4.

MANUAL DE GESTÃO DE RISCOS SCHIOPPA RODAS E

RODÍZIOS

1. INTRODUÇÃO

Os riscos e incertezas são inerentes a quase todas as atividades realizadas por indivíduos ou
organizações. Portanto, faz-se imprescindível que toda e qualquer atividade seja previamente
planejada, os riscos que a envolve sejam mapeados e preferencialmente, mitigados.
A gestão de riscos tem a função de assegurar que a empresa atinja seus objetivos, além de ser
uma importante ferramenta para ajudar na tomada de decisões e na redução ou na eliminação de
retrabalhos.
Este documento é para o uso das pessoas que criam e protegem os valores da organização,
gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o
desempenho.
Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos
que tornam incerto se elas alcançarão seus objetivos.
Gerenciar riscos é:
 Iterativo e auxilia a empresa no estabelecimento de estratégias, no alcance de objetivos e na
tomada de decisões fundamentadas.
 Parte da governança e liderança, e é fundamental para a maneira como a organização é
gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão.
 Parte de todas as atividades realizadas pela empresa e inclui a interação com as partes
interessadas.
 Considerar os contextos externo e interno da organização, incluindo o comportamento
humano e os fatores culturais.
 Baseia-se nos princípios, estrutura e processos delineados neste documento, como ilustrado na
Figura 1.
 Figura 1 - princípios, estrutura e processos

1.1 Escopo

I – Assegurar que os responsáveis pela tomada de decisões, em todos os níveis, tenham acesso as
informações suficientes quanto aos riscos aos quais está exposta a organização;
II – Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis
aceitáveis;
III – Agregar valor à empresa por meio da melhoria dos processos de tomada de decisão e do
tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

1.2 Estrutura do Manual de Gestão de Risco

A responsabilidade pela elaboração, edição e controle da distribuição é do Coordenador do

Sistema de Gestão da Qualidade. Este manual está estruturado em capítulos que estabelecem a forma
pela qual as diversas atividades que compõem o Sistema de Gestão de Riscos são aplicadas, bem
como as principais atribuições e responsabilidades. Este Manual apresenta todos os documentos que
apoiam e complementam as definições aplicáveis ao Sistema de Gestão de Riscos.

1.3 Controle e Revisão do Manual

Este Manual sofrerá revisões, sempre que alterações significativas no Sistema forem
executadas e quando mudanças na estrutura organizacional da empresa venham afetar o sistema de
trabalho. O controle, revisão e distribuição do Manual seguem a mesma abordagem conceitual
prevista no procedimento de controle de documentos. Em casos eventuais, sendo necessárias, cópias
não controladas poderão ser emitidas.

2 REFERÊNCIAS NORMATIVAS

 Manual de Gestão de Riscos para Fornecedores FCA, 3ª edição de 30/05/2020;

 ABNT NBR ISO 31000:2018 Gestão de riscos – Diretrizes;
 ABNT ISO/TR 31004:2015 Gestão de riscos — Guia para implementação da ABNT NBR
ISO 31000;
 ABNT NBR ISO/IEC 31010:2012 Gestão de riscos — Técnicas para o processo de avaliação
de riscos.

3 TERMOS E DEFINIÇÕES

Para os efeitos deste documento, aplicam-se os seguintes termos e definições:

Risco: efeito da incerteza nos objetivos.

Nota: 1. Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e
pode abordar, criar ou resultar em oportunidades e ameaças; 2. Objetivos podem possuir diferentes
aspectos e categorias, e podem ser aplicados em diferentes níveis. Risco é normalmente expresso em
termos de fontes de risco (3.4), eventos (3.5) potenciais, suas consequências (3.6) e suas
probabilidades (3.7).

Gestão de riscos: Atividades coordenadas para dirigir e controlar uma organização no que se
refere a riscos (3.1).
Parte interessada: Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada
por uma decisão ou atividade.
Nota: 1. O termo “parte interessada” pode ser utilizado como alternativa a “stakeholder”.
Fonte de risco: Elemento que, individualmente ou combinado, tem o potencial para dar
origem ao risco (3.1).
Evento: ocorrência ou mudança em um conjunto específico de circunstâncias.
Nota: 1. Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e várias
consequências (3.6); 2. Um evento pode também ser algo que é esperado, mas não acontece, ou algo
que não é esperado, mas acontece; 3. Um evento pode ser uma fonte de risco.
Consequência: resultado de um evento (3.5) que afeta os objetivos.
Nota: 1. Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos,
diretos ou indiretos, nos objetivos; 2. As consequências podem ser expressas qualitativa ou
quantitativamente; 3. Qualquer consequência pode escalar por meio de efeitos cascata e
cumulativos.
Probabilidade: chance de algo acontecer.
Nota: 1. Na terminologia de gestão de riscos (3.2), a palavra “probabilidade” é utilizada para
referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, ainda
que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos
gerais ou matemáticos (como probabilidade ou frequência durante um determinado período).
Controle: medida que mantém e/ou modifica o risco (3.1).
Nota: 1. Controles incluem, mas não estão limitados a qualquer processo, política, dispositivo,
prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco; 2. Controles podem
nem sempre exercer o efeito modificador pretendido ou presumido.

4 PRINCÍPIOS

I - Gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

II - Estabelecimento de níveis de exposição a riscos adequados;
III - Estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a
relação custo-benefício, e destinados a agregar
valor à organização;
IV - Utilização do mapeamento de riscos para
apoio à tomada de decisão e à elaboração do
planejamento estratégico;
V - Utilização da gestão de riscos para apoio à
melhoria contínua dos processos organizacionais.
 A gestão de riscos eficaz requer os elementos da Figura ao lado e pode ser explicada como a
seguir:
a) Integrada: A gestão de riscos é parte integrante de todas as atividades existentes na
organização
b) Estruturada e abrangente: Uma abordagem estruturada e abrangente para a gestão de riscos
contribui para resultados consistentes e comparáveis.
c) Personalizada: A estrutura e o processo de gestão de riscos são personalizados e
proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos.
d) Inclusiva: O envolvimento apropriado e oportuno das partes interessadas possibilita que seus
conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor
conscientização e gestão de riscos fundamentada.
e) Dinâmica: Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e
interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a
estas mudanças e eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível: As entradas para a gestão de riscos são baseadas em
informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente
leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas.
Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes.
g) Fatores humanos e culturais: O comportamento humano e a cultura influenciam
significativamente todos os aspectos da gestão de riscos em cada nível e estágio.

5 REQUISITOS PARA GESTÃO DE RISCOS

5.1 Estrutura e objeto organizacional de Gestão de Riscos

Definir uma estrutura que assegure a implementação, execução e melhoramento contínuo do

processo de gestão de riscos, mediante o seu monitoramento e a análise crítica dos resultados obtidos
e, também, definir a atuação do Responsável pelo Risco do Produto (RRP).

5.2 Instâncias de Supervisão, Competências e Linhas de Defesa

A Gestão de Riscos é
gerida de forma integrada. A
política de Gestão de Riscos define competências específicas sobre o gerenciamento de riscos para a
estrutura de governança.

A Gestão de Riscos da Schioppa está estruturada conforme o organograma a seguir:

5.3 Responsabilidades e Competências

5.3.1 Direção
a) Definir e atualizar as estratégias de implementação da Gestão de Riscos, considerando os
contextos externo e interno;
b) Definir os níveis de exposição à riscos, independentemente de sua capacidade de suportar o
seu impacto (tolerância à riscos) nos processos organizacionais;
c) Definir os responsáveis pelo gerenciamento de riscos dos processos organizacionais;
d) Definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos para cada
um dos processos organizacionais;
e) Aprovar as respostas e as respectivas medidas de controle a serem implementadas nos
processos organizacionais;
f) Aprovar a Metodologia de Gestão de Riscos e suas revisões;
g) Aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao
processo de gerenciamento de riscos;
h) Monitorar a evolução de níveis de riscos e a efetividade das medidas de controle
implementadas;
i) Avaliar o desempenho da estrutura de Gestão de Riscos e fortalecer a aderência dos processos
à conformidade normativa;
j) Garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus
recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos
colaboradores;
k) Garantir o alinhamento da gestão de riscos aos padrões de ética e de conduta;
l) Supervisionar a atuação das demais instâncias da Gestão de Riscos.

5.3.2 Comitê de Riscos

a) Auxiliar a Direção na definição e nas atualizações da estratégia de implementação da Gestão
de Riscos, considerando os contextos externo e interno;
b) Auxiliar na definição dos níveis de exposição a riscos dos processos e produtos;
c) Auxiliar na definição dos responsáveis pelo gerenciamento de riscos dos processos e
produtos;
d) Auxiliar na definição da periodicidade máxima do ciclo do processo de gerenciamento de
riscos para cada um dos processos e produtos;
e) Auxiliar na aprovação das respostas e das respectivas medidas de controle a serem
implementadas nos processos e produtos;
f) Implementar as ações para o pleno atendimento dos requisitos do presente manual,
assegurando a gestão de riscos do produto desde o início do processo de desenvolvimento até o fim
de sua vida;
g) Assegurar que os processos de cotações, análise de viabilidade, planejamento da qualidade
incluindo análises de modificações de produto e processo, considerem os fatores de risco do produto;
h) Garantir que, no processo de desenvolvimento de produto, as características críticas do
produto e do processo de manufatura sejam identificadas e devidamente tratadas quanto à garantia de
sua conformidade.
i) Avaliar sistematicamente os resultados e tendências dos indicadores de performance do
produto e dos processos produtivos (O.E.E.), identificando potenciais riscos do produto.
j) Monitorar, identificar e gerenciar eventos relacionados com riscos do produto mantendo a alta
direção da Organização informada e, quando aplicável, a Fornecedores.
k) Interromper a produção e o fornecimento de produtos em situações nas quais se verifiquem
riscos do produto, atuando de forma rápida e eficaz para a completa normalização destas situações;
l) Promover a difusão interna e nos níveis apropriados, do pleno conhecimento e ciência das
responsabilidades cível e criminal relacionadas com eventuais falhas dos produtos da Organização,
das consequências advindas de campanhas de saneamento do parque circulante (Recall Campaign) e
da necessidade de fundos econômicos para suportar estas atividades (seguro, fundo de reserva etc.).
m) Garantir a abrangência dos requisitos deste manual a todas as unidades de sua Organização
onde produtos destinados a comercialização sejam projetados, desenvolvidos e manufaturados.

5.3.3 Responsável pelo Risco do Produto (RRP)

a) Dar suporte na identificação, análise e avaliação dos riscos dos processos e produtos
selecionados para a implementação da Gestão de Riscos;
b) Propor respostas e respectivas medidas de controle a serem implementadas nos processos e
produtos;
c) Monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles
implementadas nos processos e produtos;
d) Informar a Direção sobre mudanças significativas nos processos e produtos;
e) Responder às requisições do Comitê de Riscos;
f) Disponibilizar as informações adequadas quanto à gestão dos riscos dos processos e produtos
a todos os níveis e demais partes interessadas.
g) Consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los para
Direção;
h) Propor capacitação continuada em Gestão de Riscos para os colaboradores, com o apoio da
Direção e do Comitê de Riscos;
i) Medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;
j) Requisitar aos responsáveis pelo gerenciamento de riscos dos processos organizacionais as
informações necessárias para a consolidação dos dados e a elaboração dos relatórios gerenciais.

5.3.4 Liderança, Profissionais e Equipe

a) Contribuir nas atividades de identificação e avaliação dos riscos inerentes aos processos de
sua responsabilidade;
b) Comunicar riscos inerentes aos seus processos, não mapeados anteriormente;
c) Apoiar os gestores na definição dos planos de ação necessários para tratamento dos riscos;
d) Aplicar medidas de mitigação necessárias;
e) Monitoramento da evolução dos níveis de riscos e da efetividade das medidas de controles
implementadas nos processos organizacionais em que estiverem envolvidos ou que tiverem
conhecimento;
f) Monitorar, no respectivo âmbito, os riscos mapeados.

5.4 Linhas de Defesa

Um dos fatores críticos de sucesso na implantação da Gestão de Riscos é a definição da

estrutura de lideranças, com suas alçadas, competências e segregação de funções. A figura abaixo
apresenta as principais instâncias, que se configuram como linhas (ou camadas) de defesa:

1ª – PRIMEIRA LINHA DE DEFESA:

É a gestão operacional, sendo a liderança e colaboradores por manter os controles internos
eficazes e por conduzir suas atividades conforme procedimentos de riscos e controles diariamente.
Faz parte de suas atribuições identificar e comunicar, controlar e mitigar os riscos, guiando o
desenvolvimento e a implementação de políticas e procedimentos sistêmicos para garantir que as
atividades estejam de acordo com as metas e objetivos.

2ª – SEGUNDA LINHA DE DEFESA:

São as funções específicas de gerenciamento de riscos e conformidade, facilita e monitora a
implementação de práticas eficazes de gerenciamento de riscos por parte do Comitê e Gestor do
Riscos.

3ª – TERCEIRA LINHA DE DEFESA:

 É a Auditoria Interna, onde os auditores internos fornecem à Direção avaliações abrangentes
baseadas no maior nível de independência e objetividade.
A Organização deve assegurar a realização de auditorias internas, com frequência mínima
anual e conduzidas por auditores internos devidamente qualificados, para avaliar a aderência aos
requisitos deste manual (utilizar o anexo A - Avaliação do Sistema de Gestão de Riscos).
Nota: O auditor interno qualificado é o profissional possuidor de qualificação para a realização de
auditorias internas em algum sistema de gestão (ISO 9001, ISO 14001, IATF 16949...) e que tenha
incluso a questão da “Mentalidade de Gestão de Riscos”.
Os resultados destas auditorias, assim como indicadores e informações provenientes do
Comitê de Riscos, devem ser utilizados como entradas nas análises críticas da Direção.

6 – METODOLOGIA DE GESTÃO DE RISCOS

A Metodologia de Gestão de Riscos objetiva

estabelecer e estruturar as etapas necessárias para a
sua operacionalização, por meio da definição de um
processo de gestão de riscos.

Primeiramente, o ideal é que a Cadeia de

Valor / Base de Processos e os processos da empresa
estejam mapeados. Para tanto, podemos utilizar FS-
QUAL-005 Avaliação do Sistema de Gestão de
Riscos (Anexo A).

A Cadeia de Valor é a representação de

modelo que permite a visão lógica dos processos organizacionais, enquanto os Processos de Trabalho
representam detalhadamente as atividades, o processamento, as entradas e saídas de cada processo.
Ambos são essenciais para que a aplicação da metodologia de gerenciamento de riscos e controles
internos da gestão tenha maior efetividade.

Dessa forma, a base para o gerenciamento de riscos da gestão são os processos de trabalho. O
procedimento adequado é verificar quais os processos devem ser priorizados e posteriormente
mapeá-los, após essa priorização a metodologia pode ser aplicada.
 A metodologia é composta por cinco etapas,
conforme ilustrado ao lado:

6.1 – Levantamento do Processo e do Produto

A análise do ambiente tem a finalidade de
colher informações para apoiar a identificação de
eventos de riscos, bem como contribuir para a escolha
de ações mais adequadas para assegurar o alcance dos
objetivos do macroprocesso / processo.

Nesta etapa, devem ser identificados, pelo

menos:

 Fluxo (mapa) do processo;

 Identificar os processos de trabalho relevantes para o alcance dos objetivos/resultados;
 Identificar as pessoas envolvidas nesses processos e especialistas na área;
 Mapear os principais fatores internos e externos que podem afetar o alcance dos
objetivos/resultados (pessoas, sistemas informatizados, estruturas organizacionais, legislação,
recursos, stakeholders etc.);
 Leis e Regulamentos: listar todas as leis, regulamentos e normas que afetam ou influenciam o
macroprocesso/processo. Essas informações são importantes para verificar se há riscos e
descumprimento de leis, regulamentos e normas, bem como auxilia na adoção de ações de controle;
 Sistemas: listar os sistemas e outras ferramentas (exemplo: planilhas) que operacionalizam o
processo. Essas informações são importantes para verificar se os controles são manuais ou
eletrônicos.
Definição das ações que serão realizadas para que os objetivos que foram definidos sejam
alcançados;
6.2 Identificação de Eventos de Riscos
Esta etapa tem por finalidade identificar e registrar tanto os eventos de riscos que
comprometem o alcance do objetivo do processo, assim como as causas e efeitos/consequências de
cada um deles.

O processo de identificação de riscos requer a participação dos colaboradores com

conhecimento do processo, visão holística dos processos da unidade nos seus diferentes níveis. É
importante também que tenham conhecimento da metodologia de gerenciamento de riscos.

6.2.1 - Identificação, Análise e Avaliação dos Riscos dos Produtos

O processo de Gestão de Riscos deve prever a elaboração e atualização sistemática de uma

Matriz de Riscos de Produto conforme FS-QUAL-009 Matriz mapeamento de risco Linha-Produto
(Anexo B) deste manual, que considere fatores relacionados ao produto desdobrado em componentes
e aos respectivos processos produtivos e desempenho.

Esta matriz deve permitir:

 A avaliação e classificação objetiva dos riscos identificados e analisados;

 A priorização dos riscos para proporcionar seu tratamento (prevenção e/ou mitigação)
 Por meio da identificação de eventos de riscos, pode-se planejar a forma de tratamento
adequado e qual o tipo de resposta a ser dada a esse risco, destacando que os eventos de riscos devem
ser entendidos como parte de um contexto, e não de forma isolada. São componentes do Evento de
Risco:
 Causas: condições que dão origem à possibilidade de um evento ocorrer, também chamadas

Figura 12 - Componentes do Evento de Riscos

de fatores de riscos e podem ter origem no ambiente interno e externo.

 Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento
dos objetivos.
 Consequência: o resultado de um evento de risco sobre os objetivos do processo.

Há diversas técnicas que podem ser utilizadas nesta etapa. O objetivo é identificar e analisar
os possíveis caminhos de um evento de risco, dado que um problema pode estar relacionado a
diversas causas e consequências. Portanto, identifica-se o problema e em seguida suas possíveis
causas e consequências.
Para finalizar, identifique as formas de prevenir a ocorrência do risco e as formas de mitigar
as consequências caso o risco se materialize.
6.3 – Avaliação de Eventos de Riscos e Controle

Esta etapa tem por finalidade avaliar os eventos de riscos identificados considerando os seus
componentes (causas e consequências). Os eventos devem ser avaliados sob a perspectiva de
PROBABILIDADE e IMPACTO, e o resultado dessas duas variáveis será o que chamamos de
ÍNDICE DE RISCO GERAL (IRG). As causas se relacionam à probabilidade de o evento ocorrer e
as consequências ao impacto, caso o evento se materialize.

6.3.1 - Priorização dos Riscos dos Produtos

Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme tabela abaixo:
6.4 – Respostas aos Riscos

6.4.1 - Tratamento dos Riscos

O tratamento dos riscos deve ser realizado de forma planejada e conforme rotina estabelecida
pelo Comitê de Riscos e pelo RRP, considerando:

 A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação de seus
efeitos, caso se concretizem;
 A implementação das ações definidas;
 O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores de
desempenho relacionados com os riscos;
 A análise crítica dos resultados obtidos;
 A proposição de ações de reforço ou melhorias aplicáveis.

O tratamento de riscos deve ser realizado em reuniões de trabalho ou, conforme o caso, pelo
próprio RRP e Proprietário do Risco, com a participação de pessoas que conheçam bem o objeto de
gestão de riscos.

Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento
para esse risco. Essas medidas devem ser capazes de diminuir os níveis de probabilidade e/ou de
impacto do risco a um nível dentro ou mais próximo possível da classificação (risco “BAIXO” ou
“MÉDIO”).

Para isso deve ser elaborado um Plano de Ações de risco do processo ou produto. As medidas
mitigadoras podem envolver, por exemplo:

 A adoção de controles;
 O redesenho de processos;
 A realocação de pessoas;
 A realização de ações de capacitação;
 O desenvolvimento ou aperfeiçoamento de soluções de TI;
 A adequação da estrutura organizacional, entre outros.

É importante que, em uma primeira abordagem da elaboração do Plano de Ações, avalie-se a

necessidade de:
 Controles automatizados em substituição aos manuais, quando possível;
 Indicadores de desempenho: estabelecimento de indicadores;
 Atribuição de obrigações entre pessoas com a finalidade de reduzir risco, falhas e erros;
 Combinação de controles manuais e informatizados (automatizados);
 Políticas e procedimentos.

Somente depois dessa avaliação, e se ainda identificada a necessidade de redução do nível do

risco, podem ser propostos novas tratativas, observados sempre os critérios de eficiência e eficácia da
sua implementação.

A figura abaixo ilustra o fluxo do tratamento de riscos identificados, classificados e priorizados na

Matriz de Riscos:

6.5 – Informação, Comunicação e Monitoramento

Os resultados das etapas anteriores do processo de gestão de riscos (identificação e análise

dos riscos, avaliação dos riscos, priorização dos riscos e definição de respostas aos riscos) devem ser
formalizados através da elaboração da “PLANILHA DE GERENCIAMENTO DE RISCOS”
(Ferramenta criada e disponibilizada pelo Comitê de Riscos)” com o respectivo “PLANO DE
TRATAMENTO DE AÇÕES DE CONTROLE”.
O “PLANO DE TRATAMENTO DE AÇÕES DE CONTROLE”, deverá ser avaliado e
aprovado pela “Gestor da Unidade”.
Após a aprovação desses resultados, o Gestor da Unidade e o RRP (Gestor do Risco)
responsável pelo processo de gerenciamento de riscos devem:
 Encaminhar esses resultados para a Alta Gestão para validação;
 Após a validação por parte da Alta Gestão, a “PLANILHA DE GERENCIAMENTO DE
RISCOS” e o “PLANO DE TRATAMENTO DE AÇÕES DE CONTROLE” serão
encaminhados aos responsáveis, neste caso os Proprietários do Risco, para que seja dado início as
ações previstas.
No Plano de Tratamento, deve ser definido o principal responsável pela implementação da
iniciativa (colaborador ou cargo), que também deverá monitorar e reportar a evolução das iniciativas.
O monitoramento compreende o acompanhamento e a verificação do desempenho ou da
situação de elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os
planos de tratamento de riscos, os controles e outros assuntos de interesse.
O monitoramento de todo o funcionamento do Sistema de Gestão de Riscos está a cargo da
Alta Gestão e do Comitê de Riscos e Controle Interno.
O monitoramento das ações de tratamento de riscos envolve a verificação contínua ou
periódica do funcionamento da sua implementação e dos resultados das medidas mitigadoras por
parte do Gestor da Unidade e do RRP (Gestor do Risco).
O monitoramento deve considerar o tempo necessário para que as medidas mitigadoras
produzam seus efeitos
O monitoramento é parte integrante do processo de gestão e de tomada de decisão e deve
acompanhar o ciclo de planejamento.

O monitoramento deve ser efetivo sem onerar demasiadamente o processo.

Os riscos-chave identificados serão monitorados a cada ciclo de avaliação da estratégia

organizacional pelo RRP (Gestor do Risco) com o auxílio do Comitê de Riscos e comunicados à Alta
Direção.
O monitoramento consistirá na atualização da análise e avaliação do risco, assim como do estágio de
execução das medidas de tratamento do risco e dos resultados dessas medidas.

A evolução do nível dos riscos que não mereceram tratamento (risco “BAIXO”) será acompanhada
pelo RRP (Gestor do Risco) e Proprietário do Risco.

Todo o monitoramento deve ser encaminhado ao Comitê de Riscos.

As ações que não forem efetivadas devem estar justificadas no Relatório do Plano de Tratamento
elaborado pelos Gestores e Proprietários do Risco.

O Relatório será informado a Alta Gestão através do Comitê de Riscos, e ficarão a cargo da Alta
Gestão as cobranças das ações não efetivadas.

OBSERVAÇÃO 1: Ao final do processo de gerenciamento de riscos, os riscos “ALTOS” e críticos

que afetem diretamente os objetivos estratégicos, devem ser comunicados pelo Gestor da Unidade ao
Comitê de Gestão de Riscos e Controle Interno, que irá avaliar e encaminhar à Alta Gestão para que
sejam tomadas as devidas providências.

OBSERVAÇÃO 2: Os riscos “ALTOS” e críticos, que impactem nos objetivos estratégicos,

considerados relevantes pela Alta Gestão, podem ser encaminhados ao Comitê de Riscos através de
relatório específico com as devidas justificativas. O Comitê de Riscos após análise poderá incluir no
planejamento de trabalho da Auditoria Interna (3ª linha de defesa), os riscos altos e críticos apontados
no relatório da Alta Gestão, com a finalidade de verificar se os pontos e ações de controle definidos
estão adequados, procedendo com os devidos testes de auditoria específicos.

7 – CONTROLE DO PRODUTO E DOS PROCESSOS PRODUTIVOS

7.1 – Objetivo:

Assegurar que os processos produtivos e de controle são aptos a garantir a conformidade do produto.
7.2 – Requisitos:

7.2.1 - Documentação Técnica de Produto e Processo

1) Deve ser estabelecida sistemática de indicação das características críticas na documentação técnica
do produto (desenhos, normas e outros, incluindo desenhos tecnológicos), de forma a explicitar
devidamente a presença de tais características. Especificamente para os desenhos, estas indicações
devem estar presentes na legenda, no corpo do desenho e ao lado de cada característica assim
classificada.
2) A documentação técnica de processo (Instruções de Trabalho, Fluxogramas, Fichas de Parâmetro,
Planos de Controle, Layout etc.) deve conter a indicação das características especiais de forma clara,
pela aposição de simbologia específica na primeira página e junto à descrição da característica. Esta
indicação deve ser desdobrada nas fases intermediárias dos processos que afetam direta ou
indiretamente tais características.
3) Os registros da qualidade envolvendo características críticas devem possuir a mesma indicação
prevista no requisito 2 acima.
Nota: a Organização pode utilizar simbologia própria para as indicações previstas nos requisitos
acima.

7.2.2 – Garantia da Conformidade das Características Críticas

1) Características classificadas como “Criticas” devem ser controladas de forma a assegurar 100%
de sua conformidade e rastreabilidade. Para características classificadas como “Criticas”, a
conformidade deve ser garantida mediante o uso mandatório das seguintes modalidades de controle
da qualidade:
 Dispositivos à Prova de Erro – DAPE;
 Inspeção totalmente automática ou inspeção automática mista;
 Inspeção manual ou visual 100%.

2) Características “Criticas” não controláveis no produto ou que exigem testes destrutivos

(exemplos: espessura de camada, dureza de núcleo, resistência à tração etc.) devem ter sua
conformidade garantida via controle dos parâmetros de processo determinantes destas características
(temperatura, tempo, pressão, velocidade etc.) com monitoramento contínuo e autorregulagem dos
parâmetros ou alarmes efetivos na ocorrência de desvios.

7.2.3 – Capacidade Produtiva

1) A Organização deve gerenciar a capacidade de seus sistemas produtivos, mediante a determinação
e o monitoramento sistemático do O.E.E. (Overall Equipment Effectiveness – Eficiência Global dos
Equipamentos).
2) Deve ser estabelecido um ranqueamento, pelos resultados de O.E.E., de todos os sistemas
produtivos da Organização e elaborados planos de melhoria para aqueles com pior classificação
objetivando um ganho neste indicador.

8 – GESTÃO DE RISCOS EM MUDANÇA DE PRODUTO E PROCESSO PRODUTIVO

8.1 – Objetivo:

Prevenir a materialização de riscos motivados por mudanças de produto e/ou de processo produtivo
de iniciativa da Organização.

8.2 – Requisitos:

8.2.1 – Processo de Gestão de Mudança

1) A Organização deve definir e implementar um processo de gestão de mudanças em produto e
processo produtivo integrado com o processo de Gestão de Riscos e que assegure o cumprimento dos
requisitos fundamentais do Cliente, especialmente:

 Identificar necessidades de mudanças de produto e processo produtivo;

 Identificar, analisar e avaliar eventuais riscos correlatos;
 Comunicar e obter concordância do Cliente para a mudança pretendida;
 Realizar as atividades de validação da mudança, incluindo aprovação do Cliente;
 Efetivar a mudança, assegurando a rastreabilidade.

2) O processo de gestão de mudanças deve cobrir as seguintes situações:

 Mudança do produto, incluindo componentes e materiais;
 Mudança de matérias-primas e/ou suas fontes;
 Mudança de Fornecedor e subfornecedor;
 Mudança de processo produtivo, incluindo layout, localização, instalações, equipamentos,
ferramentais, meios de controle, sistemas de embalagem e armazenamento;
 Mudança de plano de controle;
 Outras mudanças que possam trazer riscos ao produto.

8.2.2 – Processo de Submissão de Mudança

1) O processo de gestão de mudanças deve utilizar o formulário “Solicitação de Mudança” para
efetuar as análises prévias das mudanças pretendidas.
2) Este documento, validado internamente pelo Comitê de Riscos da Organização, deve ser
comunicado e submetido ao Cliente (quando necessário) para obtenção de concordância, com
antecedência mínima de 90 (noventa) dias da data pretendida para implementação.
3) A Organização deve aguardar a concordância prévia do Cliente para prosseguir com as atividades
de mudanças e sua aprovação formal, de acordo com os processos existentes para a implementação.
A figura abaixo apresenta o fluxo para gestão de mudança de produto e/ou processo produtivo, sob a
ótica da Gestão de Riscos.

Figura 12 - Fluxo de Gestão de Mudança

9 – GESTÃO DA RASTREABILIDADE E CONTROLE DE REGISTROS

9.1 – Objetivo:

Os requisitos para registros e rastreabilidade permitem, face a uma falha (ou suspeita de falha) do
produto, a análise retroativa das condições nas quais o produto foi produzido, a pesquisa das causas
da falha, a extensão da falha (quantidade e lotes de produtos envolvidos) propiciando, assim,
informações para a definição das ações para corrigir as causas e prevenir a repetição da falha bem
como mitigar os seus efeitos, no sentido de corrigir os produtos já produzidos (em estoque, entregues
ao cliente e, eventualmente, de posse dos usuários finais).

9.2 – Requisitos:

9.2.1 – Gestão da Rastreabilidade

1) A Organização deve definir um processo de gestão da rastreabilidade que assegure a identificação
individual de cada produto, de forma apta a permitir a rastreabilidade reversa das condições nas quais
o produto foi produzido, controlado e destinado bem como o lote homogêneo de produção ao qual ele
pertence. Estas identificações devem ater-se às especificações do desenho e ser duráveis e indeléveis
durante o período de garantia do produto.
2) Os lotes de produtos devem possuir identificação em cada embalagem individual, durável e
indelével pelo período de utilização (compreendidos o transporte e armazenamento) e apta a permitir
a rastreabilidade reversa das condições nas quais o lote foi produzido, controlado e destinado, bem
como a identificação do lote homogêneo de produção ao qual ele pertence.
3) Os fatores definidores de homogeneidade de lote (corrida de matéria prima, batelada, componente
determinante, operação etc.) devem ser definidos para cada produto / família de produto e/ou
processo operacional, permitindo o planejamento adequado do sistema de identificação e
rastreabilidade.
4) O sistema de produção (incluindo o controle da qualidade, manuseio, transporte e armazenamento)
deve ser planejado para delimitar os lotes homogêneos de produção e a sua correlação com a
identificação dos produtos/embalagens, permitindo a correta rastreabilidade no decorrer dos
processos operacionais, nos processos de utilização no cliente e nos processos pós-venda (produtos
de reposição e assistência técnica).
5) A rastreabilidade deve assegurar, também, que os materiais (matéria prima, componentes,
produtos semielaborados e acabados etc.) sejam identificados ao longo dos processos operacionais de
forma clara e inequívoca, com indicação precisa da etapa do processo na qual se encontram, das
operações realizadas e aquelas a realizar, assim como a vinculação aos seus lotes de origem.
6) O início de produção de um produto e a introdução de modificações do produto, processo, plano
de controle e fontes de insumos devem ser objeto de rastreabilidade clara e inequívoca, mediante o
estabelecimento dos respectivos breakpoints.
7) Os requisitos de identificação e rastreabilidade devem ser estendidos para produtos, materiais e
serviços provenientes dos Fornecedores.

9.2.2 – Controle de Registros

1) Os registros da qualidade devem ser controlados. São considerados registros da qualidade:
 Documentação de análise crítica para preparação de oferta técnico comercial;
 Documentação gerada no processo de desenvolvimento, validação e aprovação do produto,
incluindo Fornecedores;
 Documentação de processo produtivo e plano de controle, inclusive as versões obsoletas;
 Resultados de monitoramento de parâmetros de processos produtivos;
 Registros de confirmação da realização de atividades mandatórias para a garantia da
qualidade e conformidade do produto (setup, inspeções de produto, auditoria de produto, auditoria de
processo, calibração de meios de medição, manutenções periódicas, análises críticas mensais da alta
direção etc.);
 Registros de tratamento de não-conformidades de processos e produto.
2) Os registros acima devem ser arquivados e preservados contra deterioração ou perda por
fenômenos naturais como inundação, incêndio ou pela ação do tempo, pelo tempo mínimo previsto e
devem apresentar facilidade de acesso e consulta sempre que necessário.
3) Os registros da qualidade devem ser compatíveis e possuir vinculação com o sistema de
rastreabilidade adotado para os produtos

10 – GESTÃO DE RISCO DOS FORNECEDORES

10.1 – Objetivo:

Estender, quando aplicável, os requisitos do presente manual aos Fornecedores da Organização e

sistematizar um processo de gestão de riscos para a cadeia de Fornecedores de material direto e
prestadores de serviços, com critérios para definição de prioridades. A figura abaixo demonstra esta
lógica.

10.2 – Requisitos:

10.2.1 – Estrutura para Gestão de Riscos de Fornecedores

1) A Organização deve definir uma estrutura de Engenharia de Qualidade Fornecedores (ou similar)
com dimensionamento quantitativo e qualitativo do quadro de profissionais adequado à dimensão e
complexidade da cadeia de Fornecedores e com o propósito de estender a aplicação dos requisitos
deste manual aos Fornecedores.
2) Os Fornecedores da Organização devem ser selecionados e qualificados de acordo com critérios
objetivos que considerem, também, os riscos relacionados a:
 Localização geográfica;
 Grau de dependência dos principais clientes;
 Saúde financeira;
 Estágio de evolução do Sistema de Gestão da Qualidade;
 Tipo de produto;
 Know-How do Fornecedor em desenvolvimento de produto / processo;
 Capabilidade e controle dos processos de manufatura;
 Recursos para conservação dos meios de produção;
 Capacidade produtiva instalada;
 Histórico de desempenho de qualidade;
 Histórico de desempenho de logística.

10.2.2 – Identificação, Análise e Avaliação dos Riscos dos Fornecedores

1) O processo de Gestão de Riscos de Fornecedores deve prever a elaboração e atualização
sistemática de uma Matriz de Riscos de Fornecedores conforme Anexo “D” deste manual, que
considere fatores relacionados ao Fornecedor, ao produto, aos respectivos processos produtivos e
desempenho (ver requisito 2 acima).
Esta matriz deve permitir:
 A avaliação e classificação objetiva dos riscos identificados e analisados;
 A priorização dos riscos para proporcionar o seu tratamento (prevenção e/ou mitigação).
Nota: Esta matriz deve ser relacionada com a Matriz de Riscos de Produto descrita na seção

10.2.3 - Priorização dos Riscos dos Fornecedores

Os Índices de Risco Geral (IRG) devem ser classificados e priorizados conforme ANEXO “B” – FS-
QUAL-009 Matriz mapeamento de risco Fornecedores

10.2.4 – Tratamento e Monitoramento dos Riscos dos Fornecedores

1) O tratamento dos riscos relacionados a Fornecedores deve ser realizado de forma planejada e
conforme rotina estabelecida pelo Comitê de Riscos e pelo RRP, considerando:

 A definição das ações de prevenção/eliminação dos riscos e/ou a eventual mitigação de seus
efeitos, caso se concretizem;
 A implementação das ações definidas;
 O monitoramento sistemático do plano de ação, dos indicadores de risco e indicadores de
desempenho relacionados com os riscos;
 A análise crítica dos resultados obtidos;
 A proposição de ações de reforço ou melhorias aplicáveis;
 As ações acima devem considerar, dentre outras:
- A adoção de plano de controle de qualidade;
- A inserção do Fornecedor em um programa de desenvolvimento monitorado pela Organização;
- O desenvolvimento de fonte alternativa para substituição do Fornecedor.

Nota: O fluxo do tratamento de riscos identificados, classificados e priorizados na Matriz de Riscos

de Fornecedores é o mesmo apresentado na figura 15 da seção 6.4.

2) Os Fornecedores com indicadores de risco e indicadores de desempenho identificados como

“ALTO” devem ser monitorados sistematicamente, com acompanhamento pelo Comitê de Riscos.

3) Eventuais alterações e/ou tendências negativas identificadas nestes indicadores devem ser
reportadas imediatamente aos respectivos responsáveis e ser incluídas nas reuniões diárias do
Processo de Resposta Rápida (Fast Response).

10.2.5 – Orientações

Os exemplos abaixo podem resumir estratégias e ações para promover o desenvolvimento de

Fornecedores em função de sua classificação de riscos:

 Elevação da frequência de auditorias de produto /processo em Fornecedores;

 Promover treinamentos em ferramentas da qualidade para os Fornecedores;

 Realização de workshops e encontros de Fornecedores para apresentação de estratégias de atuação e

objetivos;

 Promover a difusão de melhores práticas entre os Fornecedores;

 Estabelecer programa para desenvolvimento de Fornecedores, considerando a transferência de
metodologias aplicadas pela Organização.

11 – GESTÃO DO CONHECIMENTO E COMPETÊNCIA

11.1 – Objetivo

Os requisitos seguintes apresentam como desenvolver um processo de gestão do

conhecimento organizacional considerando os conhecimentos que são fundamentais para o sucesso
do negócio e para o gerenciamento da cadeia de fornecimento, além de definir corretamente as
necessidades de conscientização e treinamento.

11.2 – Requisitos

Os requisitos seguintes apresentam como desenvolver um processo de gestão do

conhecimento.

11.2.1 – Identificação das Necessidades de Conhecimento

1) A Organização deve identificar os conhecimentos necessários para o seu bom desempenho
organizacional e para a minimização dos riscos relacionados aos seus processos e produtos,
especialmente os riscos relacionados aos produtos de segurança e/ou com vínculos legislativos, além
dos riscos de Fornecedores.
 Esta identificação deve ser coerente com o mapeamento de processos e com a Matriz de
Riscos de Produto e a Matriz de Riscos de Fornecedores e deve incluir, também, os conhecimentos
necessários para os profissionais diretamente envolvidos nos processos técnico-operacionais
relacionados com características de segurança e/ou com vínculos legislativos, seja no tocante à
realização de suas tarefas quanto sobre as consequências de uma eventual não conformidade de
produto ou falhas de rastreabilidade.

2) O conhecimento relacionado ao conteúdo do presente manual é mandatório para os membros do

Comitê de Riscos (RRP incluído) e recomendável para os demais gestores da Organização.

11.2.2 – Avaliação dos Conhecimentos Identificados

1) A Organização deve analisar criticamente os conhecimentos identificados para definir prioridades
e permitir o planejamento das atividades de disponibilização, multiplicação, retenção e atualização
destes conhecimentos.

11.2.3 – Disponibilização do Conhecimento

1) A Organização deve definir as ações necessárias para a disponibilização dos conhecimentos
organizacionais considerados críticos e prioritários.
2) A disponibilização deve considerar mecanismos institucionais como normas e manuais internos,
procedimentos, instruções de trabalho e outros documentos similares que compõem o seu capital
intelectual.

11.2.4 – Multiplicação, Retenção e Atualização do Conhecimento

1) A Organização deve definir as ações necessárias para a multiplicação e retenção dos
conhecimentos organizacionais considerados como críticos para o seu processo de gestão de riscos,
visando à continuidade e aperfeiçoamento desta gestão.
Nota: A retenção de um conhecimento pode ocorrer pela sua multiplicação por uma quantidade
mínima de pessoas, pela sua absorção em documentos da Organização, pelo seu uso ininterrupto e
por atividades internas de capacitação, dentre outras maneiras.
2) A Organização deve estabelecer ações para verificar e prover a atualização dos conhecimentos
organizacionais considerados como críticos para o seu processo de gestão de riscos.
12 – ANEXOS

Anexo A – FS-QUAL-008 Avaliação do Sistema de Gestão de Riscos

Anexo B – FS-QUAL-009 Matriz mapeamento de risco Linha-Produto
Anexo C – Pasta com planilhas Matriz de Riscos de Produto e Matriz de Riscos de Fornecedores

ANEXO “A” - Avaliação da Gestão de Riscos

ANEXO “B” – FS-QUAL-009 Matriz mapeamento de risco Linha-Produto
ANEXO “B” – FS-QUAL-009 Matriz mapeamento de risco Fornecedores