GESTÃO DO RISCO

Outubro 2014

GESTÃO DO RISCO
Antecedentes
Correlação da ISO 31000 com outras normas
Benefícios e aplicações da Gestão do Risco.
Conceitos básicos, termos e definições.
Estrutura da norma NP ISO 31000:2013
Gestão do Risco - Princípios
Elementos principais para a conceção de uma estrutura para a gestão do risco:
estrutura, política da gestão do risco, mecanismos de comunicação,
implementação da gestão do risco, melhoria contínua da estrutura.
Elementos principais do processo de Gestão do Risco: comunicação e consulta,
estabelecimento do contexto, identificação do risco, análise do risco, avaliação
do risco, tratamento do risco, monitorização e revisão (análise crítica).
Processo para a implementação de uma Gestão do Risco eficaz.

2
 Antecedentes

  Conceitos de risco, probabilidade, etc. foram sendo

desenvolvidos e aperfeiçoados desde o Séc. XVII O
medo do dano deveria ser proporcional, não apenas à
gravidade do dano, mas também à probabilidade do

Antecedentes

  Em 1950 foi usado o termo Risk na Havard

Business Review.
  O uso da Gestão de Riscos, avaliação de riscos, análise
de riscos surgiu de forma independente em diversos
sectores:
 Seguros
 Indústria Nuclear
 Indústria Espacial
 Indústria Aeronáutica

4
 Antecedentes

 Indústria do Petróleo
 Segurança no Trabalho (safety)
 Segurança Corporativa (security)
 Sistema Financeiro
 Segurança da Informação (security)
 Segurança de Produtos e Processos
(safety)

Antecedentes

  Eventos no passado recente deixaram a sociedade cada

vez mais preocupada e insegura.
 Seveso (Itália) 1976
 Bhopal (Índia) 1984
 Chernobyl (Ucrânia) 1986
 Exxon Valdez (EUA) 1989
  (EU) 1992/1993/
 11/09 (EUA) 2001
 

6
 Contexto

 Economia cada vez mais baseada nos

recursos tecnológicos
 Mercados e empresas cada vez mais
volúveis e voláteis
 Tomar decisões sem considerar os
riscos envolvidos não é viável nem
sensato.

Contexto

  Quando cirurgiões realizam operações, investidores

compram e vendem acções, empresários apostam e
abrem negócios, engenheiros projectam obras e políticos
concorrem a cargos públicos, o risco é um
inevitável.
  Administrar o risco tornou-se sinónimo de desafio e
oportunidade.

8
 Risco O que é isso?

  No Grande Dicionário da Língua Portuguesa encontramos

a seguinte definição de risco: ; inconveniente ou
fatalidade muito possível de efectivar-se. .
  No entanto, a origem da palavra deriva do termo
italiano “risicare”, que significa desafiar. Logo, e nesta
acepção, o termo pode ser entendido mais como
uma escolha do que como uma fatalidade, uma sina ou
um destino.
  O termo risco provém do italiano “rischio” que, por sua
vez, deriva do árabe clássico “rizq” que se depara
com a . O termo faz referência à proximidade
ou contingência de um possível dano.

Risco O que é isso?

  A noção de risco costuma ser usada como sinónimo de

perigo.
  O risco, no entanto, prende-se com a vulnerabilidade, ao
passo que o perigo está associado à possibilidade de um
prejuízo ou de um dano.
  É portanto possível distinguir o risco (a possibilidade de
dano) e o perigo (a probabilidade de acidente ou
patologia).
  Por outras palavras, o perigo é uma causa do risco.

10
Risco O que é isso?

  Existem riscos de todo o tipo e que surgem em diferentes

âmbitos:
 

  Laborais; Financeiros; Recursos; Negócio; Técnicos;

Programação; Químicos; Físicos; Biológicos; Acidentes;
Ergonómicos;
TRABALHO Crédito; Legais; Mercado;
- Listar exemplos de tipos Sistémico;
de riscos

11

Risco O que é isso?

  Risco de crédito
  Possibilidade do beneficiário de determinado empréstimo
não ter capacidade financeira para pagar os juros e/ou o
capital em dívida
  Risco de incumprimento (default risk)
  Possibilidade do emitente de determinada dívida não ter a
capacidade financeira necessária para pagar juros e/ou
capital em dívida na data e no montante prometido.
  (Fonte: Banco de Portugal)

12
Organizações

  Committee of Sponsoring Organizations - COSO;

(www.coso.org) - Estados Unidos

  Federation of European Risk Management Associations

FERMA; (www.ferma.eu) - Europa

13

Características

 Princípios e Directrizes Genéricas

Não é específica para qualquer indústria ou sector;

Não pretende promover a uniformidade da gestão de riscos;
Não é destinada para fins de certificação.

14
NP ISO 31000:2013

  Gestão do Risco Princípios e Linhas de Orientação (ISO

31000:2009)

  Harmonizar os processos de gestão de riscos tanto em

normas técnicas actuais como em futuras, fornecendo
uma abordagem comum para apoiar normas técnicas que
tratem de riscos e/ou sectores específicos e, não substituí-
las.

15

NP ISO 31000:2013

  Mas afinal o que é o RISCO?

16
NP ISO 31000:2013

  De acordo com a definição expressa na ISO GUIDE

73:2009 Vocabulário ou na ISO 31000:2009 Gestão do
Risco

  RISCO Efeito da incerteza na consecução dos

objectivos.

17

NP ISO 31000:2013

  Nota 1: Um efeito é um desvio, positivo ou negativo,

relativamente ao esperado.
  Nota 2: Os objectivos podem ter diferentes aspectos (financeiros,
de saúde e segurança, ambientais, entre outros) e podem ser
aplicados a diferentes níveis (estratégico, em toda a
organização, de projecto, de produto e de processo)
  Nota 3: O risco é frequentemente caracterizado pela referência
aos eventos potenciais e consequências ou à combinação de
ambos.
  Nota 4: O risco é frequentemente expresso como a combinação
das consequências de um dado evento(incluindo a alteração das
circunstâncias) e da respectiva probabilidade de ocorrência.
  Nota 5: A incerteza é o estado, ainda que parcial, de deficiência
de informação relacionado com a compreensão ou conhecimento
de um evento, sua consequência ou probabilidade.

18
  Normas ISO que falam de risco ?

19

Normas ISO que falam de risco ?

  ISO 14001 (Ambiente) Aspectos e Impactes (Riscos)

ambientais
  OHSAS 18001 (Segurança e Saúde) Perigos e Riscos para a
segurança e saúde
  ISO/IEC 27001 (Segurança da Informação) Riscos para a
segurança da informação
  ISO 22000 (Segurança Alimentar) Riscos (perigos) para a
segurança alimentar
  ISO 9001 (Qualidade) Fala de riscos?
  ISO 22301 (BCM Business Continuity Management) Riscos
para os Processos Críticos (BIA - Business Impact Analysis)
  ISO/IEC 20000 (Service Management System Requirements)
Riscos que envolvem os serviços das TI

20
ISO 9001:2008

  Exemplos de requisitos da ISO 9001:2008, associados

indirectamente à gestão de riscos:

21

ISO 9001:2008

  5.6. Revisão pela Gestão (Análise Crítica pela Gestão)

Revisão deve incluir uma avaliação das oportunidades ou
recomendações para melhoria do SGQ. Uma das
condições da revisão é avaliar alterações que possam
afectar o SGQ.
  6.2 Recursos Humanos Ao cumprir os requisitos para
assegurar a competência, podemos gerir os riscos
associados aos RH.
  6.3 Infraestrutura Determinar, proporcionar e manter a
infraestrutura (ex.: instalações, equipamentos, espaços
de trabalho) necessários para atingir a conformidade dos
requisitos do produto, permite a gestão dos riscos
associados ao controlo da infraestrutura.

22
ISO 9001:2008
  7.2.2 Revisão dos requisitos relacionados com o produto O
requisito de revisão do contrato antes da sua assinatura, inclui a
aptidão da organização cumprir os requisitos contratuais, reduz
significativamente o risco de incumprimento de obrigações
contratuais.
  7.3.7 Controlo de alterações na concepção e no
desenvolvimento é necessário avaliar o efeito das alterações
nas partes constituintes e no produto que já foi entregue.
  7.4 Compras A definição de critérios para a avaliação de
fornecedores e a sua avaliação sistemática reduz o risco das
vulnerabilidades das organizações fornecedoras ou parceiras
envolvidas na na realização do produto/serviço.
  7.5. Produção e fornecimento do serviço planear e levar a cabo
a produção e fornecimento do serviço sob condições controladas
(ex.: disponibilidade da informação necessária, instruções,
equipamento, equipamento de monitorização e de medição, etc.)
reduz significativamente a liberação de produto/serviço não
conforme.
23

ISO 9001:2008

  8.2.1 Satisfação do Cliente Monitorizar a informação

relativa à percepção do cliente quanto à organização ter
ido de encontro dos seus requisitos é um elemento
importante para a identificação do risco associado à
insatisfação do cliente e o risco de perda de
imagem/reputação da organização e consequentemente
perda de quota de mercado.
  8.2.2 Auditoria Interna Auditorias internas ajudam a
identificar riscos operacionais.
  8.5.3 Acções Preventivas A organização deve
determinar acções para eliminar as causas de potenciais
não conformidades, tendo em vista prevenir a sua
ocorrência, i.e. conduz à avaliação de risco.

24
ISO 14001:2004

  Exemplos de requisitos da ISO 14001, associados à

gestão de riscos:

25

ISO 14001:2004

  Definições importantes a ter em conta

  Ambiente Envolvente na qual uma organização opera,

incluindo o ar, a água, o solo, os recursos naturais, a flora,
a fauna, os seres humanos e as suas inter-relações.
  Aspecto Ambiental Elemento das actividades, produtos
ou serviços de uma organização que pode interagir com o
ambiente.
  Nota: Um aspecto ambiental significativo tem, ou
pode ter um impacte ambiental significativo.
  Impacte Ambiental Qualquer alteração no ambiente,
adversa ou benéfica, resultante, total ou parcialmente, dos
aspectos ambientais de uma organização.
26
ISO 14001:2004

  4.3.1. Aspectos Ambientais Identificar os aspectos

ambientais das suas actividades, produtos e serviços;
determinar os aspectos que têm, ou podem ter impactes
significativos.
  4.4.1 Recursos, Atribuições, Responsabilidades e
Autoridade Assegurar os recursos indispensáveis para
estabelecer, implementar, manter e melhorar o SGA.
  4.4.2 Competência, Formação e Sensibilização
Assegurar a competência a qualquer pessoa que execute
tarefas para a organização ou em seu nome, que tenham
potencial para causar impacte ambiental significativo.

27

ISO 14001:2004

  4.4.6 Controlo Operacional Assegurar que as operações

associadas aos aspectos ambientais significativos são
realizadas sob condições especificadas.
  4.4.7 Preparação e Resposta a Emergências
estabelecer, implementar e manter para prevenir ou
mitigar os impactes ambientais adversos associados.
  4.5.3 Não Conformidades, Acções Correctivas e Acções
Preventivas A organização deve determinar acções para
eliminar as causas de potenciais não conformidades,
tendo em vista prevenir a sua ocorrência, i.e. conduz à
avaliação de risco.

28
ISO 14001:2004

  4.5.5 Auditoria Interna Auditorias internas ajudam a

identificar aspectos/impactes (riscos operacionais).
  4.6. Revisão pela Gestão (Análise Crítica pela Gestão)
Revisão deve incluir uma avaliação das oportunidades ou
recomendações para melhoria do SGA.

29

OHSAS 18001:2007

  Exemplos de requisitos da OHSAS 18001 (Segurança e

Saúde) associados à gestão de Perigos e Riscos para a
segurança e saúde no Trabalho

30
OHSAS 18001:2007

  Definições importantes a ter em conta

  Perigo Fonte, situação, ou acto com potencial para o dano em

termos de lesão ou afecção da saúde ou uma conbinação
destes.
  Incidente Acontecimento relacionado com o trabalho em que
ocorreu ou poderia ter ocorrido lesão, afecção da saúde
(independentemente da gravidade) ou morte.
  Risco Combinação da probabilidade de ocorrência de um
acontecimento ou de exposições perigosos e de gravidade de
lesões ou afecções da saúde que possam ser causadas pelo
acontecimento ou pela exposição.
  Afecção da Saúde Condição física ou mental adversa,
identificável como decorrente de e/ou agravada por actividades
do trabalho e/ou situações relacionadas com o trabalho.
31

OHSAS 18001:2007

  4.3.1. Identificação dos Perigos, Apreciação do Risco e

Definição de Controlos Identificar continuamente os
perigos das suas actividades, produtos e serviços;
determinar os perigos têm, ou podem ter riscos
associados.
  4.4.1 Recursos, Funções, Responsabilidades,
Responsabilização e Autoridade Assegurar os recursos
indispensáveis para estabelecer, implementar, manter e
melhorar o SGSST.
  4.4.2 Competência, Formação e Sensibilização
Assegurar a competência a qualquer pessoa que execute
tarefas com impacto na SST.

32
OHSAS 18001:2007

  4.4.6 Controlo Operacional Assegurar que as operações

e actividades associadas aos perigos identificados são
realizadas sob condições especificadas.
  4.4.7 Preparação e Resposta a Emergências
estabelecer, implementar e manter procedimentos para
prevenir ou mitigar as consequências adversas para a
SST.
  4.5.3 Investigação de incidentes, Não Conformidades,
Acções Correctivas e Acções Preventivas A organização
deve determinar acções para eliminar as causas de
potenciais não conformidades, tendo em vista prevenir a
sua ocorrência, i.e. conduz à avaliação de risco.

33

OHSAS 18001:2007

  4.5.5 Auditoria Interna Auditorias internas ajudam a

identificar perigos e riscos associados.
  4.6. Revisão pela Gestão (Análise Crítica pela Gestão)
Revisão deve incluir uma avaliação das oportunidades ou
recomendações para melhoria do SGSST.

34
ISO/IEC 27001:2005

  Exemplos de requisitos da ISO/IEC 27001 (Segurança da

Informação) , associados à gestão de riscos para a
segurança da informação

35

ISO/IEC 27001:2005

  Definições importantes a ter em conta

  Segurança da Informação preservação da confidencialidade,
integridade e disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade, responsabilidade,
não repudio e confiabilidade, podem estar envolvidas.
  Incidente de Segurança da Informação um simples ou uma
série de eventos de segurança da informação indesejados ou
inesperados, que tenham uma grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança
da informação.
  Evento de Segurança da Informação Ocorrência identificada de
um estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou falha de
controles, ou uma situação previamente desconhecida, que
possa ser relevante para a segurança da informação.
36
ISO/IEC 27001:2005

  4.2.1. Estabelecer e gerir o SGSI Identificar os riscos e

as ameaças dos activos de informação; determinar os
impactos que as perdas podem causar aos activos.
  4.4.2 Implementar e Operar SGSI Assegurar que as
operações e actividades associadas ao tratamento de
riscos são realizadas sob condições especificadas.
  5.2.1 Provisão de Recursos Assegurar os recursos
indispensáveis para estabelecer, implementar, operar,
monitorar, manter e melhorar o SGSI.

37

ISO/IEC 27001:2005

  5.2.2 Competência, Formação e Sensibilização

Assegurar a competência a qualquer pessoa que execute
tarefas com impacto na SGSI.
  6 Auditoria Interna Auditorias internas ajudam a
identificar ameaças e riscos associados.
  4.6. Revisão pela Gestão (Análise Crítica) do SGSI
Revisão deve incluir uma avaliação das oportunidades ou
recomendações para melhoria do SGSST.

38
ISO/IEC 27001:2005

  8.3 Acções Preventivas A organização deve determinar

acções para eliminar as causas de potenciais não
conformidades, tendo em vista prevenir a sua ocorrência,
i.e. conduz à avaliação de risco.

39

ISO 22000:2005

  Exemplos de requisitos da ISO 22000 (Segurança

Alimentar) , associados à Gestão da Segurança Alimentar

40
ISO 22000:2005

  Definições importantes a ter em conta

  Segurança Alimentar - Conceito de que um género alimentício não

causará dano ao consumidor quando preparado e/ou ingerido de acordo
com a utilização prevista.
  NOTA 2: Segurança alimentar está relacionada com a ocorrência
de perigos para a segurança alimentar e não inclui outros aspectos da
saúde humana relacionados, por exemplo, com a má nutrição.
  Perigo para a segurança alimentar Agente biológico, químico ou físico
presente no género alimentício, ou na condição de género alimentício,
com potencial para causar um efeito adverso para a saúde.
 

probabilidade de um efeito adverso para a saúde (por exemplo ficar

doente) e da gravidade do mesmo (morte, hospitalização, ausência do
trabalho, etc.) quando alguém é exposto a um perigo específico. Risco é
definido na ISO/IEC Guide 51 como a combinação da probabilidade de
ocorrência de um dano e a gravidade do mesmo.
41

ISO 22000:2005
  5.7 Preparação e Resposta a Emergências estabelecer,
implementar e manter procedimentos para gerir potenciais
situações de emergência e acidentes que podem ter impacto na
segurança alimentar.
  5.8. Revisão pela Gestão (Análise Crítica pela Gestão) Revisão
deve incluir uma avaliação das oportunidades ou
recomendações para melhoria do SGSA. Uma das condições da
revisão é avaliar circunstâncias que possam afectar a segurança
alimentar.
  6.2 Recursos Humanos Ao cumprir os requisitos para
assegurar a competência, podemos gerir os riscos associados
aos RH.
  6.3 Infraestrutura Determinar, proporcionar e manter a
infraestrutura (ex.: instalações, equipamentos, espaços de
trabalho) necessários para atingir a conformidade dos requisitos
do produto, permite a gestão dos riscos associados ao controlo
da infraestrutura.
42
ISO 22000:2005

  7.2 Programas Pré-Requisito (PPRs) Os PPRs ajudam a

controlar a probabilidade de introdução de perigos para a
segurança alimentar, a contaminação biológica, química,
física, cruzada entre produtos, os níveis de perigo no
produto e no ambiente de processamento.
  7.4.2 Identificação de Perigos e Determinação de níveis
de Aceitação determinação de todos os perigos para a
segurança alimentar, razoavelmente expectáveis em
relação ao tipo de produto, processo e de instalações
utilizadas.
  7.9 Sistema de Rastreabilidade Aplicar um sistema de
rastreabilidade que permita a identificação dos lotes de
produto e a sua relação com os lotes de matérias primas e
os registos de processamento e entrega.
43

ISO 22000:2005

  8.4.1 Auditoria Interna Auditorias internas ajudam a

identificar riscos operacionais.
  8.5.1 Melhoria Contínua A organização deve melhorar
continuamente a eficácia do SGSA
  8.5.2 Actualização do Sistema de Gestão da Segurança
Alimentar A gestão de topo deve assegurar que o
sistema de gestão da segurança alimentar é
continuamente actualizado.

44
  Outras normas que falam de risco?

45

  ISO 26000 (Responsabilidade Social) Guidance on

Social Responsibility. (Directrizes sobre Responsabilidade
Social)
  Nota: Não é uma norma de sistema de gestão

  ISO 20121 (Sustentabilidade) Event sustainability

management systems. (Sistema de Gestão de Eventos
Sustentáveis)

  ISO 14971 (Medical Devices) Application of risk

management to medical devices. (Gestão do Risco nos
Dispositivos Médicos)

46
Seguros TI Ambiente Integração

Estratégia Capital SST

RH Crédito Marketing

47

Ciclo da Gestão de Riscos

Identificar

Monitorar /
Analisar Analisar
Criticamente

Tratar Avaliar

48
 Benefícios da Gestão de Riscos

Re d u ç ã o d a s
Su r p r e s a s

49

50
NP ISO 31000:2013

  Gestão do Risco

  Princípios e linhas de orientação

  (ISO 31000:2009)

  Elaboração CT 180 (APQ)

51

NP ISO 31000:2013

 Preâmbulo Nacional
 Introdução
 Objectivo e campo de aplicação
 Termos e definições
 Princípios
 Estrutura
 Processo
 Anexo A (informativo) Atributos da
gestão de risco reforçada
 Bibliografia
52
NP ISO 31000:2013

  As Organizações de todos os tipos e dimensões

enfrentam factores e influências, internos e externos, que
tornam incerto se, e quando atingirão os seus objectivos.
O efeito que esta incerteza tem nos objectivos de uma
organização designa-

53

NP ISO 31000:2013

  Todas as actividades de uma organização envolvem risco.

As organizações gerem o risco mediante a sua
identificação e análise, após o que avaliam a necessidade
da sua alteração, tratando-o de forma a satisfazer os seus
critérios de risco.

54
NP ISO 31000:2013

  Ao longo deste processo comunicam e consultam com as

partes interessadas, monitorizando e revendo o risco e
meios de controlo que estão a alterá-lo, de forma a
assegurarem que não é necessário um tratamento de
risco suplementar.
  Esta norma descreve detalhadamente este processo
sistemático e lógico.

55

NP ISO 31000:2013

  Apesar de todas as organizações gerirem o risco de

alguma forma, esta norma estabelece um conjunto de
princípios que deverão ser cumpridos de modo a tornar
eficaz a gestão do risco.

56
NP ISO 31000:2013

  Esta norma recomenda que as organizações

desenvolvam, implementem e melhorem continuamente
uma estrutura cujo objectivo é integrar o processo para
gerir o risco na governação, estratégia e planeamento,
gestão, processos de reporte, políticas, valores e cultura.

57

NP ISO 31000:2013

  A gestão do risco pode ser aplicada a uma organização na

sua globalidade, nas diversas áreas e níveis, a qualquer
momento, bem como a funções, projectos e actividades
específicos.

58
NP ISO 31000:2013

  Cada sector específico ou aplicação particular na gestão

do risco implicam necessidades, públicos, percepções e
critérios próprios. Por esta razão uma característica

da gestão do risco.

59

NP ISO 31000:2013

 
objectivos da organização, o ambiente em que procura
atingi-los, as partes interessadas e a diversidade dos
critérios do risco, que na sua globalidade ajudarão a
identificar e apreciar a natureza e complexidade dos seus
riscos.

60
NP ISO 31000:2013

  A implementação e manutenção da gestão do risco de

acordo com esta norma permitem a uma organização, por
exemplo:
 Aumentar a verosimilhança de atingir
os seus objectivos;
 Encorajar a gestão proactiva;
 Estar ciente da necessidade de
identificar e tratar o risco em toda a
organização;
 Melhorar a identificação das
oportunidades e ameaças;
61

NP ISO 31000:2013

Cumprir as obrigações legais e regulamentares e normas

internacionais aplicáveis;
Melhorar os relatos obrigatórios e voluntários;
Melhorar a governação;
Aumentar a confiança das partes interessadas e a credibilidade
da organização.
Estabelecer uma base fiável para tomada de decisões e
planeamento;
Melhorar os controlos;
Afectar e utilizar os recursos no tratamento do risco de forma
eficaz

62
NP ISO 31000:2013

 Melhorar a eficácia e a eficiência

operacionais;
 Reforçar o desempenho no domínio da
segurança e saúde, bem como na
protecção ambiental;
 Melhorar a prevenção de perdas e a
gestão de incidentes;
 Minimizar as perdas;
 Melhorar a aprendizagem
organizacional;
 Melhorar a resiliência organizacional.
63

  Termos e Definições

64
Termos e Definições

  Gestão do risco
  Actividades coordenadas para dirigir e controlar uma
organização no que respeita ao risco.

  Estrutura da gestão do risco

  Conjunto de elementos que fornecem os fundamentos e
disposições organizacionais para conceber, implementar,
monitorizar, rever e melhorar continuamente a gestão do
risco em toda a organização.

66

Termos e Definições

  Plano da gestão de risco

  Programa incluído na estrutura da gestão do risco que especifica
a abordagem, os componentes da gestão e os recursos a aplicar
à gestão do risco.
  Nota 1: Os elementos da gestão incluem tipicamente, os
procedimentos, as práticas, a atribuição das responsabilidades, a
sequência e a calendarização das actividades.
  Nota 2: O plano da gestão do risco poderá ser aplicado a um
produto, processo ou projecto especifico, ou a parte ou à
totalidade de uma organização.
  Processo da gestão de risco
  Aplicação sistemática de políticas, procedimentos e práticas de
gestão às actividades de comunicação, consulta,
estabelecimento do contexto e identificação, análise, avaliação,
tratamento, monitorização e revisão do risco.
67
Termos e Definições

  Contexto interno
  Ambiente interno no qual a organização procura atingir os
seus objectivos.
  (ver notas na norma)
  Contexto externo
  Ambiente externo no qual a organização procura atingir os
seus objectivos.
  (ver notas na norma)
  Identificação do risco
  Processo de pesquisa, de reconhecimento e de descrição
dos riscos.

68

Termos e Definições
  Tratamento do risco
  Processo para modificar o risco.
  Nota 1: O tratamento do risco pode envolver o seguinte:
  Evitar o risco mediante decisão de não iniciar ou continuar a actividade
portadora do risco.
  Assumir ou aumentar o risco de forma a perseguir uma oportunidade.
  Remover a fonte de risco.
  Alterar a verosimilhança.
  Alterar as consequências.
  Partilhar o risco com outras partes [incluindo contratos e financiamento
do risco]
  Reter o risco com base em decisão informada.
  Nota 2: Os tratamentos do risco que lidam com consequências

  Nota 3: O tratamento do risco pode originar novos riscos ou modificar os

riscos existentes. 69
Termos e Definições

  Avaliação do risco
  Processo de comparação dos resultados da análise de
risco com os critérios de risco para determinar se o risco
e/ou a respectiva magnitude é aceitável ou tolerável.
  Análise do risco
  Processo destinado a compreender a natureza do risco e
determinar o nível de risco.
  Nota 1: A análise do risco fornece a base para a avaliação
do risco e as decisões sobre o tratamento do risco.
  Nota 2: A análise do risco inclui a estimação do risco.

70

Termos e Definições

  Fonte do risco
  O elemento que, por si só ou em combinação com outros,
tem potencial intrínseco de originar um risco.
  Nota: Uma fonte de risco pode ser tangível ou intangível.
  Critérios do risco
  Termos de referência em relação aos quais a significância
de um risco é avaliada.
  Nota 1: Os critérios do risco são baseados nos objectivos
da organização e nos contextos externo e interno.
  Nota 2: Os critérios de risco podem resultar de normas,
leis, políticas e outros requisitos.

71
Termos e Definições

  Perfil do risco
  Descrição de um qualquer conjunto de riscos.
  Nota: O conjunto de riscos pode incluir os riscos que
digam respeito a toda a organização, parte da organização
ou ao que estiver definido.
  Evento
  Ocorrência ou alteração de um conjunto particular de
circunstâncias.
  Nota 1: Um evento pode consistir numa ou mais
ocorrências e pode ter várias causas.
  Nota 2: Um evento pode consistir em algo que não ocorra.
  Nota 3: Um evento pode algumas vezes ser referido como
72

Termos e Definições

  Consequência
  Resultado de um evento que afecta objectivos.
  Nota 1: Um evento pode levar a um conjunto de
consequências.
  Nota 2: Um consequência pode ser certa ou incerta e
pode ter efeitos positivos ou negativos nos objectivos.
  Nota 3: As consequências podem ser expressas
qualitativa ou quantitativamente.
  Nota 4: As consequências iniciais podem intensificar-se
através de reacções em cadeia.

73
NP ISO 31000:2013

  Princípios da Gestão de Riscos

74

Princípios da Gestão de Riscos

  Cada um dos princípios é suportado por descrições

detalhadas que são facilmente reconhecidas como
orientações para a aplicação das melhores práticas de
gestão de riscos.
  Esta abordagem pretende tornar muito mais simples para
as organizações a compreensão da gestão de riscos
numa perspectiva de aplicação corporativa.
  Em termos funcionais, os princípios actuam como
atributos que orientam os utilizadores da norma na
definição dos objectivos, metas e indicadores da gestão
de riscos.

75
Princípios da Gestão de Riscos

  A gestão do risco cria e protege o valor.

  A gestão do risco é parte integrante de todos os
processos organizacionais.
  A gestão do risco é parte da tomada de decisão.
  A gestão do risco considera explicitamente a incerteza.
  A gestão do risco é sistemática, estruturada e atempada.

76

Princípios da Gestão de Riscos

  A gestão do risco baseia-se na melhor informação

disponível.
  A gestão do risco é feita à medida.
  A gestão do risco tem em conta factores humanos e
culturais.
  A gestão do risco é transparente e participada.
  A gestão do risco é dinâmica, iteractiva e reactiva à
mudança.
  A gestão do risco facilita a melhoria contínua da
organização.

77
Princípios da Gestão de Riscos

  a) A gestão do risco cria e protege o valor A gestão do

risco contribui para a consecução demonstrável de
objectivos e melhoria do desempenho, como por exemplo,

legal e regulamentar, na aceitação pública, na protecção

ambiental, na qualidade dos produtos, na gestão dos
projectos, na eficiência das operações, na governação e
reputação.
  -se

informação quer tangível ou intangível

78

Princípios da Gestão de Riscos

  b) A gestão do risco é parte integrante de todos os

processos organizacionais A gestão do risco não é uma
actividade isolada, separada das actividades principais e
dos processos da organização. A gestão do risco faz parte
das responsabilidades da gestão e é uma parte integrante
de todos os processos organizacionais, incluindo o
planeamento estratégico e todos os processos da gestão
de projectos e de gestão da mudança.

79
Princípios da Gestão de Riscos

  c) A gestão do risco é parte da tomada de decisão A

gestão do risco apoia os decisores na escolha informada,
na priorização das acções e na diferenciação entre linhas
de acção alternativas.

80

Princípios da Gestão de Riscos

  d) A gestão do risco considera explicitamente a incerteza

A gestão de risco tem em conta explicitamente a
incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.

81
Princípios da Gestão de Riscos

  e) A gestão do risco é sistemática, estruturada e

atempada Uma abordagem sistemática, atempada e
estruturada da gestão do risco contribui para a eficiência e
para resultados consistentes, comparáveis e fiáveis.

82

Princípios da Gestão de Riscos

  A gestão do risco baseia-se na melhor informação

disponível As entradas do processo para gerir o risco
baseiam-se em fontes de informação tais como dados
históricos, experiência, retorno da informação das partes
interessadas, observações, previsões e pareceres de
especialistas. No entanto, os decisores deverão informar-
se e ter em conta quaisquer limitações dos dados ou
modeos utilizados ou a possibilidade de existência de
divergências entre especialistas.

83
Princípios da Gestão de Riscos

  g) A gestão do risco é feita à medida A gestão de risco é

alinhada com os contextos externo e interno e com o perfil
de risco da organização.

84

Princípios da Gestão de Riscos

  h) A gestão do risco tem em conta factores humanos e

culturais A gestão de risco reconhece as competências,
percepções e intenções de pessoas externas e internas à
organização que possam facilitar ou impedir a consecução
dos objectivos da organização.

85
Princípios da Gestão de Riscos

  i) A gestão do risco é transparente e participada O

envolvimento adequado e atempado das partes
interessadas e, em particular, dos decisores a todos os
níveis da organização, assegura que a gestão do risco
permanece pertinente e actualizada. O envolvimento
permite também, que as partes interessadas sejam
devidamente representadas e que os seus pontos de vista
sejam tidos em conta na determinação dos critérios de
risco.

86

Princípios da Gestão de Riscos

  j) A gestão do risco é dinâmica, iteractiva e reactiva à

mudança A gestão do risco detecta e responde,
continuamente, à mudança. À medida que ocorrem
eventos externos ou internos, que o contexto e o
conhecimento se alteram e que têm lugar a monitorização
e a revisão, emergem novos riscos, alguns alteram-se e
outros desaparecem.

87
Princípios da Gestão de Riscos

  k) A gestão do risco facilita a melhoria contínua da

organização As organizações deverão elaborar e
implementar estratégias visando melhorar a maturidade da
sua gestão do risco, assim como em todos os aspectos da
organização.

88

Termos e Definições
  Verosimilhança
  Possibilidade de algo acontecer.
  Nota 1: Na terminologia da gestão do risco, a palavra
verosimilhança é utilizada para indicar a possibilidade de algo
ocorrer, quer essa possibilidade seja definida, medida ou
determinada de forma objectiva ou subjectiva, qualitativa ou
quantitativamente e descrita utilizando termos gerais
matemáticos [como uma probabilidade ou uma frequência num
determinado período de tempo].
  likelihood
equivalência directa em algumas línguas; em vez disso, é
probability
(probabilidade). No entanto o termo em inglês está muitas vezes
limitado à sua interpretação matemática. Por consequência na
likelihood
probability
tem, em muitas línguas que não o inglês.
89
Base da Gestão de riscos

 
… envolve tanto ameaças quanto oportunidades…

… requer uma reflexão aprofundada…

… requer olhar para a frente…

… requer responsabilidade na tomada de decisões…

… requer comunicação…

… requer raciocínio equilibrado…

90

Processo de Gestão do Risco

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

91
 Estrutura para a Gestão de Riscos
4.2 Mandato e compromisso

4.3 Concepção da estrutura para gerir o risco

4.3.1 Compreensão da organização e do seu contexto
4.3.2 Estabelecimento da política da gestão de risco
4.3.3 Responsabilização
4.3.4 Integração nos processos organizacionais
4.3.5 Recursos
4.3.6 Estabelecimento de mecanismos de comunicação e relatos internos
4.3.7 Estabelecimento de mecanismos de comunicação e relatos externos

4.4 Implementação da gestão do risco

4.6 Melhoria contínua
4.3.1 Implementação da estrutura para gerir o risco
da estrutura
4.3.1 Implementação do processo da gestão do risco

4.5 Monitorização e revisão da estrutura

92

Estrutura para a Gestão de Riscos

 
entender a organização

93
Contexto Externo

  Ambiente externo no qual a organização procura atingir os seus

objectivos.
  Ambiente social, cultural, político, legal,
regulamentar, financeiro, tecnológico,
económico, natural e competitivo quer seja
local, regional, nacional e internacional.
  Factores chave e tendências que tenham
impacto sobre os objectivos da organização.
  Relações com as partes interessadas
externas, suas percepções e seus valores.

94

Contexto Interno

  Ambiente interno no qual a organização procura atingir os seus

objectivos.
  Governação, estrutura organizacional,
funções e responsabilizações.
  Políticas, objectivos e as estratégias
implementadas para os alcançar.
  Capacidades entendidas em termos de
recursos e conhecimento.
  Sistemas de informação, fluxos de
informação e processos de tomada de
decisão (formais e informais)
 
95
Partes interessadas

  Accionistas,
  Estado, órgãos reguladores do sector,
  Órgãos regionais / locais
  Colaboradores,
  Utilizadores / Clientes,
  Fornecedores,
  Famílias dos colaboradores,
  Sindicatos,
 

96

Mandato e Compromisso

  Comprometimento forte e sustentado a ser assumido pela gestão

de topo
  Definir e aprovar a política de gestão de
riscos,
  Assegurar que a cultura da organização e a
política de gestão do risco estão alinhadas,
  Determinar indicadores de desempenho da
gestão do risco coerentes com os indicadores
de desempenho da organização,
  Alinhar os objectivos da gestão do risco com
os objectivos e estratégias da organização,

97
Mandato e Compromisso

  Assegurar a conformidade legal e

regulamentar,
  Atribuir responsabilizações e
responsabilidades aos níveis apropriados da
organização,
  Assegurar que os recursos necessários são
alocados à gestão do risco,
  Comunicar as vantagens da gestão do risco a
todas as partes interessadas,
  Assegurar que a estrutura para gerir o risco
se mantém apropriada.

98

  CONCEPÇÃO DA ESTRUTURA PARA GERIR OS

RISCOS

99
Política da gestão do risco

  É importante que a Política fale sobre:

  A fundamentação da organização para gerir o risco,
  Ligações entre os objectivos e as políticas da
organização e a política da gestão do risco,
  Responsabilizações e responsabilidades para gerir o
risco,
  A forma como se lida com os conflitos de interesses,
  Compromisso em disponibilizar os recursos
necessários para apoiar as pessoas responsabilizáveis
e responsáveis por gerir o risco,
  A forma como o desempenho da gestão do risco será
medido e relatado,
  O compromisso para rever e melhorar a política e a
estrutura da gestão do risco, periodicamente e em
resposta a um evento ou alteração de circunstâncias.
100

Exemplos de Políticas
  EDP
  A Política Corporativa de Gestão Empresarial do Risco do Grupo pauta-se, desta
forma, pelo seguinte conjunto de Princípios:

> A Gestão do Risco é uma responsabilidade de todos, desde o Conselho de

Administração Executivo (CAE) até ao colaborador individual. Cada um é
responsável por conhecer os riscos na sua área de actuação e por geri-los de
acordo com as políticas e tolerâncias ao risco aprovadas;
> O Grupo deve gerir os seus riscos significativos numa perspectiva de portfolio,
optimizando o balanço entre o risco e retorno transversalmente a todas as suas
áreas de negócio;
> A Gestão Empresarial do Risco deve estar integrada nos mais relevantes
processos de negócio, nomeadamente no planeamento estratégico e de negócio,
na gestão das operações e nas decisões de investimento, visando assegurar a
inclusão consistente da análise de risco em todas as tomadas de decisão;
> A Gestão Empresarial do Risco é um processo abrangente, disciplinado e
contínuo, no qual os riscos são identificados, analisados e conscientemente aceites,
aumentados ou mitigados dentro das tolerâncias ao risco aprovadas;
> As políticas e procedimentos locais de Gestão do Risco deverão ser consistentes
com a presente política corporativa. Adicionalmente, todas as políticas e
procedimentos locais devem facilitar a agregação, consolidação e revisão a nível
corporativo de todos os riscos significativos.
  (http://www.edp.pt/pt/aedp/governosocietario/gestaodorisco/Pages/RiskManagemen
t.aspx) 101
Exemplos de Políticas

  Política de gestão de risco

  Na Novo Nordisk faremos a gestão do risco de forma a permitir o

crescimento contínuo do nosso negócio e a proteger os nossos
colaboradores, bens, lucros e reputação contra perdas materiais.
Isto significa que iremos:
  Identificar e estabelecer os riscos materiais associados ao
negócio;
  Monitorizar e atenuar os riscos, de forma a maximizar os
benefícios de negócio;
  Utilizar uma gestão de risco comum, sistemática e integrada,
enquanto é mantida uma flexibilidade de negócio.
  (http://www.novonordisk.pt/documents/article_page/document/1_
2_3_10_politica_gestao_risco.asp)
102

Exemplos de Políticas
  GALP ENERGIA
  Os nossos negócios e respetivos resultados estão sujeitos a diversos riscos, nomeadamente de natureza
concorrencial, económica, política, jurídica, regulamentar, social, setorial e financeira
  Os investidores devem ponderar estes riscos uma vez que estes podem ter um impacto substancial,
individual ou coletivamente, nos resultados das atividades da Galp Energia e na sua situação financeira.
Sempre que tal for apropriado, as medidas tomadas pela administração da Empresa para mitigar riscos
são relatadas. Os diversos riscos que se enunciam nesta secção não constituem uma relação exaustiva
dos riscos que podem afetar a Galp Energia.
  Política de gestão de risco
  A Galp Energia está exposta a vários tipos de risco, nomeadamente de mercado e operacionais. A
Empresa definiu políticas e processos para medir, gerir e acompanhar a sua exposição a diversos riscos.
  Riscos de mercado
  A atividade da Galp Energia está sujeita a vários riscos de mercado, nomeadamente à flutuação dos
preços do petróleo, do gás natural e dos produtos petrolíferos, à variação das taxas de câmbio e à
concorrência das empresas que atuam no setor da energia.
  Risco operacional
  Entre os riscos operacionais a que a Galp Energia está sujeita contam-se os riscos de projetos em curso
não serem concluídos e de o desenvolvimento de reservas não ter o resultado esperado.
  Conformidade
  Este tipo de riscos inclui a possibilidade de os impostos e tarifas a que a Empresa está sujeita serem
alterados ou de serem introduzidas novas políticas e regulamentos nos países onde a Galp Energia exerce
a sua atividade.
  Tesouraria, crédito e seguros
  Estes riscos incluem os riscos de variação das taxas de juro, de flutuação do nível de liquidez, de
incobrabilidade de créditos e de cobertura dos planos de reforma dos colaboradores.
  (http://www.galpenergia.com/PT/investidor/GovernoCorporativo/GestaoRisco/Paginas/GestaoRisco.aspx) 103
Responsabilização

  Identificar os proprietário (owner) dos riscos que têm a

responsabilidade e autoridade para gerir o risco.
  Identificar os responsáveis pelo desenvolvimento,
implementação e manutenção da estrutura para gerir o
risco.
  Identificar outras responsabilidades das pessoas, em
todos os níveis da organização no processo de gestão do
risco.
  Estabelecer medição do desempenho e processos de
reporte interno/externo.
  Assegurar níveis de reconhecimento apropriados

104

Integração nos Processos

Organizacionais

  A gestão do Risco deve ser integrada em todos os

processos e práticas da organização.
  A gestão do risco deve parte integrante dos processos
organizacionais.
  Deve existir um plano da gestão do risco para toda a
organização.

105
Recursos

  Deverá afectar os recursos necessários à gestão do risco. Ter

em conta:
  Pessoas, aptidões, experiências e
competências,
  Recursos necessários a cada etapa do
processo,
  Processos, métodos e ferramentas,
  Processos e procedimentos documentados,
  Sistemas da gestão da informação e do
conhecimento,
  Programas de formação.

106

Estabelecimento de mecanismos de
comunicação e relato

  Estabelecer mecanismos de comunicação e relato para

apoiar e encorajar a responsabilização apropriação do
risco - internamente

  Elaborar e implementar um plano, quanto ao modo de com

as partes interessadas externas.

107
  IMPLEMENTAÇÃO DA GESTÃO DO RISCO

108

IMPLEMENTAÇÃO DA GESTÃO DO
RISCO

  Implementação da estrutura para gerir o risco

  Definir calendário e uma estratégia para

implementação da estrutura;
  Aplicar a política e o processo de gestão do
risco aos processos da organização;
  Cumprir os requisitos legais e
regulamentares;
  Realizar sessões de informação e formação;
  Comunicar e consultar as partes
interessadas.

109
IMPLEMENTAÇÃO DA GESTÃO DO
RISCO

  Implementação do Processo da gestão do risco

 Estabelecer um plano de gestão do

risco a todos os níveis e funções da
organização envolvidos.

110

IMPLEMENTAÇÃO DA GESTÃO DO
RISCO

  Monitorização e revisão da estrutura

  Medir o desempenho da gestão do risco face

a indicadores;
  Medir periodicamente o progresso e os
desvios em relação ao plano da gestão do
risco;
  Rever periodicamente se a estrutura, a
política e o plano continuam adequados;
  Elaborar relatórios sobre o risco, o progresso
do plano e do cumprimento da política;
  Rever a eficácia da estrutura.
111
IMPLEMENTAÇÃO DA GESTÃO DO
RISCO

  Melhoria contínua da estrutura

 Decisões sobre o modo como a

estrutura, a política e o plano da
gestão do risco deverão ser
melhorados podem ser tomadas tendo
por base os resultados da
monitorização e revisão.

112

  O PROCESSO DA GESTÃO DO RISCO

113
O PROCESSO DA GESTÃO DO RISCO

  O processo de avaliação de riscos tenta responder às seguintes

questões fundamentais:
  O que pode acontecer e por quê (pela
identificação de riscos)?
  Quais são as consequências?
  Qual é a probabilidade de sua ocorrência
futura?
  Existem factores que mitigam a consequência
do risco ou que reduzam a probabilidade do
risco?
  O nível de risco é tolerável ou aceitável e
requer tratamento adicional?
114

O PROCESSO DA GESTÃO DO RISCO

  O processo deve ser:

 Uma parte integrante da gestão,

 Integrado na cultura e práticas
organizacionais,
 Feito à medida dos processos de
negócio da organização.

115
O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

116

O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

127
Identificação do risco

  Para a selecção de técnicas e ferramentas recomenda-se:

  ISO/IEC 31010:2009 - Risk

management Risk assessment
techniques

 ABNT NBR ISO/IEC 31010:2012 -

Gestão de riscos Técnicas para o
processo de avaliação de riscos.

136

Identificação do risco

  Esta norma traz no seu Anexo A (informativo) uma

comparação das técnicas para o processo de avaliação de
riscos;
  e no Anexo B (informativo) as técnicas para o processo de
avaliação de risco.

  NORMA\31010_FDIS.pdf

  http://www.slideshare.net/fdecicco/nbr-iso-iec-
31010tcnicas-de-avaliao-de-riscos?from_search=8

138
O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

139

O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

145
O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

148

Tratamento do risco

  O tratamento do risco implica a selecção de uma ou mais

opções para modificar os riscos e,

  A implementação dessas opções.

  Uma vez implementados, os tratamentos proporcionam

controlos ou modificações em controlos já existentes.

149
Tratamento do risco

  O tratamento do risco implica um processo cíclico

 Apreciar um tratamento do risco;

 Decidir se os níveis do risco residual,
são toleráveis;
 Se não forem toleráveis, gerar um
novo tratamento;
 Apreciar a eficácia desse tratamento

150

Tratamento do risco

  As opções de tratamento podem incluir:

  Evitar o risco mediante decisão de não iniciar

ou continuar a actividade portadora do risco;
  Assumir ou aumentar o risco de forma a
perseguir uma oportunidade;
  Remover a fonte do risco;
  Alterar a verosimilhança;
  Alterar as consequências;
  Partilhar o risco com outras partes;
  Reter o risco com base em decisão
informada.
151
Tratamento do risco

  Selecção de opções de tratamento do risco

  A selecção da opção do tratamento mais
apropriada implica comparar os custos e
esforços da sua implementação, bem como
os benefícios resultantes, tendo em conta os
requisitos legais, regulamentares e outros tais
como responsabilidade social e protecção do
meio ambiente.
  As decisões devem também ter em conta
riscos cujo tratamento não é facilmente
justificável por motivos económicos, ex.:
riscos graves (elevada consequência
negativa) mas raros (baixa verosimilhança)
152

Tratamento do risco

  Selecção de opções de tratamento do risco

  O plano de tratamento deve indicar a ordem
de prioridade de implementação dos
tratamentos individuais do risco;
  O tratamento por si só pode introduzir novos
riscos;
  A falha ou ineficácia das medidas de
tratamento pode constituir um risco
significativo;
  A monitorização deve fazer parte do plano de
tratamento do risco, de forma a garantir que
as medidas permanecem eficazes;
153
Tratamento do risco

  Preparação e implementação dos planos de tratamento do risco

  O objectivo dos planos de tratamento é
documentar a forma como as opções de
tratamento escolhidas serão implementadas.
  A informação a inclui nos planos deve ser:
As razões para a selecção das opções de tratamento, incluindo os
benefícios que se espera obter;
Os que são responsabilizados pela aprovação do plano e os
responsáveis pela sua implementação;
As acções propostas;
Os requisitos de recursos incluindo contingências;
As medidas do desempenho e constrangimentos;
Os requisitos de relato e monitorização;
A calendarização e cronograma.

154

O PROCESSO DA GESTÃO DO RISCO

(5.3)

(5.4)

(5.4.2)

Monitorização
(5.4.3) e Revisão
(5.2) (5.6)

(5.4.4)

(5.5)

155
Monitorização e Revisão

  O processo da gestão do risco deve incluir:

 Verificação / Vigilância regular

(periódica ou ad hoc);

 Definição clara de responsabilidades

pela monitorização e revisão;

 Abranger todos os aspectos do

processo de gestão
156

Monitorização e Revisão

  A Monitorização e Revisão tem como objectivo:

  Assegurar que os controlos são eficazes e eficientes,
quer na concepção, quer na operação;
  Obter informação adicional para melhorar a apreciação
do risco;
  Analisar e aprender com eventos (incluindo os quase
acidentes), mudanças, tendências, sucessos e falhas;
  Detectar alterações no contexto externo e interno,
incluindo alterações aos critérios de risco e ao próprio
risco, que podem requerer a revisão dos tratamentos
do risco e das prioridades;
  Identificar riscos emergentes.

157
Monitorização e Revisão

  A Monitorização e Revisão pretende:

 Avaliar o progresso na / e da
implementação dos planos de
tratamento do risco;
 Constituir uma medida do seu
desempenho;

  Os resultados devem ser registados e reportados externa

e internamente conforme apropriado.
  Devem ser usados como uma das entradas para a revisão
da estrutura da gestão do risco.
158

Registo do processo da gestão do risco

  As actividades realizadas e a realizar devem ser

rastreáveis.
  Os registos fornecem a consolidação do conhecimento;
  Fornecem a base para a melhoria dos métodos e
ferramentas;
  E para a melhoria do processo da gestão do risco.

159
Registo do processo da gestão do risco

  As decisões relativas à criação de registos devem ter em conta:

  As necessidades de aprendizagem da organização;
  Os benefícios da reutilização da informação para
efeitos de gestão;
  Os custos e os esforços envolvidos na criação e sua
manutenção;
  As necessidades legais, regulamentares e
operacionais;
  O método de acesso, facilidade de consulta e meios de
armazenamento;
  O período de retenção;
  A sensibilidade da informação

160

Sistema de Gestão da Risco

  Como implementar um SGR?

161
Sistema de Gestão da Risco

  Como implementar um SGR?

  Aplique-se a NP ISO 31000:2013

162