GERENCIAMENTO

DE RISCOS

Simone Fraporti
 Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas
Especialista em Controladoria e Finanças

F838g Fraporti, Simone.

Gerenciamento de riscos / Simone Fraporti, Jeanine
Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre :
SAGAH, 2018.
166 p. ; 22,5 cm

ISBN 978-85-9502-334-5

1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.

II. Título.

CDU 658.88

Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147

ISO 31000
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

„„ Identificar os termos e as definições da ISO 31000.

„„ Listar os princípios da ISO 31000.
„„ Discutir a estrutura do processo de gestão de riscos segundo a ISO
31000.

Introdução
A Norma Brasileira da Associação Brasileira de Normas Técnicas
(NBR-ABNT) da Organização Internacional de Normalização (ISO) 31000,
publicada em 2009, veio para fornecer princípios e diretrizes genéricas
para auxiliar as organizações na gestão de riscos.
Ao contrário de muitas outras normas, a ISO 31000 não é específica
para nenhum ramo ou atividade, podendo ser utilizada por qualquer
tipo de organização, aplicada para qualquer tipo de risco e servir de
base de consulta ao longo da vida da organização, norteando a es-
truturação de estratégias, decisões, processos, entre outras atividades
que devem ser elaboradas de acordo com as particularidades de cada
organização.
Neste capítulo, você irá estudar termos, definições, princípios e estru-
tura do processo de gestão de riscos segundo a ISO 31000.

ISO 31000 – termos e definições

A ABNT, órgão privado e sem fins-lucrativos que se destina a padronizar as
técnicas de produção feitas no país, publicou a ABNT NBR ISO 31000 em
2009, com orientações genéricas sobre a gestão formal de risco, de forma que
possa ser adequada aos mais variados contextos organizacionais e aplicada
para qualquer tipo de risco. Seu principal objetivo é servir de base de consulta
ao longo da vida da organização, norteando a estruturação de estratégias,
156 ISO 31000

decisões, processos, entre outras atividades, que devem ser elaboradas sempre
observando as particularidades de cada organização (ASSOCIAÇÃO BRA-
SILEIRA DE NORMAS TÉCNICAS, 2009).
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer
uma padronização na terminologia e nos conceitos utilizados em gestão de
riscos pelas organizações, foi baseada na primeira norma mundial que abordou
o tema gestão de riscos empresariais, a Norma AS NZS nº 4.360/2004.
O intuito da norma é atender às necessidades de uma ampla variedade de
partes interessadas, com a finalidade de assegurar o correto gerenciamento dos
riscos. Assim, vamos começar relacionando os principais termos e definições
utilizados na norma. A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NOR-
MAS TÉCNICAS, 2009) faz referência a vários termos que são pertinentes à
gestão de riscos e traz suas definições, como você pode acompanhar a seguir.
Risco: efeito da incerteza nos objetivos.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma
organização no que se refere ao risco.
Estrutura da gestão de riscos: conjunto de componentes que fornecem os
fundamentos e os arranjos organizacionais para concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos por
toda a organização.
Política de gestão de riscos: declaração das intenções e diretrizes gerais
de uma organização relacionadas à gestão de riscos.
Atitude perante o risco: abordagem da organização para avaliar e even-
tualmente buscar, manter, assumir ou afastar-se do risco.
Apetite pelo risco: quantidade e tipo de riscos que uma organização está
preparada para buscar, manter ou assumir.
Aversão ao risco: atitude de se afastar dos riscos.
Plano de gestão de riscos: plano da estrutura da gestão de riscos, es-
pecificando a abordagem, os componentes de gestão e os recursos a serem
aplicados para gerenciá-los.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a
autoridade para gerenciar o risco.
Processo de gestão de riscos: aplicação sistemática de políticas, proce-
dimentos e práticas de gestão para as atividades de comunicação, consulta,
estabelecimento do contexto, identificação, análise, avaliação, tratamento,
monitoramento e análise crítica dos riscos.
Estabelecimento do contexto: definição dos parâmetros externos e internos
a serem considerados ao se efetuar o gerenciamento de riscos, e estabelecimento
do escopo e dos critérios de risco para a política de sua gestão.
 ISO 31000 157

Contexto externo: ambiente fora da organização, no qual fatores externos

impactam os objetivos da organização.
Contexto interno: ambiente interno no qual a organização busca atingir
seus objetivos.
Comunicação e consulta: processos contínuos e interativos que uma
organização conduz para fornecer, compartilhar ou obter informações, com
relação ao gerenciamento de riscos.
Parte interessada: pessoa ou organização que pode afetar, ser afetada,
ou perceber-se afetada por uma decisão ou atividade.
Processo de avaliação de riscos: processo global de identificação de
riscos, análise de riscos e avaliação dos riscos.
Identificação dos riscos: processo de busca, reconhecimento e descrição
de riscos.
Fonte de risco: elemento que, individualmente ou combinado, tem o po-
tencial intrínseco para dar origem ao risco, pode ser tangível ou intangível.
Evento: ocorrência ou alteração em um conjunto específico de circunstâncias.
Consequência: resultado de um evento que afeta os objetivos.
Probabilidade: chance de algo acontecer.
Perfil de risco: descrição de um conjunto qualquer de riscos.
Análise de riscos: processo pelo qual se busca compreender a natureza
do risco e determinar o seu nível.
Critérios de risco: termos de referência contra a qual o significado de
um risco é avaliado.
Nível de risco: magnitude de um risco, expressa em termos da combinação
das consequências e de suas probabilidades.
Avaliação de riscos: processo de comparação dos resultados da análise de
riscos com os critérios de risco, para determinar se o risco e/ou sua magnitude
é aceitável ou tolerável.
Tratamento de riscos: processo para modificar o risco.
Controle: medida que está modificando o risco.
Risco residual: risco remanescente após o tratamento do risco.
Monitoramento: verificação, supervisão, observação crítica ou identifica-
ção da situação, executadas de forma contínua, a fim de identificar mudanças
no nível de desempenho requerido ou esperado.
Análise crítica: atividade realizada para determinar adequação, suficiência
e eficácia do assunto em questão para atingir os objetivos estabelecidos.
O propósito fundamental da ISO 31000 foi consolidar diferentes conceitos
e terminologias e apresentação de diretrizes e princípios para a implementação
de estruturas de gerenciamento de riscos aplicáveis às organizações, inde-
158 ISO 31000

pendentemente de seu tamanho, segmento ou área de atuação (INSTITUTO

BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2017).

Princípios da ISO 31000

Princípios, além de terem o significado de origem, também podem ser consi-
derados a base de sustentação de uma norma. São ideias genéricas, das quais
podem ser extraídas concepções e intenções para a criação de outras normas.
A ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNI-
CAS, 2009) apresenta alguns princípios importantes para a gestão de riscos
que julga convenientes de serem adotados ou adaptados em todos os níveis
da organização, para uma gestão eficaz, observe os itens a seguir.

a)  Gestão de riscos cria e protege valor: a gestão de riscos contribui

para a realização demonstrável dos objetivos e para a melhoria do
desempenho referente, por exemplo, à segurança e saúde das pessoas,
à conformidade legal e regulatória, à aceitação pública, à proteção do
meio ambiente, à qualidade do produto, ao gerenciamento de projetos,
à eficiência nas operações, à governança e à reputação.
b)  Gestão de riscos é parte integrante de todos os processos orga-
nizacionais: faz parte das responsabilidades da administração e é
parte integrante de todos os processos organizacionais, incluindo o
planejamento estratégico e todos os processos de gestão de projetos e
gestão de mudanças.
c)  Gestão de riscos é parte da tomada de decisões: auxilia os tomadores
de decisão a fazer escolhas conscientes, priorizar ações e distinguir
entre formas alternativas de ação.
d)  Gestão de riscos aborda explicitamente a incerteza: considera a
incerteza, a natureza dessa incerteza e como ela pode ser tratada.
e)  Gestão de riscos é sistemática, estruturada e oportuna: contribui
para a eficiência e para os resultados consistentes, comparáveis e
confiáveis.
f)  Gestão de riscos baseia-se nas melhores informações disponíveis:
as entradas para o processo de gerenciar riscos são baseadas em
fontes de informação, como dados históricos, experiências, retroali-
mentação das partes interessadas, observações, previsões e opiniões
de especialistas.
 ISO 31000 159

g)  Gestão de riscos é feita sob medida: está alinhada com o contexto
interno e externo da organização e com o perfil do risco.
h)  Gestão de riscos considera fatores humanos e culturais: reco-
nhece capacidades, percepções e intenções do pessoal interno e
externo que podem facilitar ou dificultar a realização dos objetivos
da organização.
i)  Gestão de riscos é transparente e inclusiva: o envolvimento apropriado
e oportuno de partes interessadas e, em particular, dos tomadores de
decisão em todos os níveis da organização assegura que a gestão de
riscos permaneça pertinente e atualizada.
j)  Gestão de riscos é dinâmica, iterativa e capaz de reagir a mudan-
ças: o envolvimento também permite que as partes interessadas sejam
devidamente representadas e tenham suas opiniões consideradas na
determinação dos critérios de risco.
k)  Gestão de riscos facilita a melhoria contínua da organização: con-
vém que as organizações desenvolvam e implementem estratégias para
melhorar a sua maturidade na gestão de riscos juntamente a todos os
demais aspectos da sua organização.

O objetivo principal da ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE

NORMAS TÉCNICAS, 2009), ao descrever esses princípios e orientações
genéricas sobre gestão de riscos, é proporcionar subsídios concretos às or-
ganizações, facilitando o desenvolvimento de planos de gestão de riscos,
adaptados a sua realidade.

Estrutura do processo de gestão de riscos

segundo a ISO 31000
O processo de gestão de riscos deve ser considerado e tratado como parte
integrante da gestão, incorporado na cultura e nas práticas em todos os
níveis e funções pertinentes da organização, como parte de suas práticas
e processos.
A estrutura do processo de gestão de riscos conforme a ISO 31000 (AS-
SOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) é baseado nas
atividades de descritas nos itens 5.2 a 5.6 da norma, conforme apresentadas
na Figura 1.
160 ISO 31000

Figura 1. Processo de gestão de risco.

Fonte: Associação Brasileira de Normas Técnicas (2009).

Comunicação e consulta
Tanto a intenção de comunicar e consultar de maneira eficaz como os recursos
disponíveis para tal, requerem que isso seja considerado e expresso de maneira
explícita, quando a estrutura for projetada.

Consultar as partes interessadas, tanto externas como internas é funda-

mental e deverá ocorrer em todas as fases (estabelecimento dos critérios
de risco, identificação, avaliação e tratamento de riscos) ou em ocorrências
de sinistros.
É necessário que a organização tenha técnicas e ferramentas adequadas
para comunicação e consulta. Softwares podem ser uma ótima plataforma
de comunicação e gestão do conhecimento. Tanto a intenção de comunicar e
consultar de maneira eficaz como os recursos disponíveis para tal requerem
que isso seja considerado e expresso de maneira explícita, quando a estrutura
for projetada.
 ISO 31000 161

Estabelecimento do contexto
A definição dos critérios para gestão de riscos, o escopo da gestão, as áreas e
os setores envolvidos, devem ser divididos em contexto interno e externo. No
contexto interno, serão consideradas estrutura organizacional, responsabilida-
des, processos, sistemas de informação internos e diálogo e relações com as
partes interessadas internas. No contexto externo, questões como o ambiente
legal, social, cultural, político, financeiro, tecnológico, econômico, entre
outros devem ser avaliados, assim como a relação com as partes interessadas
externas, a sua percepção e seus valores.

Avaliação de riscos
O processo de avaliação de riscos é o processo que engloba a identificação, a
análise e a avaliação de riscos.

Identificação de riscos
A organização deve identificar fontes de risco, áreas de impactos, eventos e suas
causas e consequências potenciais. O objetivo é gerar uma lista de riscos que
possam impactar de alguma forma a realização dos objetivos. É importante total
atenção e esforço nessa análise para que todos os riscos sejam identificados.
A tendência é que as organizações, com o tempo, passem a incrementar essa
lista com novas fontes de risco, e o processo deve melhorar continuamente.
Contudo, é conveniente que pessoas com um conhecimento adequado sejam
envolvidas na fase de identificação dos riscos.

Análise de riscos 
A análise de riscos fornece uma compreensão sobre os riscos da organização.
Envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e também a probabilidade de que essas consequências
possam ocorrer. São analisados todos os riscos identificados na etapa anterior,
constatando quais são as consequências e probabilidade dos riscos.

Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base
nos resultados da análise de riscos, quais riscos necessitam de tratamento e
162 ISO 31000

a prioridade para a implementação do tratamento. É nesta fase que se define

se um risco deve ou não ser tratado e como será a prioridade.

Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modi-
ficar os riscos e a implementação dessas opções. Uma vez implementado, o
tratamento fornece novos controles ou modifica os existentes. São opções de
tratamento de riscos:

„„ evitar o risco – não iniciando ou descontinuar a atividade que dá origem

ao risco;
„„ remover a fonte de risco;
„„ alterar a probabilidade;
„„ alterar as consequências;
„„ compartilhar o risco com outra parte ou partes; e
„„ reter o risco por uma decisão consciente e bem embasada.

Monitoramento e análise crítica  

A melhoria contínua deve acontecer sempre, ao longo de todo o processo
de gestão de riscos, pois os critérios de riscos poderão ser alterados, novas
ocorrências poderão incrementar as listas de riscos e oportunidades poderão
ser consideradas. O contexto interno e externo também pode sofrer alterações,
e a organização precisa aprender com seus sucessos e falhas.
Os elementos “comunicação e consulta” e “monitoramento e análise crí-
tica” são considerados de ação contínua do processo de gestão de riscos. A
comunicação e consulta implica no envolvimento das partes interessadas,
internas e externas, considerando seus pontos de vista e conhecendo seus
objetivos por meio de envolvimento planejado. Já o monitoramento e análise
crítica preveem a tomada de ação no momento em que surgirem novos riscos
que mudem os riscos existentes, ameaçando os objetivos organizacionais ou
os ambientes interno e externo (PURDY, 2010 apud ROSA; TOLEDO, 2015).
O objetivo da estrutura do processo de gestão de risco apresentado na ISO
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) não
é propriamente estabelecer ou fixar um fluxograma da gestão de riscos, mas
é o de mostrar o relacionamento que existe entre as atividades da norma que
definem esse processo.
 ISO 31000 163

Preda (2013 apud ROSA; TOLEDO, 2015), recomenda observar alguns

passos importantes para implementar a ISO 31000:

„„ conquistar o apoio e a adesão da direção para que a norma seja imple-

mentada, com todos os recursos necessários;
„„ formar um comitê para trabalhar na implementação, com o responsável
sendo alguém indicado pela alta direção, e com pessoas com bom
conhecimento sobre processos organizacionais e boa comunicação
oral e escrita;
„„ estabelecer e descrever o plano de implementação, com as especialidades
e funções necessárias;
„„ prover treinamento e suporte técnico;
„„ organizar atividades de conscientização, divulgando o objetivo da
implementação da norma, suas vantagens, seu funcionamento, funções
e responsabilidades;
„„ garantir que o processo baseado na norma esteja alinhado aos processos
da organização;
„„ desenvolver documentos de gestão de riscos (política, plano, processo,
instruções de trabalho);
„„ obter aprovação da diretoria para toda documentação implementada;
„„ publicar, informar e obter feedback dos envolvidos;
„„ implementar o processo de gestão de riscos (podendo realizar período
de teste);
„„ realizar auditoria interna;
„„ realizar análise crítica pela diretoria.

Diante de todo o contexto apresentado, você pode compreender que estamos

diante de uma crescente indissociabilidade entre a gestão de riscos e as ativida-
des organizacionais, pois, cada vez mais, se confirma que as organizações que
possuem processos de gerenciamento de riscos eficazes têm mais possibilidades
de ter sucesso nos objetivos traçados e garantir a sua sobrevivência no mercado.
A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS,
2009) traz recomendações que podem ser seguidas na sua totalidade ou em
parte, dependendo das características da organização. A aplicação dos seus
princípios e diretrizes apresenta passos que direcionam as atividades para a
eficiência operacional, que melhoram a governança corporativa e aumentam
a confiança das partes interessadas. Integrar as boas práticas aos projetos e
operações diárias, estabelecendo uma estrutura baseada nas orientações da
ISO 31000 é o grande desafio das organizações (ROSA; TOLEDO, 2015).
164 ISO 31000
1. A ISO 31000 (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS,
2009) faz referência a vários
termos que são pertinentes à
gestão de riscos. A abordagem
da organização para avaliar
e eventualmente buscar,
manter, assumir ou afastar o
risco é a definição de: a concepção, implementação,
a) gestão de riscos.
b) fonte de riscos.
c) aversão ao risco.
d) atitude perante o risco.
e) apetite pelo risco.
2. Os princípios podem ser
considerados como base de
sustentação de uma norma. A ISO
31000 (ASSOCIAÇÃO BRASILEIRA
DE NORMAS TÉCNICAS, 2009)
apresenta alguns princípios
importantes para a gestão de
riscos. Quais das definições a
seguir diz respeito ao princípio de
“criar e proteger valor”? NORMAS TÉCNICAS, 2009),
a) Está alinhada com o contexto
interno e externo da organização
e com o perfil do risco.
b) A gestão de riscos contribui
para a realização demonstrável
dos objetivos e para a
melhoria do desempenho.
c) As organizações devem
desenvolver e implementar
estratégias para melhorar a sua
maturidade na gestão de riscos,
juntamente a todos os demais
aspectos da sua organização.
d) Auxilia os tomadores de decisão
a fazer escolhas conscientes,
priorizar ações e distinguir entre
formas alternativas de ação.
e) Considera a incerteza, a
natureza dessa incerteza e
como ela pode ser tratada.
3. O conjunto de componentes
que fornecem os fundamentos e
os arranjos organizacionais para
monitoramento, análise
crítica e melhoria contínua
da gestão de riscos por a
organização, segundo a ISO
31000 (ASSOCIAÇÃO BRASILEIRA
DE NORMAS TÉCNICAS,
2009), corresponde a(o)?
a) Estrutura e gestão de riscos.
b) Política de gestão de riscos.
c) Plano de gestão de riscos.
d) Processo de gestão de riscos.
e) Processo de avaliação de riscos.
4. Segundo a ISO 31000
(ASSOCIAÇÃO BRASILEIRA DE
convém que o processo de gestão
de riscos seja considerado e
tratado como ______________
da gestão, ___________ na
cultura e nas práticas em _______
níveis e funções da organização.
Qual das alternativas a seguir
completa corretamente a frase?
a) Algo à parte; sem interferir; todos.
b) Algo à parte; incorporado; todos.
c) Parte integrante; apartado; todos.
d) Parte integrante;
incorporado; alguns.
e) Parte integrante;
incorporado; todos.
 ISO 31000 165

5. No que diz respeito ao processo para a implementação do

de gestão de riscos proposto
pela ISO 31000 (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS,
2009), a etapa específica para
auxiliar na tomada de decisões
sobre quais riscos necessitam
de tratamento e a prioridade
tratamento, é denominada:
a) identificação dos riscos.
b) tratamento de riscos.
c) avaliação de riscos.
d) análise de riscos.
e) estabelecimento do
contexto interno.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos:

princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos
corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série
Cadernos de Governança Corporativa, 19).
ROSA, G. M.; TOLEDO, J. C. Gestão de riscos e a norma ISO 31000: importância e
impasses rumo a um consenso. In: CONGRESSO BRASILEIRO DE ENGENHARIA DE
PRODUÇÃO, 5., 2015, Ponta Grossa. Anais... Ponta Grossa: CONBREPRO, 2015.
 Encerra aqui o trecho do livro disponibilizado para
esta Unidade de Aprendizagem. Na Biblioteca Virtual
da Instituição, você encontra a obra na íntegra.
Conteúdo: