CÓDIGO: PRO-QUA-008

PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 1/9

1. OBJETIVO
Estabelecer metodologia para realização de gestão de riscos de acordo com o contexto da organização e as
expectativas das partes interessadas, em todas as etapas do processo de execução e do planejamento do QSMS,
para assegurar que o Sistema alcance os resultados pretendidos, aumente os efeitos desejáveis, previna, ou
reduza os efeitos indesejáveis, e alcance melhorias necessárias.

2. ABRANGÊNCIA
Aplicável para todos os setores que emitem documentos.

3. DOCUMENTOS DE REFERÊNCIA
 NBR ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes.
 NBR ISO 9001:2015 - Sistema de Gestão da Qualidade - Requisitos.
 NBR ISO 14001:2015 - Sistema de Gestão Ambiental - Requisitos.
 NBR ISO 45001:2018 - Sistema de Gestão da Segurança e Saúde no Trabalho - Requisitos.

4. SIGLAS E DEFINIÇÃO
4.1 SIGLA
 O: Obrigatório
 F: Facultativo
 N/A: Não aplicável
 TAT: Tático
 OPE: Operacional

4.2 DEFINIÇÃO
 TEC - Outros documentos: Planejamentos, Indicadores, Registros e outros utilizados como suporte e apoio
ao funcionamento do QSMS.]
 Riscos: efeito da incerteza nos objetivos (metas financeiras, de SMS, operacionais, etc.), muitas vezes
caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes (ISO
31000:2009). “Risco é a probabilidade de um evento acontecer, seja ele uma ameaça, quando negativo, ou
oportunidade, quando positivo. É o resultado obtido pela efetividade do perigo. Perigo é uma ou mais
condições que têm o perfil de causar ou contribuir para que o Risco aconteça. Não se mede e não há como
eliminar o Risco. O Risco é um evento, ele está lá e pode acontecer a qualquer momento.” (ALBUQUERQUE,
2015)
 Incerteza: é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua
compreensão, seu conhecimento, sua consequência ou sua probabilidade.
 Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
 Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.
 Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, que especifica a abordagem,
os componentes de gestão e os recursos a serem aplicados para gerenciar riscos.
 Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para
as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação,
tratamento, monitoramento e análise crítica dos riscos.
 Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em
consideração ao gerenciar riscos, e estabelecimento do escopo e dos critérios de risco para a política de
gestão de riscos.
 Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos
 Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos.
 Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma
decisão ou atividade.
 Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação
de riscos.

Elaborado por: Qualidade Revisado por: Gerente Aprovado por: Gerente da área

Vanessa Klem Freitas Célio Magalhães Wesley Velasco

CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 2/9

 Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao
risco, e ela pode ser tangível ou intangível.
 Probabilidade (likelihood): chance de algo acontecer.
 Análise de riscos: processo de compreender a natureza do risco e determinar o nível de risco.
 Critérios de risco: termos de referência contra os quais a significância de um risco é avaliada (com base nos
objetivos organizacionais, no contexto externo e interno).
 Nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das
consequências e de suas probabilidades.
 Risco: residual: risco remanescente após o tratamento do risco, e pode conter riscos não identificados.

5. RESPONSABILIDADE
5.1 QUALIDADE
Mapear e determinar os documentos requeridos pelas normas aplicáveis ao Sistema de Gestão;
Criar, padronizar, emitir, aprovar, promover a análise crítica, revisar, controlar a distribuição dos documentos de
origem interna e externa, bem como zelar pela proteção dos registros utilizados para reter informações.

5.2 GERENCIA E SETORES

Apoiar a emissão, analisar e aprovar os documentos do Sistema de Gestão.
Zelar pela proteção dos registros utilizados para reter informações.

CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 3/9

6. PRINCÍPIOS DA GESTÃO DE RISCO

Para a gestão de riscos ser eficaz convém que uma organização, em todos os níveis, atenda aos princípios abaixo
descritos.
a) A gestão de riscos cria e protege valor: Para a proteção ao meio ambiente, à segurança e saúde das
pessoas, à segurança, à conformidade legal e regulatória, à qualidade do produto, etc.
b) A gestão de riscos é parte integrante de todos os processos organizacionais: não é uma atividade
autônoma, faz parte das responsabilidades da administração e é parte integrante de todos os processos
organizacionais.
c) A gestão de riscos é parte da tomada de decisões
d) A gestão de riscos aborda explicitamente a incerteza: leva em consideração a incerteza, a natureza dessa
incerteza, e como ela pode ser tratada.
e) A gestão de riscos é sistemática, estruturada e oportuna: uma abordagem sistemática, oportuna e
estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e
confiáveis.
f) A gestão de riscos baseia-se nas melhores informações disponíveis.
g) A gestão de riscos é feita sob medida: baseada no contexto interno e externo da organização e com o perfil
do risco.
h) A gestão de riscos considera fatores humanos e culturais: reconhece as capacidades, percepções e
intenções do pessoal interno e externo que podem facilitar ou dificultar a realização dos objetivos da organização.
i) A gestão de riscos é transparente e inclusiva: o envolvimento apropriado e oportuno de partes interessadas
e, em particular, dos tomadores de decisão em todos os níveis da organização assegura que a gestão de riscos
permaneça pertinente e atualizada.
j) A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças
k) A gestão de riscos facilita a melhoria contínua da organização.

6.1 DESCRIÇÃO
O processo de abordagem de riscos ocorre com observação da estrutura para gerenciar riscos trazida pela NBR
ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes, conforme disposto a seguir:

Imagem 01: Relacionamento entre os componentes da estrutura para gerenciar riscos

Fonte: NBR ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes.

6.2 CONCEPÇÃO DA ESTRUTURA PARA GERENCIAR RISCOS

6.2.1 ENTENDIMENTO DA ORGANIZAÇÃO E SEU CONTEXTO
A avaliação do contexto externo da organização pode incluir, mas não está limitada a: ambientes cultural, social,
político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo; fatores-chave e tendências
CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 4/9

que tenham impacto sobre os objetivos da organização; relações com partes interessadas externas e suas
percepções e valores.

A avaliação do contexto interno da organização pode incluir, mas não está limitada a: estrutura organizacional,
funções e responsabilidades; políticas, objetivos e estratégias; capacidades (recursos disponíveis e
conhecimento), sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e
informais); relações com partes interessadas internas e suas percepções e valores; cultura da organização;
normas, diretrizes e modelos adotados pela organização; e forma e extensão das relações contratuais.

6.2.2 POLÍTICA DE GESTÃO DE RISCOS

A política de gestão de riscos da TecnoLoc do brasil é uma demonstração clara e evidente de que a empresa está
atenta ao cenário mundial, por meio do investimento em controles internos e ações preventivas a eventos que
possam impactar o alcance de seus objetivos, elaborada com base na a ISO 31000, e se compromete em:
a) Identificar riscos com base no contexto interno e externo;
b) Determinar objetivos da gestão de risco a serem alcançados levando em consideração as demais políticas
e objetivos da empresa;
c) Determinar as responsabilidades para gerenciar os riscos, e a tratativas para conflitos de interesses;
d) Disponibilizar os recursos necessários para a gestão de riscos;
e) Determinar mecanismos de monitoramento e medição do desempenho da gestão de riscos, e como este
será reportado;
f) Analisar criticamente e melhorar frequentemente sua política e estrutura de gestão de riscos, em resposta
a um evento ou mudança nas circunstancias.
g) Comunicar sua política apropriadamente em todos os níveis organizacionais, bem como para os terceiros,
quando aplicável.

6.2.3 RESPONSABILIZAÇÃO
Os gestores de riscos são responsáveis por gerenciar riscos, implementar e manter o processo de gestão de
riscos, e assegurar a suficiência, a eficácia e a eficiência de quaisquer controles, em seus respectivos âmbitos e
escopos de atuação: o Diretor, os responsáveis por cada setor ou processo.
As competências dos gestores de riscos, relativamente aos processos de trabalho e projetos sob sua
responsabilidade, são:

a. Determinar quais os processos de trabalho que devam ter os riscos gerenciados e tratados com
prioridade, à vista da dimensão dos prejuízos e dos impactos que possam causar, sob os aspectos estratégico,
orçamentário, e de imagem.
b. Estabelecer as ações de tratamento ou monitoramento a serem implementadas, bem como fixar prazos e
avaliar os resultados obtidos por meio de indicadores.
c. Disseminar a consciência a todos os níveis da organização, e, de terceiros, quanto a importância da
identificação, e tratamento de riscos, por meio do estabelecimento e promoção de metodologia de divulgação das
informações da Política de Gestão de Riscos.
d. Supervisionar, coordenar, estabelecer prioridades e propor modificações e melhorias na Política de
Gestão de Riscos, incluindo a sua disseminação para os colaboradores internos e externos.
e. Propor padrões e metodologias para melhorar os processos de avaliação de riscos na organização.

É competência complementar da Direção:

a. Promover, fomentar e recomendar estudos relacionados à avaliação de riscos, e disponibilizar recursos
necessários.

6.2.4 INTEGRAÇÃO NOS PROCESSOS ORGANIZACIONAIS

A gestão de riscos deve ser incorporada em todas as práticas e processos da organização, no desenvolvimento
de políticas, na análise crítica, no planejamento estratégico e de negócios, e nos processos de gestão de
mudanças.

6.2.5 RECURSOS
A Direção deve disponibilizar os recursos necessários para a gestão de riscos, incluindo mão de obra com
habilidades, experiências e competências necessárias, processos, métodos e ferramentas para gerenciamento
riscos, entre outros.

6.2.6 ESTABELECIMENTO DE MECANISMOS DE COMUNICAÇÃO

A comunicação da empresa ocorre por meio de reuniões, diálogos semanais, comunicados, por meio de e-mails e
murais. A política de gestão de risco e demais documentos normativos da empresa para realizar a gestão de risco
são comunicados principalmente por meio de treinamentos, assim como as alterações decorrentes dos mesmos.
CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 5/9

Os resultados são comunicados por meio de reuniões de análise crítica periodicamente. Os mecanismos e
ferramentas para gestão de riscos são disponibilizados em meio digital (Rede) e ou meio físico (pastas nas áreas).
A consulta às partes interessadas internas e externas para a gestão de riscos é realizada por meio de por e-mail.
As partes interessadas devem ser conscientizadas para se engajarem com o fim de assegurar a troca eficaz de
informações, de retroalimentação e reporte sobre comunicação e consulta, para construção de confiança entre os
envolvidos, para o atendimento aos requisitos legais, regulatórios e estatutários, incluindo a comunicação das
partes interessadas em evento de crise ou contingência.
Em todo o processo de gestão de riscos recomenda-se manter um plano de comunicação e consulta das partes
interessadas, especialmente no estágio inicial, e que aborde questões relacionadas com o risco propriamente dito,
que sejam identificados apropriadamente, a compreensão apropriada do contexto, suas causas, suas
consequências (se conhecidas) e as medidas que estão sendo tomadas para tratá-los, as mudanças decorrentes,
e as razões pelas quais ações específicas são requeridas.
Essa comunicação no estágio inicial é importante, pois cada parte envolvida fará análises sobre os riscos com
base em suas percepções, as quais podem variar devido a diferença de valores, necessidades, suposições,
conceitos e preocupações, pontos de vista. O resultado dessas análises deve ser levado em consideração no
processo de tomada de decisão.

6.3 IMPLEMENTAÇÃO DA GESTÃO DE RISCOS

A implementação da gestão de riscos tem os seguintes objetivos:

Imagem 02: Objetivos da gestão de risco

Fonte: ANS (Política de Gestão de Riscos)

Na identificação e avaliação de riscos deve-se analisar os requisitos legais e regulatórios envolvidos, os resultados
esperados, a comunicação necessária às partes interessadas, treinamentos necessários.

Na implementação de ações para a gestão de riscos, deve-se definir prazos adequados para as mesmas, e este
deve ser fixado conforme o tipo de risco, podendo ser de caráter imediato, curto, médio ou longo prazo, ou de
ações de aperfeiçoamento contínuo.

Figura 03 - Processo de Gestão de Riscos

CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 6/9

6.3.1 ESTABELECIMENTO DO CONTEXTO EXTERNO, INTERNO, E DE GESTÃO DE RISCO

Para o estabelecimento do contexto a organização deve considerar os seus objetivos, definir os parâmetros
externos e internos para a gestão de riscos, e estabelecer o escopo e os critérios de risco para o restante do
processo. Mesmo que muitos destes parâmetros sejam similares àqueles considerados na concepção da estrutura
da gestão de riscos, ao se estabelecer o contexto para o processo de gestão de riscos, eles precisam ser
considerados com mais detalhes. Em particular, como eles se relacionam com o escopo do respectivo processo
de gestão de riscos.

Deve-se verificar o contexto externo os aspectos dos riscos específicos para o escopo do processo de gestão de
riscos, podendo incluir a avaliação de: a) ambientes cultural, social, político, legal, regulatório, financeiro,
tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local; fatores-chave e
tendências que tenham impacto sobre os objetivos da organização; e relações com as partes interessadas
externas e suas percepções e valores.

No que tange ao contexto interno, isto é, o ambiente interno no qual a organização busca atingir seus objetivos, o
processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e estratégia da organização.
Convém que ele seja estabelecido considerando: a) os objetivos da organização como um todo; b) oportunidades
para atingir seus objetivos estratégicos, de projeto ou de negócios, o que afeta o comprometimento, a
credibilidade, a confiança e o valor organizacional, d) governança, estrutura organizacional, funções e
responsabilidades; e) políticas, objetivos e estratégias implementadas para atingi-los; f) capacidades, entendidas
em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e
tecnologias); g) sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e
informais); h) relações com as partes interessadas internas, e suas percepções e valores; i) cultura da
organização; j) normas, diretrizes e modelos adotados pela organização, l) forma e extensão das relações
contratuais.

Ao definir o contexto do processo de gestão de riscos deve-se atentar para as necessidades da organização, as
metas e objetivos; as responsabilidades pelo processo; a definição do escopo; a profundidade amplitude das
ações a serem tomadas; aos processos, função, projeto, produto, serviço; as relações entre um projeto, processo
ou atividade específicos e outros projetos, processos ou atividades da organização; as metodologias de processo
de avaliação de riscos; a forma de avaliação de desempenho e a eficácia na gestão dos riscos; a identificação e
especificação das decisões a serem tomadas; entre outros aspectos necessários.

CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 7/9

O estabelecimento e análise do contexto da organização deve ser formalizada no TEC QUA 023 - Análise do
Contexto Organizacional, e, ainda, deve ser revisada pelo menos uma vez ao ano, ou quando evidenciada a
necessidade.

6.3.2 IDENTIFICAÇÃO DOS RISCOS

Os critérios a serem utilizados para avaliar os riscos da organização, são estabelecidos conforme a significância
do risco, e refletem os valores, objetivos e recursos, aspectos legais e regulatórios aplicáveis à empresa, e devem
ser compatíveis com a política de gestão de riscos.
Na definição de critérios de risco, consideram-se os seguintes aspectos, quando aplicáveis: a natureza, os tipos
de causas e de consequências possíveis, e mecanismos de medição das mesmas; a definição da probabilidade; a
evolução no tempo da probabilidade e/ou consequência(s); a forma de determinação do nível de risco; os pontos
de vista das partes interessadas; o nível em que o risco se torna aceitável ou tolerável; e se convém que
combinações de múltiplos riscos sejam levadas em consideração e, em caso afirmativo, como e quais
combinações convém que sejam consideradas.
Deve-se proceder com a identificação dos riscos, ainda que não esteja evidente, identificando as suas fontes, as
áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais,
que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos da empresa, e ainda,
aqueles associados com não perseguir uma oportunidade. Deve-se identificar as fontes para controlar os riscos
identificados, as reações em cadeia decorrentes de consequências específicas, os efeitos cumulativos e em
cascata. Os riscos podem ser classificados em: estratégicos (missão, objetivos, etc.), financeiro, compliance, e
operacionais.
Nota: A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas
e especialistas, e as necessidades das partes interessadas.
Pelo menos uma vez ao ano deve-se realizar a determinação dos riscos levando em consideração o contexto da
organização. Esse levantamento deve ser formalizado no TEC QUA 022 – Análise de Riscos e Oportunidades,
seguindo as instruções deste procedimento no que for aplicável. Após a realização da Análise de Riscos e
Oportunidades, deve-se evidenciar quais são os riscos e oportunidades que exigem a tomada de ações, e
proceder com as demais etapas necessárias para o seu tratamento, registrando-os no FOR QUA 010 – Registro
de Identificação, Análise, e Avaliação de Riscos.
Demais riscos e oportunidades identificados ao longo do ano, devem ser registrados em todas as etapas da
gestão de riscos no FOR QUA 010 – Registro de Identificação, Análise, e Avaliação de Riscos.

6.3.3 ANÁLISE DE RISCOS

A análise de riscos se baseia na compreensão dos mesmos, e fornece uma entrada para o processo de avaliação
de riscos e tomada de decisões sobre estratégias e métodos adequados para o tratamento dos riscos. Deve-se
analisar as causas e fontes de riscos, dados e recursos disponíveis, suas consequências positivas e negativas, a
probabilidade de ocorrência das mesmas, bem como os fatores que possam afetar essas últimas (consequências
e probabilidades).
As consequências, probabilidades e suas combinações, devem refletir com o tipo de risco, as informações
disponíveis e a finalidade para cada saída do processo de avaliação de riscos, para se determinar o nível dos
mesmos. Considera-se ainda, a interdependência dos diferentes riscos e suas fontes, e o nível de confiança na
determinação do nível de risco e sua sensibilidade, a divergência de opinião entre os analistas, a incerteza, a
disponibilidade, a qualidade, a quantidade e a contínua pertinência das informações.
A análise pode ser qualitativa, semi-quantitativa ou quantitativa, ou uma combinação destas; as consequências
podem ser expressas em termos de impactos tangíveis e intangíveis.
Uma maneira de avaliar o risco é utilizando a metodologia proposta pela norma AS/NZS 4360 – Gestão de Riscos,
onde analisa-se a probabilidade do risco e sua gravidade, e determina-se o grau de risco. A organização tomou
como base essa metodologia para estabelecer os parâmetros para a análise dos riscos, como pode ser visto nas
tabelas a seguir.
CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 8/9

Fator Conceito Probabilidade de Fator

Ocorrer
Alto: chance grande 3
Médio: chance
Probabilidade A chance de 2
mediana
de ocorrer ocorrer
Baixo: chance
1
pequena
Alto: chance grande 3
Médio: chance
Gravidade da Consequência 2
mediana
ocorrência da ocorrência
Baixo: chance
1
pequena
MATRIZ DE RISCO
A combinação entre a PROBABILIDADE e a GRAVIDADE resulta do impacto/grau de Risco, conforme matriz a
seguir:

PROBALIBILIDADE
3 2 1 Grau de Risco/ Impacto
9 6 3 Oportunidade
3
GRAVIDADE

Alto Alto Médio Alto Impacto = 6 a 9

6 4 2 Médio Impacto = 3 a 5
2
Alto Médio Baixo Baixo Impacto = 1 a 2
3 2 1
1
Médio Baixo Baixo
Todo o processo de identificação, análise, avaliação e tratamento dos riscos deve ser registrado no FOR QUA 010
– Registro de Identificação, Análise, e Avaliação de Riscos.

6.3.4 PROCESSO DE AVALIAÇÃO DE RISCOS

O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação
de riscos, onde compara-se os resultados obtidos na análise de risco com os critérios de risco, para determinar
se o risco é aceitável ou tolerável.
Na avaliação de riscos, é utilizada a ferramenta Análise S.W.O.T - (Forças, Fraquezas, Oportunidades e
Ameaças), a qual analisa o cenário ou ambiente onde a empresa se insere, verifica a posição estratégica da
empresa no ambiente em questão ou onde a empresa atua.
A avaliação de riscos é para auxiliar na tomada de decisões com base nos resultados da análise de riscos, de
forma a definir quais os riscos necessitam de tratamento e a prioridade para a implementação das ações. Deve-se
comparar o nível do risco identificado com os critérios de risco determinados conforme o contexto da organização
(o mais amplo do risco), e verificar a necessidade de tomar ações pertinentes, e a tolerância aos riscos assumida
pelas partes interessadas que não a própria organização que se beneficia do risco.
Deve-se levar em consideração os requisitos legais, regulatórios e outros requisitos normativos, de clientes, das
partes interessadas no geral envolvidos.

6.3.5 TRATAMENTO DE RISCOS

O tratamento de riscos tem a finalidade de modificar e controlar os riscos, por meio de ações, metodologias,
ferramentas, ou qualquer meio apropriado. Deve-se avaliar o tratamento de riscos realizado, se os níveis de risco
residual são toleráveis, e caso não sejam, a definição e implementação de um tratamento para os mesmos, e
posterior avaliação de eficácia.
O tratamento envolve tomada de decisões para evitar o risco, seja para não iniciar ou descontinuar determinada
atividade que acarreta o risco; tomar ou aumentar o risco para tirar proveito de uma oportunidade; remover a fonte
do risco; alterar a probabilidade e consequências; compartilhar o risco com outra(s) parte(s) interessada(s); e para
reter o risco.
Importante analisar a viabilidade de tratamento de determinados riscos, do ponto de vista econômico, como por
exemplo, riscos severos, com grande consequência negativa, porém com probabilidade muito baixa.

As opções de tratamento devem ser definidas conforme o nível de risco, a probabilidade de ocorrência do risco e
de seus efeitos esperados, levando em consideração os valores e as percepções das partes interessadas,
principalmente quando os riscos poderem afetar o resto da organização, e as formas de comunicação entre os
envolvidos; e podem ser aplicadas individualmente ou combinadas.
CÓPIA CONTROLADA
 CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 9/9

É necessário definir as ações em ordem cronológica para execução e considerando as suas prioridades para
definição de prazos. Deve-se atentar se o tratamento definido não pode gerar novos riscos, riscos secundários, e
que as ações tomadas devem ser monitoradas para garantir que permaneçam eficazes. No caso da existência de
novos riscos ou riscos secundários, estes devem ser incorporados no plano de tratamento do risco original, e que
fique clara a ligação destes com os riscos principais.

6.3.6 PREPARANDO E IMPLEMENTANDO PLANOS PARA TRATAMENTO DE RISCOS

A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão
implementadas. Convém que as informações fornecidas nos planos de tratamento incluam as justificativas para a
opções de tratamento adotadas, as ações, prazos e os responsáveis pelas mesmas, os recursos necessários,
medidas para avaliar o desempenho e resultados alcançados. Todos os envolvidos e responsáveis devem ter
ciência e compreensão do plano de tratamento, e de possíveis riscos residuais após o tratamento. O risco residual
deve ser documentado e submetido a monitoramento, análise crítica, e se necessário definir tratamento adicional
para o mesmo.

6.3.7 MONITORAMENTO E ANÁLISE CRÍTICA DA GESTÃO DE RISCOS

O monitoramento e análise crítica da gestão de riscos tem a finalidade de assegurar a eficácia e bons resultados
no desempenho organizacional, e é realizado pelo TEC QUA 024 – Controle de Riscos e Oportunidades. Deve-
se analisar os resultados obtidos, o progresso, o desvio, se a política e estrutura da gestão de risco continua
apropriada, dado o contexto interno e externo da empresa, pelo menos uma vez ao ano, em reunião de análise
crítica. Para a medição do desempenho, recomenda-se a utilização de indicadores de desempenho, e que os
mesmos sejam alimentados e avaliados regularmente e consolidados para a reunião de análise crítica anual.
Compete: ao setor de QSMS promover a análise crítica do processo de gestão de risco juntamente com a Direção,
e documentar a experiência de situações de riscos já existentes (sucessos, fracassos, mudanças, tendências,
etc.), bem como treinar todos os envolvidos e partes interessadas; aos responsáveis pelas áreas o fornecimento
de informações para alimentar os indicadores de desempenho, e ou alimentá-los apropriadamente, a execução de
ações designadas para os mesmos realizarem, bem como a comunicação adequada quanto a execução,
acompanhamento e resultados obtidos na implementação dos planos de tratamentos de riscos.
Os resultados obtidos devem ser analisados de forma a serem incorporados na gestão, na mensuração, na
apresentação de informações interna e externamente, na identificação de mudanças no seu nível de desempenho
e no desempenho global da organização.

6.4 MELHORIA CONTÍNUA DA ESTRUTURA

Com base nos resultados do monitoramento e das análises críticas, convém que decisões sejam tomadas sobre
como a política, o plano e a estrutura da gestão de riscos podem ser melhorados. Convém que essas decisões
visem melhorias na capacidade de gerenciar riscos da organização e em sua cultura de gestão de riscos.

6.5 INFORMAÇÃO DOCUMENTADA DO PROCESSO DE GESTÃO DE RISCOS

Convém que as atividades de gestão de riscos sejam rastreáveis. Desta forma, os registros fornecem os
fundamentos para a melhoria dos métodos e ferramentas, bem como de todo o processo. É importante manter as
informações documentadas diante da necessidade da organização de aprendizado contínuo, da possibilidade de
reutilização de informações para fins de gestão, ter noção de custos e esforços necessários em casos similares,
da necessidade de registros legais, regulatórios e operacionais, e normativos da empresa no que tange ao
armazenamento e retenção de informações.

7. HISTÓRICO DAS REVISÕES

DATA DE
REVISÃO DESCRIÇÃO DAS MODIFICAÇÕES
APROVAÇÃO
00 01/08/2019 Emissão inicial.

01 15/05/2023 Revisão geral do processo de controle de informação documentada.

CÓPIA CONTROLADA