parte
integrante de todas as atividades existentes
na organização
b) Estruturada e abrangente: Uma
abordagem estruturada e abrangente para a
gestão de riscos contribui para resultados
consistentes e comparáveis.
c) Personalizada: A estrutura e o
processo de gestão de riscos são
personalizados e proporcionais aos contextos externo e interno da organização relacionados
aos seus objetivos.
d) Inclusiva: O envolvimento apropriado e oportuno das partes interessadas possibilita
que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em
melhor conscientização e gestão de riscos fundamentada.
e) Dinâmica: Riscos podem emergir, mudar ou desaparecer à medida que os contextos
externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta,
reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível: As entradas para a gestão de riscos são baseadas
em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos
explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas
informações e expectativas. Convém que a informação seja oportuna, clara e disponível para
as partes interessadas pertinentes.
g) Fatores humanos e culturais: O comportamento humano e a cultura influenciam
significativamente todos os aspectos da gestão de riscos em cada nível e estágio.
5 REQUISITOS PARA GESTÃO DE RISCOS

5.1 Estrutura e objeto organizacional de Gestão de Riscos

Definir uma estrutura que assegure a implementação, execução e melhoramento

contínuo do processo de gestão de riscos, mediante o seu monitoramento e a análise crítica
dos resultados obtidos e, também, definir a atuação do Responsável pelo Risco do Produto
(RRP).

5.2 Instâncias de Supervisão, Competências e Linhas de Defesa

A Gestão de Riscos é
gerida de forma integrada. A
política de Gestão de Riscos
define competências
específicas sobre o
gerenciamento de riscos para a
estrutura de governança.

A Gestão de Riscos da Schioppa está estruturada conforme o organograma a seguir:

5.3 Responsabilidades e Competências

5.3.1 Direção
a) Definir e atualizar as estratégias de implementação da Gestão de Riscos,
considerando os contextos externo e interno;
b) Definir os níveis de exposição à riscos, independentemente de sua capacidade de
suportar o seu impacto (tolerância à riscos) nos processos organizacionais;
c) Definir os responsáveis pelo gerenciamento de riscos dos processos organizacionais;
d) Definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos para
cada um dos processos organizacionais;
e) Aprovar as respostas e as respectivas medidas de controle a serem implementadas
nos processos organizacionais;
f) Aprovar a Metodologia de Gestão de Riscos e suas revisões;
g) Aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte
ao processo de gerenciamento de riscos;
h) Monitorar a evolução de níveis de riscos e a efetividade das medidas de controle
implementadas;
i) Avaliar o desempenho da estrutura de Gestão de Riscos e fortalecer a aderência dos
processos à conformidade normativa;
j) Garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus
recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos
colaboradores;
k) Garantir o alinhamento da gestão de riscos aos padrões de ética e de conduta;
l) Supervisionar a atuação das demais instâncias da Gestão de Riscos.

5.3.2 Comitê de Riscos

a) Auxiliar a Direção na definição e nas atualizações da estratégia de implementação da
Gestão de Riscos, considerando os contextos externo e interno;
b) Auxiliar na definição dos níveis de exposição a riscos dos processos e produtos;
c) Auxiliar na definição dos responsáveis pelo gerenciamento de riscos dos processos e
produtos;
d) Auxiliar na definição da periodicidade máxima do ciclo do processo de gerenciamento
de riscos para cada um dos processos e produtos;
e) Auxiliar na aprovação das respostas e das respectivas medidas de controle a serem
implementadas nos processos e produtos;
f) Implementar as ações para o pleno atendimento dos requisitos do presente manual,
assegurando a gestão de riscos do produto desde o início do processo de desenvolvimento
até o fim de sua vida;
g) Assegurar que os processos de cotações, análise de viabilidade, planejamento da
qualidade incluindo análises de modificações de produto e processo, considerem os fatores
de risco do produto;
h) Garantir que, no processo de desenvolvimento de produto, as características críticas
do produto e do processo de manufatura sejam identificadas e devidamente tratadas quanto
à garantia de sua conformidade.
i) Avaliar sistematicamente os resultados e tendências dos indicadores de performance
do produto e dos processos produtivos (O.E.E.), identificando potenciais riscos do produto.
j) Monitorar, identificar e gerenciar eventos relacionados com riscos do produto
mantendo a alta direção da Organização informada e, quando aplicável, a Fornecedores.
k) Interromper a produção e o fornecimento de produtos em situações nas quais se
verifiquem riscos do produto, atuando de forma rápida e eficaz para a completa normalização
destas situações;
l) Promover a difusão interna e nos níveis apropriados, do pleno conhecimento e ciência
das responsabilidades cível e criminal relacionadas com eventuais falhas dos produtos da
Organização, das consequências advindas de campanhas de saneamento do parque
circulante (Recall Campaign) e da necessidade de fundos econômicos para suportar estas
atividades (seguro, fundo de reserva etc.).
m) Garantir a abrangência dos requisitos deste manual a todas as unidades de sua
Organização onde produtos destinados a comercialização sejam projetados, desenvolvidos
e manufaturados.

5.3.3 Responsável pelo Risco do Produto (RRP)

a) Dar suporte na identificação, análise e avaliação dos riscos dos processos e produtos
selecionados para a implementação da Gestão de Riscos;
b) Propor respostas e respectivas medidas de controle a serem implementadas nos
processos e produtos;
c) Monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles
implementadas nos processos e produtos;
d) Informar a Direção sobre mudanças significativas nos processos e produtos;
e) Responder às requisições do Comitê de Riscos;
f) Disponibilizar as informações adequadas quanto à gestão dos riscos dos processos e
produtos a todos os níveis e demais partes interessadas.
g) Consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los
para Direção;
h) Propor capacitação continuada em Gestão de Riscos para os colaboradores, com o
apoio da Direção e do Comitê de Riscos;
i) Medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;
j) Requisitar aos responsáveis pelo gerenciamento de riscos dos processos
organizacionais as informações necessárias para a consolidação dos dados e a elaboração
dos relatórios gerenciais.

5.3.4 Liderança, Profissionais e Equipe

a) Contribuir nas atividades de identificação e avaliação dos riscos inerentes aos
processos de sua responsabilidade;
b) Comunicar riscos inerentes aos seus processos, não mapeados anteriormente;
c) Apoiar os gestores na definição dos planos de ação necessários para tratamento dos
riscos;
d) Aplicar medidas de mitigação necessárias;
e) Monitoramento da evolução dos níveis de riscos e da efetividade das medidas de
controles implementadas nos processos organizacionais em que estiverem envolvidos ou
que tiverem conhecimento;
f) Monitorar, no respectivo âmbito, os riscos mapeados.

5.4 Linhas de Defesa

Um dos fatores críticos de sucesso na implantação da Gestão de Riscos é a definição

da estrutura de lideranças, com suas alçadas, competências e segregação de funções. A
figura abaixo apresenta as principais instâncias, que se configuram como linhas (ou
camadas) de defesa:
1ª – PRIMEIRA LINHA DE DEFESA:
É a gestão operacional, sendo a liderança e colaboradores por manter os controles
internos eficazes e por conduzir suas atividades conforme procedimentos de riscos e
controles diariamente. Faz parte de suas atribuições identificar e comunicar, controlar e
mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e
procedimentos sistêmicos para garantir que as atividades estejam de acordo com as metas
e objetivos.

2ª – SEGUNDA LINHA DE DEFESA:

São as funções específicas de gerenciamento de riscos e conformidade, facilita e
monitora a implementação de práticas eficazes de gerenciamento de riscos por parte do
Comitê e Gestor do Riscos.

3ª – TERCEIRA LINHA DE DEFESA:

É a Auditoria Interna, onde os auditores internos fornecem à Direção avaliações
abrangentes baseadas no maior nível de independência e objetividade.
A Organização deve assegurar a realização de auditorias internas, com frequência
mínima anual e conduzidas por auditores internos devidamente qualificados, para avaliar a
aderência aos requisitos deste manual (utilizar o anexo A - Avaliação do Sistema de Gestão
de Riscos).
Nota: O auditor interno qualificado é o profissional possuidor de qualificação para a
realização de auditorias internas em algum sistema de gestão (ISO 9001, ISO 14001, IATF
16949...) e que tenha incluso a questão da “Mentalidade de Gestão de Riscos”.
 Os resultados destas auditorias, assim como indicadores e informações provenientes
do Comitê de Riscos, devem ser utilizados como entradas nas análises críticas da Direção.

6 – METODOLOGIA DE GESTÃO DE RISCOS

A Metodologia de Gestão de Riscos

objetiva estabelecer e estruturar as etapas
necessárias para a sua operacionalização, por
meio da definição de um processo de gestão de
riscos.

Primeiramente, o ideal é que a Cadeia de

Valor / Base de Processos e os processos da
empresa estejam mapeados. Para tanto,
podemos utilizar FS-QUAL-005 Avaliação do
Sistema de Gestão de Riscos (Anexo A).

A Cadeia de Valor é a representação de modelo que permite a visão lógica dos

processos organizacionais, enquanto os Processos de Trabalho representam
detalhadamente as atividades, o processamento, as entradas e saídas de cada processo.
Ambos são essenciais para que a aplicação da metodologia de gerenciamento de riscos e
controles internos da gestão tenha maior efetividade.

Dessa forma, a base para o gerenciamento de riscos da gestão são os processos de

trabalho. O procedimento adequado é verificar quais os processos devem ser priorizados e
posteriormente mapeá-los, após essa priorização a metodologia pode ser aplicada.
 A metodologia é composta por cinco
etapas, conforme ilustrado ao lado:

6.1 – Levantamento do Processo e do Produto

A análise do ambiente tem a finalidade de
colher informações para apoiar a identificação de
eventos de riscos, bem como contribuir para a
escolha de ações mais adequadas para
assegurar o alcance dos objetivos do
macroprocesso / processo.

Nesta etapa, devem ser identificados, pelo menos:

 Fluxo (mapa) do processo;

 Identificar os processos de trabalho relevantes para o alcance dos
objetivos/resultados;
 Identificar as pessoas envolvidas nesses processos e especialistas na área;
 Mapear os principais fatores internos e externos que podem afetar o alcance dos
objetivos/resultados (pessoas, sistemas informatizados, estruturas organizacionais,
legislação, recursos, stakeholders etc.);
 Leis e Regulamentos: listar todas as leis, regulamentos e normas que afetam ou
influenciam o macroprocesso/processo. Essas informações são importantes para verificar se
há riscos e descumprimento de leis, regulamentos e normas, bem como auxilia na adoção
de ações de controle;
 Sistemas: listar os sistemas e outras ferramentas (exemplo: planilhas) que
operacionalizam o processo. Essas informações são importantes para verificar se os
controles são manuais ou eletrônicos.
Definição das ações que serão realizadas para que os objetivos que foram definidos sejam
alcançados;
6.2 Identificação de Eventos de Riscos
Esta etapa tem por finalidade identificar e registrar tanto os eventos de riscos que
comprometem o alcance do objetivo do processo, assim como as causas e
efeitos/consequências de cada um deles.

O processo de identificação de riscos requer a participação dos colaboradores com

conhecimento do processo, visão holística dos processos da unidade nos seus diferentes
níveis. É importante também que tenham conhecimento da metodologia de gerenciamento
de riscos.

6.2.1 - Identificação, Análise e Avaliação dos Riscos dos Produtos

O processo de Gestão de Riscos deve prever a elaboração e atualização sistemática

de uma Matriz de Riscos de Produto conforme FS-QUAL-009 Matriz mapeamento de risco
Linha-Produto (Anexo B) deste manual, que considere fatores relacionados ao produto
desdobrado em componentes e aos respectivos processos produtivos e desempenho.

Esta matriz deve permitir:

 A avaliação e classificação objetiva dos riscos identificados e analisados;

 A priorização dos riscos para proporcionar seu tratamento (prevenção e/ou mitigação)
 Por meio da identificação de eventos de riscos, pode-se planejar a forma de
tratamento adequado e qual o tipo de resposta a ser dada a esse risco, destacando que os
eventos de riscos devem ser entendidos como parte de um contexto, e não de forma isolada.
São componentes do Evento de Risco:

Figura 12 - Componentes do Evento de Riscos

 Causas: condições que dão origem à possibilidade de um evento ocorrer, também

chamadas de fatores de riscos e podem ter origem no ambiente interno e externo.
 Risco: possibilidade de ocorrência de um evento que venha a ter impacto no
cumprimento dos objetivos.
 Consequência: o resultado de um evento de risco sobre os objetivos do processo.

Há diversas técnicas que podem ser utilizadas nesta etapa. O objetivo é identificar e
analisar os possíveis caminhos de um evento de risco, dado que um problema pode estar
relacionado a diversas causas e consequências. Portanto, identifica-se o problema e em
seguida suas possíveis causas e consequências.
Para finalizar, identifique as formas de prevenir a ocorrência do risco e as formas de
mitigar as consequências caso o risco se materialize.
6.3 – Avaliação de Eventos de Riscos e Controle

Esta etapa tem por finalidade avaliar os eventos de riscos identificados considerando
os seus componentes (causas e consequências). Os eventos devem ser avaliados sob a
perspectiva de PROBABILIDADE e IMPACTO, e o resultado dessas duas variáveis será o
que chamamos de ÍNDICE DE RISCO GERAL (IRG). As causas se relacionam à
probabilidade de o evento ocorrer e as consequências ao impacto, caso o evento se
materialize.

6.3.1 - Priorização dos Riscos dos Produtos

Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme tabela
abaixo:
6.4 – Respostas aos Riscos

6.4.1 - Tratamento dos Riscos

O tratamento dos riscos deve ser realizado de forma planejada e conforme rotina
estabelecida pelo Comitê de Riscos e pelo RRP, considerando:

 A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação

de seus efeitos, caso se concretizem;
 A implementação das ações definidas;
 O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores
de desempenho relacionados com os riscos;
 A análise crítica dos resultados obtidos;
 A proposição de ações de reforço ou melhorias aplicáveis.

O tratamento de riscos deve ser realizado em reuniões de trabalho ou, conforme o

caso, pelo próprio RRP e Proprietário do Risco, com a participação de pessoas que
conheçam bem o objeto de gestão de riscos.

Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de

tratamento para esse risco. Essas medidas devem ser capazes de diminuir os níveis de
probabilidade e/ou de impacto do risco a um nível dentro ou mais próximo possível da
classificação (risco “BAIXO” ou “MÉDIO”).

Para isso deve ser elaborado um Plano de Ações de risco do processo ou produto. As
medidas mitigadoras podem envolver, por exemplo:

 A adoção de controles;
 O redesenho de processos;
 A realocação de pessoas;
 A realização de ações de capacitação;
 O desenvolvimento ou aperfeiçoamento de soluções de TI;
 A adequação da estrutura organizacional, entre outros.

É importante que, em uma primeira abordagem da elaboração do Plano de Ações,

avalie-se a necessidade de:
 Controles automatizados em substituição aos manuais, quando possível;
 Indicadores de desempenho: estabelecimento de indicadores;
 Atribuição de obrigações entre pessoas com a finalidade de reduzir risco, falhas e
erros;
 Combinação de controles manuais e informatizados (automatizados);
 Políticas e procedimentos.

Somente depois dessa avaliação, e se ainda identificada a necessidade de redução

do nível do risco, podem ser propostos novas tratativas, observados sempre os critérios de
eficiência e eficácia da sua implementação.

A figura abaixo ilustra o fluxo do tratamento de riscos identificados, classificados e priorizados

na Matriz de Riscos:

6.5 – Informação, Comunicação e Monitoramento

 Os resultados das etapas anteriores do processo de gestão de riscos (identificação e
análise dos riscos, avaliação dos riscos, priorização dos riscos e definição de respostas aos
riscos) devem ser formalizados através da elaboração da “PLANILHA DE
GERENCIAMENTO DE RISCOS” (Ferramenta criada e disponibilizada pelo Comitê de
Riscos)” com o respectivo “PLANO DE TRATAMENTO DE AÇÕES DE CONTROLE”.
O “PLANO DE TRATAMENTO DE AÇÕES DE CONTROLE”, deverá ser avaliado e
aprovado pela “Gestor da Unidade”.
Após a aprovação desses resultados, o Gestor da Unidade e o RRP (Gestor do Risco)
responsável pelo processo de gerenciamento de riscos devem:
 Encaminhar esses resultados para a Alta Gestão para validação;
 Após a validação por parte da Alta Gestão, a “PLANILHA DE GERENCIAMENTO DE
RISCOS” e o “PLANO DE TRATAMENTO DE AÇÕES DE CONTROLE” serão
encaminhados aos responsáveis, neste caso os Proprietários do Risco, para que seja dado
início as ações previstas.
No Plano de Tratamento, deve ser definido o principal responsável pela
implementação da iniciativa (colaborador ou cargo), que também deverá monitorar e reportar
a evolução das iniciativas.
O monitoramento compreende o acompanhamento e a verificação do desempenho ou
da situação de elementos da gestão de riscos, podendo abranger a política, as atividades,
os riscos, os planos de tratamento de riscos, os controles e outros assuntos de interesse.
O monitoramento de todo o funcionamento do Sistema de Gestão de Riscos está a
cargo da Alta Gestão e do Comitê de Riscos e Controle Interno.
O monitoramento das ações de tratamento de riscos envolve a verificação contínua
ou periódica do funcionamento da sua implementação e dos resultados das medidas
mitigadoras por parte do Gestor da Unidade e do RRP (Gestor do Risco).
O monitoramento deve considerar o tempo necessário para que as medidas
mitigadoras produzam seus efeitos
O monitoramento é parte integrante do processo de gestão e de tomada de decisão e
deve acompanhar o ciclo de planejamento.

O monitoramento deve ser efetivo sem onerar demasiadamente o processo.

Os riscos-chave identificados serão monitorados a cada ciclo de avaliação da estratégia
organizacional pelo RRP (Gestor do Risco) com o auxílio do Comitê de Riscos e
comunicados à Alta Direção.

O monitoramento consistirá na atualização da análise e avaliação do risco, assim como do

estágio de execução das medidas de tratamento do risco e dos resultados dessas medidas.

A evolução do nível dos riscos que não mereceram tratamento (risco “BAIXO”) será
acompanhada pelo RRP (Gestor do Risco) e Proprietário do Risco.

Todo o monitoramento deve ser encaminhado ao Comitê de Riscos.

As ações que não forem efetivadas devem estar justificadas no Relatório do Plano de
Tratamento elaborado pelos Gestores e Proprietários do Risco.

O Relatório será informado a Alta Gestão através do Comitê de Riscos, e ficarão a cargo da
Alta Gestão as cobranças das ações não efetivadas.

OBSERVAÇÃO 1: Ao final do processo de gerenciamento de riscos, os riscos “ALTOS” e

críticos que afetem diretamente os objetivos estratégicos, devem ser comunicados pelo
Gestor da Unidade ao Comitê de Gestão de Riscos e Controle Interno, que irá avaliar e
encaminhar à Alta Gestão para que sejam tomadas as devidas providências.

OBSERVAÇÃO 2: Os riscos “ALTOS” e críticos, que impactem nos objetivos estratégicos,

considerados relevantes pela Alta Gestão, podem ser encaminhados ao Comitê de Riscos
através de relatório específico com as devidas justificativas. O Comitê de Riscos após análise
poderá incluir no planejamento de trabalho da Auditoria Interna (3ª linha de defesa), os riscos
altos e críticos apontados no relatório da Alta Gestão, com a finalidade de verificar se os
pontos e ações de controle definidos estão adequados, procedendo com os devidos testes
de auditoria específicos.

7 – CONTROLE DO PRODUTO E DOS PROCESSOS PRODUTIVOS

7.1 – Objetivo:

Assegurar que os processos produtivos e de controle são aptos a garantir a conformidade

do produto.
7.2 – Requisitos:

7.2.1 - Documentação Técnica de Produto e Processo

1) Deve ser estabelecida sistemática de indicação das características críticas na
documentação técnica do produto (desenhos, normas e outros, incluindo desenhos
tecnológicos), de forma a explicitar devidamente a presença de tais características.
Especificamente para os desenhos, estas indicações devem estar presentes na legenda, no
corpo do desenho e ao lado de cada característica assim classificada.
2) A documentação técnica de processo (Instruções de Trabalho, Fluxogramas, Fichas de
Parâmetro, Planos de Controle, Layout etc.) deve conter a indicação das características
especiais de forma clara, pela aposição de simbologia específica na primeira página e junto
à descrição da característica. Esta indicação deve ser desdobrada nas fases intermediárias
dos processos que afetam direta ou indiretamente tais características.
3) Os registros da qualidade envolvendo características críticas devem possuir a mesma
indicação prevista no requisito 2 acima.
Nota: a Organização pode utilizar simbologia própria para as indicações previstas nos
requisitos acima.

7.2.2 – Garantia da Conformidade das Características Críticas

1) Características classificadas como “Criticas” devem ser controladas de forma a
assegurar 100% de sua conformidade e rastreabilidade. Para características classificadas
como “Criticas”, a conformidade deve ser garantida mediante o uso mandatório das
seguintes modalidades de controle da qualidade:
 Dispositivos à Prova de Erro – DAPE;
 Inspeção totalmente automática ou inspeção automática mista;
 Inspeção manual ou visual 100%.

2) Características “Criticas” não controláveis no produto ou que exigem testes destrutivos

(exemplos: espessura de camada, dureza de núcleo, resistência à tração etc.) devem ter sua
conformidade garantida via controle dos parâmetros de processo determinantes destas
características (temperatura, tempo, pressão, velocidade etc.) com monitoramento contínuo
e autorregulagem dos parâmetros ou alarmes efetivos na ocorrência de desvios.

7.2.3 – Capacidade Produtiva

1) A Organização deve gerenciar a capacidade de seus sistemas produtivos, mediante a
determinação e o monitoramento sistemático do O.E.E. (Overall Equipment Effectiveness –
Eficiência Global dos Equipamentos).
2) Deve ser estabelecido um ranqueamento, pelos resultados de O.E.E., de todos os
sistemas produtivos da Organização e elaborados planos de melhoria para aqueles com pior
classificação objetivando um ganho neste indicador.

8 – GESTÃO DE RISCOS EM MUDANÇA DE PRODUTO E PROCESSO PRODUTIVO

8.1 – Objetivo:

Prevenir a materialização de riscos motivados por mudanças de produto e/ou de processo

produtivo de iniciativa da Organização.

8.2 – Requisitos:

8.2.1 – Processo de Gestão de Mudança

1) A Organização deve definir e implementar um processo de gestão de mudanças em
produto e processo produtivo integrado com o processo de Gestão de Riscos e que assegure
o cumprimento dos requisitos fundamentais do Cliente, especialmente:

 Identificar necessidades de mudanças de produto e processo produtivo;

 Identificar, analisar e avaliar eventuais riscos correlatos;
 Comunicar e obter concordância do Cliente para a mudança pretendida;
 Realizar as atividades de validação da mudança, incluindo aprovação do Cliente;
 Efetivar a mudança, assegurando a rastreabilidade.

2) O processo de gestão de mudanças deve cobrir as seguintes situações:

 Mudança do produto, incluindo componentes e materiais;
 Mudança de matérias-primas e/ou suas fontes;
 Mudança de Fornecedor e subfornecedor;
 Mudança de processo produtivo, incluindo layout, localização, instalações,
equipamentos, ferramentais, meios de controle, sistemas de embalagem e armazenamento;
 Mudança de plano de controle;
 Outras mudanças que possam trazer riscos ao produto.

8.2.2 – Processo de Submissão de Mudança

1) O processo de gestão de mudanças deve utilizar o formulário “Solicitação de Mudança”
para efetuar as análises prévias das mudanças pretendidas.
2) Este documento, validado internamente pelo Comitê de Riscos da Organização, deve ser
comunicado e submetido ao Cliente (quando necessário) para obtenção de concordância,
com antecedência mínima de 90 (noventa) dias da data pretendida para implementação.
3) A Organização deve aguardar a concordância prévia do Cliente para prosseguir com as
atividades de mudanças e sua aprovação formal, de acordo com os processos existentes
para a implementação.
A figura abaixo apresenta o fluxo para gestão de mudança de produto e/ou processo
produtivo, sob a ótica da Gestão de Riscos.
 Figura 12 - Fluxo de Gestão de Mudança

9 – GESTÃO DA RASTREABILIDADE E CONTROLE DE REGISTROS

9.1 – Objetivo:
Os requisitos para registros e rastreabilidade permitem, face a uma falha (ou suspeita de
falha) do produto, a análise retroativa das condições nas quais o produto foi produzido, a
pesquisa das causas da falha, a extensão da falha (quantidade e lotes de produtos
envolvidos) propiciando, assim, informações para a definição das ações para corrigir as
causas e prevenir a repetição da falha bem como mitigar os seus efeitos, no sentido de
corrigir os produtos já produzidos (em estoque, entregues ao cliente e, eventualmente, de
posse dos usuários finais).

9.2 – Requisitos:

9.2.1 – Gestão da Rastreabilidade

1) A Organização deve definir um processo de gestão da rastreabilidade que assegure a
identificação individual de cada produto, de forma apta a permitir a rastreabilidade reversa
das condições nas quais o produto foi produzido, controlado e destinado bem como o lote
homogêneo de produção ao qual ele pertence. Estas identificações devem ater-se às
especificações do desenho e ser duráveis e indeléveis durante o período de garantia do
produto.
2) Os lotes de produtos devem possuir identificação em cada embalagem individual, durável
e indelével pelo período de utilização (compreendidos o transporte e armazenamento) e apta
a permitir a rastreabilidade reversa das condições nas quais o lote foi produzido, controlado
e destinado, bem como a identificação do lote homogêneo de produção ao qual ele pertence.
3) Os fatores definidores de homogeneidade de lote (corrida de matéria prima, batelada,
componente determinante, operação etc.) devem ser definidos para cada produto / família
de produto e/ou processo operacional, permitindo o planejamento adequado do sistema de
identificação e rastreabilidade.
4) O sistema de produção (incluindo o controle da qualidade, manuseio, transporte e
armazenamento) deve ser planejado para delimitar os lotes homogêneos de produção e a
sua correlação com a identificação dos produtos/embalagens, permitindo a correta
rastreabilidade no decorrer dos processos operacionais, nos processos de utilização no
cliente e nos processos pós-venda (produtos de reposição e assistência técnica).
5) A rastreabilidade deve assegurar, também, que os materiais (matéria prima, componentes,
produtos semielaborados e acabados etc.) sejam identificados ao longo dos processos
operacionais de forma clara e inequívoca, com indicação precisa da etapa do processo na
qual se encontram, das operações realizadas e aquelas a realizar, assim como a vinculação
aos seus lotes de origem.
6) O início de produção de um produto e a introdução de modificações do produto, processo,
plano de controle e fontes de insumos devem ser objeto de rastreabilidade clara e
inequívoca, mediante o estabelecimento dos respectivos breakpoints.
7) Os requisitos de identificação e rastreabilidade devem ser estendidos para produtos,
materiais e serviços provenientes dos Fornecedores.

9.2.2 – Controle de Registros

1) Os registros da qualidade devem ser controlados. São considerados registros da
qualidade:
 Documentação de análise crítica para preparação de oferta técnico comercial;
 Documentação gerada no processo de desenvolvimento, validação e aprovação do
produto, incluindo Fornecedores;
 Documentação de processo produtivo e plano de controle, inclusive as versões
obsoletas;
 Resultados de monitoramento de parâmetros de processos produtivos;
 Registros de confirmação da realização de atividades mandatórias para a garantia da
qualidade e conformidade do produto (setup, inspeções de produto, auditoria de produto,
auditoria de processo, calibração de meios de medição, manutenções periódicas, análises
críticas mensais da alta direção etc.);
 Registros de tratamento de não-conformidades de processos e produto.

2) Os registros acima devem ser arquivados e preservados contra deterioração ou perda por
fenômenos naturais como inundação, incêndio ou pela ação do tempo, pelo tempo mínimo
previsto e devem apresentar facilidade de acesso e consulta sempre que necessário.
3) Os registros da qualidade devem ser compatíveis e possuir vinculação com o sistema de
rastreabilidade adotado para os produtos

10 – GESTÃO DE RISCO DOS FORNECEDORES

10.1 – Objetivo:
Estender, quando aplicável, os requisitos do presente manual aos Fornecedores da
Organização e sistematizar um processo de gestão de riscos para a cadeia de Fornecedores
de material direto e prestadores de serviços, com critérios para definição de prioridades. A
figura abaixo demonstra esta lógica.

10.2 – Requisitos:

10.2.1 – Estrutura para Gestão de Riscos de Fornecedores

1) A Organização deve definir uma estrutura de Engenharia de Qualidade Fornecedores (ou
similar) com dimensionamento quantitativo e qualitativo do quadro de profissionais adequado
à dimensão e complexidade da cadeia de Fornecedores e com o propósito de estender a
aplicação dos requisitos deste manual aos Fornecedores.

2) Os Fornecedores da Organização devem ser selecionados e qualificados de acordo com

critérios objetivos que considerem, também, os riscos relacionados a:
 Localização geográfica;
 Grau de dependência dos principais clientes;
 Saúde financeira;
 Estágio de evolução do Sistema de Gestão da Qualidade;
 Tipo de produto;
 Know-How do Fornecedor em desenvolvimento de produto / processo;
 Capabilidade e controle dos processos de manufatura;
 Recursos para conservação dos meios de produção;
 Capacidade produtiva instalada;
 Histórico de desempenho de qualidade;
 Histórico de desempenho de logística.

10.2.2 – Identificação, Análise e Avaliação dos Riscos dos Fornecedores

1) O processo de Gestão de Riscos de Fornecedores deve prever a elaboração e
atualização sistemática de uma Matriz de Riscos de Fornecedores conforme Anexo “D”
deste manual, que considere fatores relacionados ao Fornecedor, ao produto, aos
respectivos processos produtivos e desempenho (ver requisito 2 acima).
Esta matriz deve permitir:
 A avaliação e classificação objetiva dos riscos identificados e analisados;
 A priorização dos riscos para proporcionar o seu tratamento (prevenção e/ou
mitigação).
Nota: Esta matriz deve ser relacionada com a Matriz de Riscos de Produto descrita na seção

10.2.3 - Priorização dos Riscos dos Fornecedores

Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme ANEXO
“B” – FS-QUAL-009 Matriz mapeamento de risco Fornecedores

10.2.4 – Tratamento e Monitoramento dos Riscos dos Fornecedores

1) O tratamento dos riscos relacionados a Fornecedores deve ser realizado de forma

planejada e conforme rotina estabelecida pelo Comitê de Riscos e pelo RRP, considerando:

 A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação

de seus efeitos, caso se concretizem;
 A implementação das ações definidas;
 O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores
de desempenho relacionados com os riscos;
 A análise crítica dos resultados obtidos;
 A proposição de ações de reforço ou melhorias aplicáveis;
 As ações acima devem considerar, dentre outras:
- A adoção de plano de controle de qualidade;
- A inserção do Fornecedor em um programa de desenvolvimento monitorado pela
Organização;
- O desenvolvimento de fonte alternativa para substituição do Fornecedor.

Nota: O fluxo do tratamento de riscos identificados, classificados e priorizados na Matriz de

Riscos de Fornecedores é o mesmo apresentado na figura 15 da seção 6.4.

2) Os Fornecedores com indicadores de risco e indicadores de desempenho identificados

como “ALTO” devem ser monitorados sistematicamente, com acompanhamento pelo
Comitê de Riscos.

3) Eventuais alterações e/ou tendências negativas identificadas nestes indicadores devem

ser reportadas imediatamente aos respectivos responsáveis e ser incluídas nas reuniões
diárias do Processo de Resposta Rápida (Fast Response).

10.2.5 – Orientações

Os exemplos abaixo podem resumir estratégias e ações para promover o

desenvolvimento de Fornecedores em função de sua classificação de riscos:

 Elevação da frequência de auditorias de produto /processo em Fornecedores;

 Promover treinamentos em ferramentas da qualidade para os Fornecedores;

 Realização de workshops e encontros de Fornecedores para apresentação de estratégias

de atuação e objetivos;

 Promover a difusão de melhores práticas entre os Fornecedores;

 Estabelecer programa para desenvolvimento de Fornecedores, considerando a

transferência de metodologias aplicadas pela Organização.

11 – GESTÃO DO CONHECIMENTO E COMPETÊNCIA

11.1 – Objetivo
 Os requisitos seguintes apresentam como desenvolver um processo de gestão do
conhecimento organizacional considerando os conhecimentos que são fundamentais para o
sucesso do negócio e para o gerenciamento da cadeia de fornecimento, além de definir
corretamente as necessidades de conscientização e treinamento.

11.2 – Requisitos

Os requisitos seguintes apresentam como desenvolver um processo de gestão do

conhecimento.

11.2.1 – Identificação das Necessidades de Conhecimento

1) A Organização deve identificar os conhecimentos necessários para o seu bom
desempenho organizacional e para a minimização dos riscos relacionados aos seus
processos e produtos, especialmente os riscos relacionados aos produtos de segurança e/ou
com vínculos legislativos, além dos riscos de Fornecedores.
Esta identificação deve ser coerente com o mapeamento de processos e com a Matriz
de Riscos de Produto e a Matriz de Riscos de Fornecedores e deve incluir, também, os
conhecimentos necessários para os profissionais diretamente envolvidos nos processos
técnico-operacionais relacionados com características de segurança e/ou com vínculos
legislativos, seja no tocante à realização de suas tarefas quanto sobre as consequências de
uma eventual não conformidade de produto ou falhas de rastreabilidade.
2) O conhecimento relacionado ao conteúdo do presente manual é mandatório para os
membros do Comitê de Riscos (RRP incluído) e recomendável para os demais gestores da
Organização.

11.2.2 – Avaliação dos Conhecimentos Identificados

1) A Organização deve analisar criticamente os conhecimentos identificados para definir
prioridades e permitir o planejamento das atividades de disponibilização, multiplicação,
retenção e atualização destes conhecimentos.

11.2.3 – Disponibilização do Conhecimento

1) A Organização deve definir as ações necessárias para a disponibilização dos
conhecimentos organizacionais considerados críticos e prioritários.
2) A disponibilização deve considerar mecanismos institucionais como normas e manuais
internos, procedimentos, instruções de trabalho e outros documentos similares que
compõem o seu capital intelectual.

11.2.4 – Multiplicação, Retenção e Atualização do Conhecimento

1) A Organização deve definir as ações necessárias para a multiplicação e retenção dos
conhecimentos organizacionais considerados como críticos para o seu processo de gestão
de riscos, visando à continuidade e aperfeiçoamento desta gestão.
Nota: A retenção de um conhecimento pode ocorrer pela sua multiplicação por uma
quantidade mínima de pessoas, pela sua absorção em documentos da Organização, pelo
seu uso ininterrupto e por atividades internas de capacitação, dentre outras maneiras.
2) A Organização deve estabelecer ações para verificar e prover a atualização dos
conhecimentos organizacionais considerados como críticos para o seu processo de gestão
de riscos.

12 – ANEXOS

Anexo A – FS-QUAL-008 Avaliação do Sistema de Gestão de Riscos

Anexo B – FS-QUAL-009 Matriz mapeamento de risco Linha-Produto
Anexo C – Pasta com planilhas Matriz de Riscos de Produto e Matriz de Riscos de
Fornecedores

ANEXO “A” - Avaliação da Gestão de Riscos

ANEXO “B” – FS-QUAL-009 Matriz mapeamento de risco Linha-Produto
ANEXO “B” – FS-QUAL-009 Matriz mapeamento de risco Fornecedores