Escolar Documentos
Profissional Documentos
Cultura Documentos
DE RISCOS
Simone Fraporti
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas
Especialista em Controladoria e Finanças
ISBN 978-85-9502-334-5
CDU 658.88
Introdução
A Norma Brasileira da Associação Brasileira de Normas Técnicas
(NBR-ABNT) da Organização Internacional de Normalização (ISO) 31000,
publicada em 2009, veio para fornecer princípios e diretrizes genéricas
para auxiliar as organizações na gestão de riscos.
Ao contrário de muitas outras normas, a ISO 31000 não é específica
para nenhum ramo ou atividade, podendo ser utilizada por qualquer
tipo de organização, aplicada para qualquer tipo de risco e servir de
base de consulta ao longo da vida da organização, norteando a es-
truturação de estratégias, decisões, processos, entre outras atividades
que devem ser elaboradas de acordo com as particularidades de cada
organização.
Neste capítulo, você irá estudar termos, definições, princípios e estru-
tura do processo de gestão de riscos segundo a ISO 31000.
decisões, processos, entre outras atividades, que devem ser elaboradas sempre
observando as particularidades de cada organização (ASSOCIAÇÃO BRA-
SILEIRA DE NORMAS TÉCNICAS, 2009).
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer
uma padronização na terminologia e nos conceitos utilizados em gestão de
riscos pelas organizações, foi baseada na primeira norma mundial que abordou
o tema gestão de riscos empresariais, a Norma AS NZS nº 4.360/2004.
O intuito da norma é atender às necessidades de uma ampla variedade de
partes interessadas, com a finalidade de assegurar o correto gerenciamento dos
riscos. Assim, vamos começar relacionando os principais termos e definições
utilizados na norma. A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NOR-
MAS TÉCNICAS, 2009) faz referência a vários termos que são pertinentes à
gestão de riscos e traz suas definições, como você pode acompanhar a seguir.
Risco: efeito da incerteza nos objetivos.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma
organização no que se refere ao risco.
Estrutura da gestão de riscos: conjunto de componentes que fornecem os
fundamentos e os arranjos organizacionais para concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos por
toda a organização.
Política de gestão de riscos: declaração das intenções e diretrizes gerais
de uma organização relacionadas à gestão de riscos.
Atitude perante o risco: abordagem da organização para avaliar e even-
tualmente buscar, manter, assumir ou afastar-se do risco.
Apetite pelo risco: quantidade e tipo de riscos que uma organização está
preparada para buscar, manter ou assumir.
Aversão ao risco: atitude de se afastar dos riscos.
Plano de gestão de riscos: plano da estrutura da gestão de riscos, es-
pecificando a abordagem, os componentes de gestão e os recursos a serem
aplicados para gerenciá-los.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a
autoridade para gerenciar o risco.
Processo de gestão de riscos: aplicação sistemática de políticas, proce-
dimentos e práticas de gestão para as atividades de comunicação, consulta,
estabelecimento do contexto, identificação, análise, avaliação, tratamento,
monitoramento e análise crítica dos riscos.
Estabelecimento do contexto: definição dos parâmetros externos e internos
a serem considerados ao se efetuar o gerenciamento de riscos, e estabelecimento
do escopo e dos critérios de risco para a política de sua gestão.
ISO 31000 157
g) Gestão de riscos é feita sob medida: está alinhada com o contexto
interno e externo da organização e com o perfil do risco.
h) Gestão de riscos considera fatores humanos e culturais: reco-
nhece capacidades, percepções e intenções do pessoal interno e
externo que podem facilitar ou dificultar a realização dos objetivos
da organização.
i) Gestão de riscos é transparente e inclusiva: o envolvimento apropriado
e oportuno de partes interessadas e, em particular, dos tomadores de
decisão em todos os níveis da organização assegura que a gestão de
riscos permaneça pertinente e atualizada.
j) Gestão de riscos é dinâmica, iterativa e capaz de reagir a mudan-
ças: o envolvimento também permite que as partes interessadas sejam
devidamente representadas e tenham suas opiniões consideradas na
determinação dos critérios de risco.
k) Gestão de riscos facilita a melhoria contínua da organização: con-
vém que as organizações desenvolvam e implementem estratégias para
melhorar a sua maturidade na gestão de riscos juntamente a todos os
demais aspectos da sua organização.
Comunicação e consulta
Tanto a intenção de comunicar e consultar de maneira eficaz como os recursos
disponíveis para tal, requerem que isso seja considerado e expresso de maneira
explícita, quando a estrutura for projetada.
Estabelecimento do contexto
A definição dos critérios para gestão de riscos, o escopo da gestão, as áreas e
os setores envolvidos, devem ser divididos em contexto interno e externo. No
contexto interno, serão consideradas estrutura organizacional, responsabilida-
des, processos, sistemas de informação internos e diálogo e relações com as
partes interessadas internas. No contexto externo, questões como o ambiente
legal, social, cultural, político, financeiro, tecnológico, econômico, entre
outros devem ser avaliados, assim como a relação com as partes interessadas
externas, a sua percepção e seus valores.
Avaliação de riscos
O processo de avaliação de riscos é o processo que engloba a identificação, a
análise e a avaliação de riscos.
Identificação de riscos
A organização deve identificar fontes de risco, áreas de impactos, eventos e suas
causas e consequências potenciais. O objetivo é gerar uma lista de riscos que
possam impactar de alguma forma a realização dos objetivos. É importante total
atenção e esforço nessa análise para que todos os riscos sejam identificados.
A tendência é que as organizações, com o tempo, passem a incrementar essa
lista com novas fontes de risco, e o processo deve melhorar continuamente.
Contudo, é conveniente que pessoas com um conhecimento adequado sejam
envolvidas na fase de identificação dos riscos.
Análise de riscos
A análise de riscos fornece uma compreensão sobre os riscos da organização.
Envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e também a probabilidade de que essas consequências
possam ocorrer. São analisados todos os riscos identificados na etapa anterior,
constatando quais são as consequências e probabilidade dos riscos.
Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base
nos resultados da análise de riscos, quais riscos necessitam de tratamento e
162 ISO 31000
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modi-
ficar os riscos e a implementação dessas opções. Uma vez implementado, o
tratamento fornece novos controles ou modifica os existentes. São opções de
tratamento de riscos: