Escolar Documentos
Profissional Documentos
Cultura Documentos
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 1/9
1. OBJETIVO
Estabelecer metodologia para realização de gestão de riscos de acordo com o contexto da organização e as
expectativas das partes interessadas, em todas as etapas do processo de execução e do planejamento do QSMS,
para assegurar que o Sistema alcance os resultados pretendidos, aumente os efeitos desejáveis, previna, ou
reduza os efeitos indesejáveis, e alcance melhorias necessárias.
2. ABRANGÊNCIA
Aplicável para todos os setores que emitem documentos.
3. DOCUMENTOS DE REFERÊNCIA
NBR ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes.
NBR ISO 9001:2015 - Sistema de Gestão da Qualidade - Requisitos.
NBR ISO 14001:2015 - Sistema de Gestão Ambiental - Requisitos.
NBR ISO 45001:2018 - Sistema de Gestão da Segurança e Saúde no Trabalho - Requisitos.
4. SIGLAS E DEFINIÇÃO
4.1 SIGLA
O: Obrigatório
F: Facultativo
N/A: Não aplicável
TAT: Tático
OPE: Operacional
4.2 DEFINIÇÃO
TEC - Outros documentos: Planejamentos, Indicadores, Registros e outros utilizados como suporte e apoio
ao funcionamento do QSMS.]
Riscos: efeito da incerteza nos objetivos (metas financeiras, de SMS, operacionais, etc.), muitas vezes
caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes (ISO
31000:2009). “Risco é a probabilidade de um evento acontecer, seja ele uma ameaça, quando negativo, ou
oportunidade, quando positivo. É o resultado obtido pela efetividade do perigo. Perigo é uma ou mais
condições que têm o perfil de causar ou contribuir para que o Risco aconteça. Não se mede e não há como
eliminar o Risco. O Risco é um evento, ele está lá e pode acontecer a qualquer momento.” (ALBUQUERQUE,
2015)
Incerteza: é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua
compreensão, seu conhecimento, sua consequência ou sua probabilidade.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.
Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, que especifica a abordagem,
os componentes de gestão e os recursos a serem aplicados para gerenciar riscos.
Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para
as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação,
tratamento, monitoramento e análise crítica dos riscos.
Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em
consideração ao gerenciar riscos, e estabelecimento do escopo e dos critérios de risco para a política de
gestão de riscos.
Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos
Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos.
Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma
decisão ou atividade.
Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação
de riscos.
Elaborado por: Qualidade Revisado por: Gerente Aprovado por: Gerente da área
CÓPIA CONTROLADA
CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 2/9
Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao
risco, e ela pode ser tangível ou intangível.
Probabilidade (likelihood): chance de algo acontecer.
Análise de riscos: processo de compreender a natureza do risco e determinar o nível de risco.
Critérios de risco: termos de referência contra os quais a significância de um risco é avaliada (com base nos
objetivos organizacionais, no contexto externo e interno).
Nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das
consequências e de suas probabilidades.
Risco: residual: risco remanescente após o tratamento do risco, e pode conter riscos não identificados.
5. RESPONSABILIDADE
5.1 QUALIDADE
Mapear e determinar os documentos requeridos pelas normas aplicáveis ao Sistema de Gestão;
Criar, padronizar, emitir, aprovar, promover a análise crítica, revisar, controlar a distribuição dos documentos de
origem interna e externa, bem como zelar pela proteção dos registros utilizados para reter informações.
CÓPIA CONTROLADA
CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 3/9
6.1 DESCRIÇÃO
O processo de abordagem de riscos ocorre com observação da estrutura para gerenciar riscos trazida pela NBR
ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes, conforme disposto a seguir:
que tenham impacto sobre os objetivos da organização; relações com partes interessadas externas e suas
percepções e valores.
A avaliação do contexto interno da organização pode incluir, mas não está limitada a: estrutura organizacional,
funções e responsabilidades; políticas, objetivos e estratégias; capacidades (recursos disponíveis e
conhecimento), sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e
informais); relações com partes interessadas internas e suas percepções e valores; cultura da organização;
normas, diretrizes e modelos adotados pela organização; e forma e extensão das relações contratuais.
6.2.3 RESPONSABILIZAÇÃO
Os gestores de riscos são responsáveis por gerenciar riscos, implementar e manter o processo de gestão de
riscos, e assegurar a suficiência, a eficácia e a eficiência de quaisquer controles, em seus respectivos âmbitos e
escopos de atuação: o Diretor, os responsáveis por cada setor ou processo.
As competências dos gestores de riscos, relativamente aos processos de trabalho e projetos sob sua
responsabilidade, são:
a. Determinar quais os processos de trabalho que devam ter os riscos gerenciados e tratados com
prioridade, à vista da dimensão dos prejuízos e dos impactos que possam causar, sob os aspectos estratégico,
orçamentário, e de imagem.
b. Estabelecer as ações de tratamento ou monitoramento a serem implementadas, bem como fixar prazos e
avaliar os resultados obtidos por meio de indicadores.
c. Disseminar a consciência a todos os níveis da organização, e, de terceiros, quanto a importância da
identificação, e tratamento de riscos, por meio do estabelecimento e promoção de metodologia de divulgação das
informações da Política de Gestão de Riscos.
d. Supervisionar, coordenar, estabelecer prioridades e propor modificações e melhorias na Política de
Gestão de Riscos, incluindo a sua disseminação para os colaboradores internos e externos.
e. Propor padrões e metodologias para melhorar os processos de avaliação de riscos na organização.
6.2.5 RECURSOS
A Direção deve disponibilizar os recursos necessários para a gestão de riscos, incluindo mão de obra com
habilidades, experiências e competências necessárias, processos, métodos e ferramentas para gerenciamento
riscos, entre outros.
Os resultados são comunicados por meio de reuniões de análise crítica periodicamente. Os mecanismos e
ferramentas para gestão de riscos são disponibilizados em meio digital (Rede) e ou meio físico (pastas nas áreas).
A consulta às partes interessadas internas e externas para a gestão de riscos é realizada por meio de por e-mail.
As partes interessadas devem ser conscientizadas para se engajarem com o fim de assegurar a troca eficaz de
informações, de retroalimentação e reporte sobre comunicação e consulta, para construção de confiança entre os
envolvidos, para o atendimento aos requisitos legais, regulatórios e estatutários, incluindo a comunicação das
partes interessadas em evento de crise ou contingência.
Em todo o processo de gestão de riscos recomenda-se manter um plano de comunicação e consulta das partes
interessadas, especialmente no estágio inicial, e que aborde questões relacionadas com o risco propriamente dito,
que sejam identificados apropriadamente, a compreensão apropriada do contexto, suas causas, suas
consequências (se conhecidas) e as medidas que estão sendo tomadas para tratá-los, as mudanças decorrentes,
e as razões pelas quais ações específicas são requeridas.
Essa comunicação no estágio inicial é importante, pois cada parte envolvida fará análises sobre os riscos com
base em suas percepções, as quais podem variar devido a diferença de valores, necessidades, suposições,
conceitos e preocupações, pontos de vista. O resultado dessas análises deve ser levado em consideração no
processo de tomada de decisão.
Na identificação e avaliação de riscos deve-se analisar os requisitos legais e regulatórios envolvidos, os resultados
esperados, a comunicação necessária às partes interessadas, treinamentos necessários.
Na implementação de ações para a gestão de riscos, deve-se definir prazos adequados para as mesmas, e este
deve ser fixado conforme o tipo de risco, podendo ser de caráter imediato, curto, médio ou longo prazo, ou de
ações de aperfeiçoamento contínuo.
CÓPIA CONTROLADA
CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 6/9
Deve-se verificar o contexto externo os aspectos dos riscos específicos para o escopo do processo de gestão de
riscos, podendo incluir a avaliação de: a) ambientes cultural, social, político, legal, regulatório, financeiro,
tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local; fatores-chave e
tendências que tenham impacto sobre os objetivos da organização; e relações com as partes interessadas
externas e suas percepções e valores.
No que tange ao contexto interno, isto é, o ambiente interno no qual a organização busca atingir seus objetivos, o
processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e estratégia da organização.
Convém que ele seja estabelecido considerando: a) os objetivos da organização como um todo; b) oportunidades
para atingir seus objetivos estratégicos, de projeto ou de negócios, o que afeta o comprometimento, a
credibilidade, a confiança e o valor organizacional, d) governança, estrutura organizacional, funções e
responsabilidades; e) políticas, objetivos e estratégias implementadas para atingi-los; f) capacidades, entendidas
em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e
tecnologias); g) sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e
informais); h) relações com as partes interessadas internas, e suas percepções e valores; i) cultura da
organização; j) normas, diretrizes e modelos adotados pela organização, l) forma e extensão das relações
contratuais.
Ao definir o contexto do processo de gestão de riscos deve-se atentar para as necessidades da organização, as
metas e objetivos; as responsabilidades pelo processo; a definição do escopo; a profundidade amplitude das
ações a serem tomadas; aos processos, função, projeto, produto, serviço; as relações entre um projeto, processo
ou atividade específicos e outros projetos, processos ou atividades da organização; as metodologias de processo
de avaliação de riscos; a forma de avaliação de desempenho e a eficácia na gestão dos riscos; a identificação e
especificação das decisões a serem tomadas; entre outros aspectos necessários.
CÓPIA CONTROLADA
CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 7/9
O estabelecimento e análise do contexto da organização deve ser formalizada no TEC QUA 023 - Análise do
Contexto Organizacional, e, ainda, deve ser revisada pelo menos uma vez ao ano, ou quando evidenciada a
necessidade.
PROBALIBILIDADE
3 2 1 Grau de Risco/ Impacto
9 6 3 Oportunidade
3
GRAVIDADE
As opções de tratamento devem ser definidas conforme o nível de risco, a probabilidade de ocorrência do risco e
de seus efeitos esperados, levando em consideração os valores e as percepções das partes interessadas,
principalmente quando os riscos poderem afetar o resto da organização, e as formas de comunicação entre os
envolvidos; e podem ser aplicadas individualmente ou combinadas.
CÓPIA CONTROLADA
CÓDIGO: PRO-QUA-008
PROCEDIMENTO DE REVISÃO: 01
ABORDAGEM DE RISCOS
PÁGINA: 9/9
É necessário definir as ações em ordem cronológica para execução e considerando as suas prioridades para
definição de prazos. Deve-se atentar se o tratamento definido não pode gerar novos riscos, riscos secundários, e
que as ações tomadas devem ser monitoradas para garantir que permaneçam eficazes. No caso da existência de
novos riscos ou riscos secundários, estes devem ser incorporados no plano de tratamento do risco original, e que
fique clara a ligação destes com os riscos principais.
DATA DE
REVISÃO DESCRIÇÃO DAS MODIFICAÇÕES
APROVAÇÃO
00 01/08/2019 Emissão inicial.
CÓPIA CONTROLADA