Escolar Documentos
Profissional Documentos
Cultura Documentos
1. INTRODUÇÃO
Os riscos e incertezas são inerentes a quase todas as atividades realizadas por indivíduos ou
organizações. Portanto, faz-se imprescindível que toda e qualquer atividade seja previamente
planejada, os riscos que a envolve sejam mapeados e preferencialmente, mitigados.
A gestão de riscos tem a função de assegurar que a empresa atinja seus objetivos, além de ser
uma importante ferramenta para ajudar na tomada de decisões e na redução ou na eliminação de
retrabalhos.
Este documento é para o uso das pessoas que criam e protegem os valores da organização,
gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o
desempenho.
Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos
que tornam incerto se elas alcançarão seus objetivos.
Gerenciar riscos é:
Iterativo e auxilia a empresa no estabelecimento de estratégias, no alcance de objetivos e na
tomada de decisões fundamentadas.
Parte da governança e liderança, e é fundamental para a maneira como a organização é
gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão.
Parte de todas as atividades realizadas pela empresa e inclui a interação com as partes
interessadas.
Considerar os contextos externo e interno da organização, incluindo o comportamento
humano e os fatores culturais.
Baseia-se nos princípios, estrutura e processos delineados neste documento, como ilustrado na
Figura 1.
Figura 1 - princípios, estrutura e processos
1.1 Escopo
I – Assegurar que os responsáveis pela tomada de decisões, em todos os níveis, tenham acesso as
informações suficientes quanto aos riscos aos quais está exposta a organização;
II – Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis
aceitáveis;
III – Agregar valor à empresa por meio da melhoria dos processos de tomada de decisão e do
tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
Este Manual sofrerá revisões, sempre que alterações significativas no Sistema forem
executadas e quando mudanças na estrutura organizacional da empresa venham afetar o sistema de
trabalho. O controle, revisão e distribuição do Manual seguem a mesma abordagem conceitual
prevista no procedimento de controle de documentos. Em casos eventuais, sendo necessárias, cópias
não controladas poderão ser emitidas.
2 REFERÊNCIAS NORMATIVAS
3 TERMOS E DEFINIÇÕES
Nota: 1. Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e
pode abordar, criar ou resultar em oportunidades e ameaças; 2. Objetivos podem possuir diferentes
aspectos e categorias, e podem ser aplicados em diferentes níveis. Risco é normalmente expresso em
termos de fontes de risco (3.4), eventos (3.5) potenciais, suas consequências (3.6) e suas
probabilidades (3.7).
Gestão de riscos: Atividades coordenadas para dirigir e controlar uma organização no que se
refere a riscos (3.1).
Parte interessada: Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada
por uma decisão ou atividade.
Nota: 1. O termo “parte interessada” pode ser utilizado como alternativa a “stakeholder”.
Fonte de risco: Elemento que, individualmente ou combinado, tem o potencial para dar
origem ao risco (3.1).
Evento: ocorrência ou mudança em um conjunto específico de circunstâncias.
Nota: 1. Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e várias
consequências (3.6); 2. Um evento pode também ser algo que é esperado, mas não acontece, ou algo
que não é esperado, mas acontece; 3. Um evento pode ser uma fonte de risco.
Consequência: resultado de um evento (3.5) que afeta os objetivos.
Nota: 1. Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos,
diretos ou indiretos, nos objetivos; 2. As consequências podem ser expressas qualitativa ou
quantitativamente; 3. Qualquer consequência pode escalar por meio de efeitos cascata e
cumulativos.
Probabilidade: chance de algo acontecer.
Nota: 1. Na terminologia de gestão de riscos (3.2), a palavra “probabilidade” é utilizada para
referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, ainda
que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos
gerais ou matemáticos (como probabilidade ou frequência durante um determinado período).
Controle: medida que mantém e/ou modifica o risco (3.1).
Nota: 1. Controles incluem, mas não estão limitados a qualquer processo, política, dispositivo,
prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco; 2. Controles podem
nem sempre exercer o efeito modificador pretendido ou presumido.
4 PRINCÍPIOS
A Gestão de Riscos é
gerida de forma integrada. A
política de Gestão de Riscos define competências específicas sobre o gerenciamento de riscos para a
estrutura de governança.
5.3.1 Direção
a) Definir e atualizar as estratégias de implementação da Gestão de Riscos, considerando os
contextos externo e interno;
b) Definir os níveis de exposição à riscos, independentemente de sua capacidade de suportar o
seu impacto (tolerância à riscos) nos processos organizacionais;
c) Definir os responsáveis pelo gerenciamento de riscos dos processos organizacionais;
d) Definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos para cada
um dos processos organizacionais;
e) Aprovar as respostas e as respectivas medidas de controle a serem implementadas nos
processos organizacionais;
f) Aprovar a Metodologia de Gestão de Riscos e suas revisões;
g) Aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao
processo de gerenciamento de riscos;
h) Monitorar a evolução de níveis de riscos e a efetividade das medidas de controle
implementadas;
i) Avaliar o desempenho da estrutura de Gestão de Riscos e fortalecer a aderência dos processos
à conformidade normativa;
j) Garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus
recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos
colaboradores;
k) Garantir o alinhamento da gestão de riscos aos padrões de ética e de conduta;
l) Supervisionar a atuação das demais instâncias da Gestão de Riscos.
Dessa forma, a base para o gerenciamento de riscos da gestão são os processos de trabalho. O
procedimento adequado é verificar quais os processos devem ser priorizados e posteriormente
mapeá-los, após essa priorização a metodologia pode ser aplicada.
A metodologia é composta por cinco etapas,
conforme ilustrado ao lado:
Há diversas técnicas que podem ser utilizadas nesta etapa. O objetivo é identificar e analisar
os possíveis caminhos de um evento de risco, dado que um problema pode estar relacionado a
diversas causas e consequências. Portanto, identifica-se o problema e em seguida suas possíveis
causas e consequências.
Para finalizar, identifique as formas de prevenir a ocorrência do risco e as formas de mitigar
as consequências caso o risco se materialize.
6.3 – Avaliação de Eventos de Riscos e Controle
Esta etapa tem por finalidade avaliar os eventos de riscos identificados considerando os seus
componentes (causas e consequências). Os eventos devem ser avaliados sob a perspectiva de
PROBABILIDADE e IMPACTO, e o resultado dessas duas variáveis será o que chamamos de
ÍNDICE DE RISCO GERAL (IRG). As causas se relacionam à probabilidade de o evento ocorrer e
as consequências ao impacto, caso o evento se materialize.
Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme tabela abaixo:
6.4 – Respostas aos Riscos
O tratamento dos riscos deve ser realizado de forma planejada e conforme rotina estabelecida
pelo Comitê de Riscos e pelo RRP, considerando:
A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação de seus
efeitos, caso se concretizem;
A implementação das ações definidas;
O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores de
desempenho relacionados com os riscos;
A análise crítica dos resultados obtidos;
A proposição de ações de reforço ou melhorias aplicáveis.
O tratamento de riscos deve ser realizado em reuniões de trabalho ou, conforme o caso, pelo
próprio RRP e Proprietário do Risco, com a participação de pessoas que conheçam bem o objeto de
gestão de riscos.
Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento
para esse risco. Essas medidas devem ser capazes de diminuir os níveis de probabilidade e/ou de
impacto do risco a um nível dentro ou mais próximo possível da classificação (risco “BAIXO” ou
“MÉDIO”).
Para isso deve ser elaborado um Plano de Ações de risco do processo ou produto. As medidas
mitigadoras podem envolver, por exemplo:
A adoção de controles;
O redesenho de processos;
A realocação de pessoas;
A realização de ações de capacitação;
O desenvolvimento ou aperfeiçoamento de soluções de TI;
A adequação da estrutura organizacional, entre outros.
A evolução do nível dos riscos que não mereceram tratamento (risco “BAIXO”) será acompanhada
pelo RRP (Gestor do Risco) e Proprietário do Risco.
As ações que não forem efetivadas devem estar justificadas no Relatório do Plano de Tratamento
elaborado pelos Gestores e Proprietários do Risco.
O Relatório será informado a Alta Gestão através do Comitê de Riscos, e ficarão a cargo da Alta
Gestão as cobranças das ações não efetivadas.
7.1 – Objetivo:
Assegurar que os processos produtivos e de controle são aptos a garantir a conformidade do produto.
7.2 – Requisitos:
8.1 – Objetivo:
Prevenir a materialização de riscos motivados por mudanças de produto e/ou de processo produtivo
de iniciativa da Organização.
8.2 – Requisitos:
9.1 – Objetivo:
Os requisitos para registros e rastreabilidade permitem, face a uma falha (ou suspeita de falha) do
produto, a análise retroativa das condições nas quais o produto foi produzido, a pesquisa das causas
da falha, a extensão da falha (quantidade e lotes de produtos envolvidos) propiciando, assim,
informações para a definição das ações para corrigir as causas e prevenir a repetição da falha bem
como mitigar os seus efeitos, no sentido de corrigir os produtos já produzidos (em estoque, entregues
ao cliente e, eventualmente, de posse dos usuários finais).
9.2 – Requisitos:
10.1 – Objetivo:
10.2 – Requisitos:
Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme ANEXO “B” – FS-
QUAL-009 Matriz mapeamento de risco Fornecedores
A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação de seus
efeitos, caso se concretizem;
A implementação das ações definidas;
O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores de
desempenho relacionados com os riscos;
A análise crítica dos resultados obtidos;
A proposição de ações de reforço ou melhorias aplicáveis;
As ações acima devem considerar, dentre outras:
- A adoção de plano de controle de qualidade;
- A inserção do Fornecedor em um programa de desenvolvimento monitorado pela Organização;
- O desenvolvimento de fonte alternativa para substituição do Fornecedor.
3) Eventuais alterações e/ou tendências negativas identificadas nestes indicadores devem ser
reportadas imediatamente aos respectivos responsáveis e ser incluídas nas reuniões diárias do
Processo de Resposta Rápida (Fast Response).
10.2.5 – Orientações
11.1 – Objetivo
11.2 – Requisitos