Gerenciamento

de Riscos
 Material Teórico
A Norma ISO 31.000

Responsável pelo Conteúdo:

Prof. Esp. Luiz Carlos Dias

Revisão Textual:
Prof. Me. Claudio Brites
 A Norma ISO 31.000

• Introdução;
• A Norma ISO 31.000.

OBJETIVO DE APRENDIZADO
· Introduzir o conceito da norma ISO 31000 e sua aplicabilidade no
gerenciamento de riscos.
 Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.

Mantenha o foco!
Evite se distrair com
as redes sociais.

Seja original!
Nunca plagie
trabalhos.

Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;

Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma

alimentação saudável pode proporcionar melhor aproveitamento do estudo;

No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você
também encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão
sua interpretação e auxiliarão no pleno entendimento dos temas abordados;

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e
de aprendizagem.
UNIDADE A Norma ISO 31.000

Introdução
Desde que o homem surgiu no planeta terra, passou a correr riscos que poderiam
levá-lo a morte. Toda e qualquer atividade que tinha de exercer, com certeza, trazia
ameaças para sua integridade física. Quando precisou ir em busca de sobrevivência,
como alimentação ou abrigo, colocou-se diante da possibilidade de sofrer algum tipo
de problema que colocaria sua vida em perigo. Nos dias de hoje não é diferente,
guardadas algumas ressalvas por conta do avanço das tecnologias, as atividades
humanas geram problemas que podem colocar em risco a existência do homem.

Como todas as atividades envolvem tais contingências, as instituições e orga-

nizações precisam gerenciar os possíveis riscos. Para definir estratégias de geren-
ciamento desses, é necessário que algumas ações sejam executadas, como mostra
a Figura 1:

O gerenciamento de riscos deve ser elaborado com o

objetivo de prevenir acidentes. Ao identificar, analisar e
avaliar as probabilidades do risco, as instituições podem
prever o problema e, assim, entender o processo de
forma a elaborarem um plano de execução entre as
partes envolvidas para evitarem que o acidente ocorra.
Durante o processo de gerenciamento de riscos,
todos os agentes envolvidos devem elaborar reuniões
para levantarem os critérios de risco, monitorando
e realizando a análise crítica desses riscos e os
possíveis controles que possam modificá-los, gerindo
criticamente os riscos e elencando as ações para evitar
que ocorram acidentes. Figura 1 – Gerenciamento de risco
O gerenciamento de risco elaborado pelas organizações responsáveis prevê o
gerenciamento do grau de risco, tendo por base uma norma que estabelece esse
grau. Essa norma é a ISO 31000 – a sigla ISO significa Organização Internacional
de Padronização.

A ISO 31000 estabelece um número de princípios que precisam ser atendidos

para tornar a gestão de riscos eficiente. Essa norma descreve um processo sistemá-
tico e lógico em detalhes para que as empresas possam seguir, para que as organi-
zações desenvolvam, implementem e melhorem de forma contínua sua estrutura,
a fim de assegurar todo o processo para gerenciamento de riscos, sua estratégia e
planejamento, a gestão, o processo de elaboração de dados e os resultados, deve-
res, valores e a cultura da organização para o assunto.

Na ISO 31000, as expressões “gestão de riscos” e “gerenciando riscos” são

ambas utilizadas. Em termos gerais, “gestão de riscos” refere-se à arquitetura
(princípios, estrutura e processo) para gerenciar riscos eficazmente, enquanto que
“gerenciar riscos” refere-se à aplicação dessa arquitetura para riscos específicos.
(ABNT, 2009, p. 2).

8
A Norma ISO 31.000
A gestão de riscos
A gestão de riscos pode ser aplicada em qualquer segmento industrial, em todos
os níveis das organizações, de forma que todo e qualquer tipo de risco possa ser
identificado e que possa ser feita sua gestão. A Norma ISO 31000 pode auxiliar
da seguinte forma:
1. Possibilidade de atendimento dos objetivos proposto;
2. Motivação para implementação de ações proativas;
3. Identificação e correção dos riscos, em todas as etapas e processos da
empresa.

A ISO 31.000 tem como objetivos o que se apresenta na Figura 2:

Melhorar a
identificação de
Melhorar a oportunidades Atender às normas
identificação de e ameaças internacionais e aos
oportunidades requisitos legais e
e ameaças regulatórios pertinentes

Melhorar o Melhorar o reporte

controle das informações
financeiras
Alocar e utilizar
eficazmente os
recursos para o Melhorar a
tratamento de riscos governança

Melhorar a eficácia Melhorar a

e a eficiência confiança das
operacional partes interessadas

Melhorar o
desempenho em Aumentar a
saúde e segurança, resiliência da
bem como a proteção organização
do meio ambiente
Melhorar a
prevenção de Melhorar a
perdas e a gestão aprendizagem
de incidentes Minimizar organizacional
perdas

Figura 2 – Objetivos da ISO 31.000

A norma ISO 31000 foi elaborada de forma que pudesse atender às necessida-
des das partes interessadas dentro da empresa:
• A equipe que desenvolve a política de gestão de riscos nas empresas;
• A equipe das pessoas responsáveis por garantir que os riscos estão sendo
gerenciados de forma adequada, em uma área, atividade ou projeto específicos;
• A equipe que necessita avaliar de que forma a organização avalia e gerencia
os riscos.

9
9
UNIDADE A Norma ISO 31.000

A partir daqui, iniciaremos a apresentação em si da norma de gestão de risco

ISO 31000, onde os itens serão apresentados de forma discutida, para facilitar o
entendimento da mesma. Nessa discussão consta os princípios e as diretrizes para
a gestão de riscos que podem ser utilizados por qualquer empresa pública, privada
ou comunitária, associação, grupo ou indivíduo. Dessa forma, é importante deixar
claro que a norma é genérica e pode ser aplicada em qualquer segmento industrial.

Termos e definições
Risco
É o efeito da incerteza nos objetivos.

O risco pode ser definido como uma grandeza que sofre influência da probabi-
lidade e da severidade, ou seja, do impacto que a manifestação do risco, através
de um evento não desejado, pode provocar ao meio ambiente, ao patrimônio ou
à vida humana.

Estrutura da gestão de riscos

A gestão de riscos é um conjunto de procedimentos que estabelece requisitos
mínimos aos quais as empresas devem seguir para que possam ser eficientes, no
sentido de gerenciar e controlar os riscos.

Esses requisitos mínimos estabelecidos pela Norma ISO 31000 devem passar
por monitoramento contínuo no sentido de que sejam seguidos e mantidos dentro
dos arranjos organizacionais.

Devem ser realizadas as análises críticas de todo processo ou sistema, de forma

que sejam identificadas possíveis falhas com a aplicação do Plano de Melhoria
Contínua (PDCA) na gestão de riscos em toda a organização.

Política de gestão de riscos

É uma política elaborada e desenvolvida pela empresa, que contém uma decla-
ração das intenções e diretrizes gerais de uma organização específicas à gestão
de riscos.

Atitude perante o risco

É uma ação tomada pela organização no sentido de avaliar e identificar uma
forma de assumir e afastar-se dos riscos.

Plano de gestão de riscos

É um plano elaborado dentro da organização onde se determina a forma de
abordagem dos elementos e quais serão os recursos destinados que serão aplicados
na gestão dos riscos.

10
 Proprietário do risco
Pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.

Processo de gestão de riscos

Desenvolvimento de políticas e procedimentos de gestão para o estabelecimento
da identificação, análise e tratamento do risco com seu monitoramento e realizando
a análise crítica.

Fonte de risco
Elemento do processo que, combinado ou de forma individual, pode dar origem
a um determinado risco. Essa fonte de risco pode ser tangível ou intangível.

Evento
Um evento pode ser caracterizado como uma ou mais ocorrências que podem
ter várias causas, que podem gerar efeitos adversos. Esses efeitos podem provocar
algum tipo de impacto sobre a vida humana, ao meio ambiente ou ao patrimônio.

Probabilidade (likelihood)
A possibilidade de alguma coisa acontecer.

Perfil de risco
É um conjunto de riscos que, de forma associada ou individual a outros riscos,
pertencem a uma parte da organização ou à organização como um todo.

Análise de riscos
A análise de riscos é um grupo de procedimentos adotados, que utilizam ferra-
mentas específicas para compreender a natureza dos riscos e determinar o nível de
exposição da organização a esses, para que se possa tomar decisões sobre a forma
de tratamento dos riscos.

Nível de risco
O nível de risco é simplesmente a amplitude de um risco, individual ou combinando
com outros, que pode ser expresso na forma de consequências, considerando a sua
probabilidade de ocorrência.

Avaliação de riscos
O processo de avaliação de riscos resulta de uma comparação da análise de
riscos com os efeitos e impactos que esses riscos podem provocar, identificando
sua magnitude e se o risco é aceitável ou tolerável.

11
11
UNIDADE A Norma ISO 31.000

Tratamento de riscos
É o procedimento utilizado para modificar e controlar o risco. Esse tratamento
envolve a ação de evitar o risco, com a remoção de sua fonte, a alteração da pro-
babilidade e a mudança das consequências no processo para modificar esse risco.

Mitigação de riscos
São medidas utilizadas para a eliminação e redução dos riscos, de forma que os
riscos sejam controlados com a adoção de medidas de gerenciamento de riscos.

Controle
São medidas que devem ser tomadas para modificar ou adequar o risco de for-
ma que ele possa ser tolerável

Risco residual
É o risco que ainda pode permanecer presente após o tratamento de riscos. Con-
tudo, dentro do risco residual, podem haver riscos que ainda não foram identificados.

Monitoramento
Acompanhamento, observação contínua de modo a identificar possíveis altera-
ções do nível de controle e mudanças de patamares dos riscos existentes.

Análise crítica
É uma análise realizada para se identificar os pontos falhos do processo atual,
que ainda podem ser melhorados com a proposição de ações corretivas.

Princípios
Para que a gestão de riscos seja eficaz, é necessário que todos os níveis de uma
organização atendam os princípios a seguir:
1. A gestão de riscos cria e protege valor.

A Gestão de riscos contribui para a demonstração dos objetivos e da

sistemática de melhoria do desempenho do sistema. Como exemplo quanto
à segurança e saúde do trabalho, quanto à conformidade legal, aceitação
pública, proteção ao meio ambiente, qualidade de produtos e serviços e à
reputação da empresa.
2. A gestão de riscos é parte integrante de todos os processos
organizacionais.

A gestão de riscos é uma atividade que não deve ser executada de forma
isolada das demais atividades e dos processos da empresa. A gestão de

12
 riscos faz parte essencial de todos os processos organizacionais, incluindo
as responsabilidades da administração do planejamento estratégico e os
processos de gestão de projetos e de mudanças.
3. A gestão de riscos é parte da tomada de decisões.

A gestão de riscos auxilia a equipe de tomadores de decisão a fazer escolhas

conscientes, priorizar ações e distinguir entre formas alternativas de ação.
4. A gestão de riscos aborda explicitamente a incerteza.

A gestão de riscos aborda de forma efetiva a incerteza, e de que forma a

incerteza pode ser tratada.
5. A gestão de riscos é sistemática, estruturada e oportuna.

A gestão de riscos deve ter uma abordagem sistemática e estruturada para

que consiga obter resultados consistentes e confiáveis.
6. A gestão de riscos se baseia nas melhores informações disponíveis.

As informações de entrada necessárias para o gerenciamento de riscos de-

vem ser baseadas em fontes de informações confiáveis, como dados históri-
cos, experiências, previsões e opiniões de especialistas.
7. A gestão de riscos é feita sob medida.

A gestão de riscos deverá ser alinhada com o contexto interno e externo da

organização e com o seu perfil de riscos.
8. A gestão de riscos considera fatores humanos e culturais.

A gestão de riscos deve considerar as capacidades, percepções e intenções

da equipe interna e externa, que podem facilitar ou dificultar a realização
dos objetivos da organização.
9. A gestão de riscos é transparente e inclusiva.

A gestão de riscos deve possuir o envolvimento das partes interessadas, em

especial dos tomadores de decisão em todos os níveis da organização.
10. A gestão de riscos é dinâmica, interativa e capaz de reagir a mudanças.

A gestão de riscos deve atender às mudanças, estar sempre atualizada com

a variabilidade dos processos e sistemas, e na identificação constante de
riscos existentes ou de riscos que não tinham sido considerados nas análi-
ses anteriores.
11. A gestão de riscos facilita a melhoria contínua da organização.

A gestão de riscos deve desenvolver e implementar estratégias para melho-

rar o processo de gestão de riscos, que deve impactar na melhoria contínua
da organização.

13
13
UNIDADE A Norma ISO 31.000

Estrutura
A estrutura auxilia no processo de gerenciar o risco de forma eficaz através de
toda a corporação, com o atendimento de metas e objetivos previamente esta-
belecidos dentro dos diferentes níveis da organização. A estrutura garante que as
informações sobre os riscos sejam confiáveis e reportadas diretamente à equipe de
gestão de riscos.

Mandato e comprometimento
O processo de garantia da eficiência da gestão de riscos determina que deve
existir um comprometimento rigoroso e sustentado que deverá ser assumido pela
alta direção da organização, e um planejamento estratégico das metodologias e
ações que devem ser tomadas em todo os níveis.

Estabelecimento da política de gestão de riscos

A política de gestão de riscos deve ser elaborada de forma que contenha os prin-
cipais objetivos e o comprometimento da corporação com relação à gestão de riscos.

Responsabilização
A organização deve estabelecer autoridade, competências e responsabilida-
des dentro de uma hierarquia que possibilite implementar e manter os processos
de gerenciamento de riscos, assegurando a sua eficiência em todos os contro-
les estabelecidos.

Integração nos processos organizacionais

A gestão de riscos deve ser integrada e incorporada em todas as práticas e todos
os processos da organização, para que possa existir uma gestão eficaz e eficiente,
de forma que a gestão de riscos se torne parte essencial do desenvolvimento de
políticas, da análise crítica pela direção, do planejamento estratégico do processo
de gestão de mudanças.

Recursos
Os recursos devem ser disponibilizados de forma adequada para a gestão de
riscos, de forma estruturada e planejada, considerando os seguintes fatores:
• pessoas, habilidades, experiências e competências;
• processos, métodos e ferramentas;
• procedimentos documentados;
• sistemas de gestão da informação e do conhecimento;
• programas de treinamento.

14
 Estabelecimento de mecanismos de comunicação e reporte internos
A organização deve estabelecer mecanismos de comunicação interna que pos-
sam reportar, apoiar e responsabilizar a propriedade dos riscos. Esses mecanismos
devem assegurar:
• componentes-chave da estrutura da gestão de riscos, e quaisquer alterações
que sejam comunicados adequadamente;
• que exista um processo adequado de reporte interno sobre a estrutura, sua
eficácia e os seus resultados;
• que as informações pertinentes derivadas da aplicação da gestão de riscos
estejam disponíveis nos níveis e nos momentos apropriados;
• haver processos de consulta às partes internas interessadas.

Estabelecimento de mecanismos de comunicação e reporte externos

Torna-se importante que a organização desenvolva e implemente um plano de
que forma será a comunicação com as partes externas interessadas, que deve
atender às seguintes exigências:
1. engajar as partes externas interessadas apropriadas e assegurar a troca
eficaz de informações;
2. o reporte externo para atendimento de requisitos legais, regulatórios e de
governança;
3. fornecer retroalimentação e reportar sobre a comunicação e a consulta;
4. usar comunicação para construir confiança na organização;
5. comunicar as partes interessadas em eventos de crise ou contingência.
6. Esses mecanismos devem incluir procedimentos para consolidar a infor-
mação sobre riscos atingindo uma variedade de fontes.

Implementação da gestão de riscos

Implementação da estrutura para gerenciar riscos
A implementação da estrutura para o gerenciamento de riscos seve para, dentro
da organização:
1. definir a estratégia e o momento apropriado para implementação
da estrutura;
2. aplicar a política e o processo de gestão de riscos aos processos
organizacionais;
3. atender aos requisitos legais e regulatórios;

15
15
UNIDADE A Norma ISO 31.000

4. assegurar que a tomada de decisões esteja alinhada com os resultados dos

processos de gestão de riscos;
5. manter sessões de informação e treinamento;
6. consultar e comunicar as partes interessadas para assegurar que a estrutu-
ra da gestão de riscos continue apropriada.

Implementação do processo de gestão de riscos

A gestão de riscos deve ser implementada, de forma que possa assegurar que o
processo de gestão de riscos possa ser aplicado e utilizado, desde que atinja todos
os níveis e as funções pertinentes de uma organização.

Monitoramento e análise crítica da estrutura

O monitoramento e a análise da estrutura devem assegurar que a gestão de
riscos seja permanente e apoie o desempenho da organização da seguinte forma:
1. medindo o desempenho da gestão de riscos utilizando indicadores, os
quais devem ser analisados criticamente, de forma periódica, para garan-
tir sua adequação;
2. medindo periodicamente o progresso obtido, ou o desvio, em relação ao
plano de gestão de riscos;
3. analisando criticamente, de forma periódica, se a política, o plano e a es-
trutura da gestão de riscos ainda são apropriados, dado o contexto externo
e interno das organizações;
4. reportando sobre os riscos, sobre o progresso do plano de gestão de riscos
e como a política de gestão de riscos está sendo seguida; e
5. analisando criticamente a eficácia da estrutura da gestão de riscos.

Melhoria contínua da estrutura

Considerando-se os resultados do monitoramento e das análises críticas, do
processo de gestão de riscos, as decisões devem ser tomadas sobre os aspectos da
política, no sentido de melhorar a eficácia da estrutura.

Processo
O processo de gestão de riscos deve conter:
1. parte integrante da gestão;
2. incorporado na cultura e nas práticas;
3. adaptado aos processos de negócios da organização.

Comunicação e consulta
A comunicação e a consulta das partes interessadas, internas e externas, devem
ocorrer durante todas as etapas do processo de gestão de riscos.

16
 Os planos de comunicação e consulta das partes interessadas devem ocorrer
durante todas as etapas do processo de gestão de riscos.

Os planos devem abordar as questões relacionadas com o risco, suas causas e

consequências e a forma de mitigar.

Os processos de comunicação interna e externa devem garantir que todos os

envolvidos, de forma direta ou indireta, entendam os fundamentos para a tomada
de decisão para as ações requeridas. Essa abordagem deve contemplar:
1. auxiliar a estabelecer o contexto apropriadamente;
2. assegurar que os interesses das partes interessadas sejam compreendidos
e considerados;
3. auxiliar a assegurar que os riscos sejam identificados adequadamente;
4. reunir diferentes áreas de especialização em conjunto para análise dos riscos;
5. assegurar que diferentes pontos de vista sejam devidamente considerados
quando da definição dos critérios de risco e na avaliação dos riscos;
6. garantir o aval e o apoio para um plano de tratamento;
7. aprimorar a gestão de mudanças durante o processo de gestão de riscos;
8. desenvolver um plano apropriado para a comunicação e consultas interna
e externa.

Identificação de riscos
A organização deve identificar as fontes geradoras de riscos, as áreas de impacto
e os eventos não desejados, suas causas e efeitos. O principal objetivo é criar uma
lista, o mais completa possível, baseada nos eventos que possam criar, aumentar,
evitar, reduzir, acelerar, ou atrasar a realização dos objetivos. Todos os riscos as-
sociados devem ser identificados e relacionados, porque um risco não identificado
pode se tornar crítico

Análise de riscos
A análise de riscos envolve o entendimento dos riscos e de que forma esses
devem ser mitigados, identificando as possíveis causas, fontes geradoras, probabi-
lidade de acontecimentos do evento e sua magnitude.

Avaliação de riscos
O objetivo da análise de riscos é auxiliar na tomada de decisões, considerando-se
os resultados da análise de riscos.

Tratamento de riscos
O tratamento de riscos considera as formas para modificar os riscos. O tratamento
de riscos deve considerar:

17
17
UNIDADE A Norma ISO 31.000

1. avaliação do tratamento de riscos já realizado;

2. decisão se os níveis de risco residual são toleráveis;
3. avaliação da eficácia desse tratamento.

Para se realizar o tratamento de riscos, devem ser considerados os seguin-

tes aspectos:
• ação de evitar o risco ao se decidir não iniciar ou descontinuar a atividade que
dá origem ao risco;
• tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade;
• remoção da fonte de risco;
• alteração da probabilidade;
• alteração das consequências;
• compartilhamento do risco com outra parte ou partes (incluindo contratos e
financiamento do risco); e
• retenção do risco por uma decisão consciente e bem embasada.

Seleção das opções de tratamento de riscos

A seleção da opção mais adequada para o tratamento de riscos deve considerar o
equilíbrio entre os custos e os esforços de implementação, tendo em contrapartida
os benefícios relativos aos requisitos legais e regulatórios, como a proteção do
meio ambiente, responsabilidade social etc. Devem ser considerados os riscos que
demandam um tratamento economicamente inviável, riscos severos, porém com
probabilidades muito baixas.

18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
MGD 1010: Risk Management Handbook for Minning Industry
NEW SOUTH WALWS GOVERNMENT. Department of Minerals Resources. MGD
1010: risk management handbook for minning industry. Sydney: NSW, 1997.
Ferramentas de Análise de Riscos
Revista Proteção, São Paulo, n. 231. 2013.
Gerenciamento de Riscos
RUPPENTHAL, J. E. Gerenciamento de Riscos. Santa Maria, SC: Universidade
Federal de Santa Catarina/Colégio Técnico Industrial de Santa Maria; Rede Etec
Brasil, 2013.
Desastres Naturais: Conhecer para Prevenir
TOMINAGA, L. K; SANTORO, J; AMARAL, R. Desastres Naturais: conhecer para
prevenir. São Paulo: Instituto Geológico, 2009.

19
19
UNIDADE A Norma ISO 31.000

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 31000: gestão de
riscos – princípios e diretrizes. Rio de Janeiro, 2009.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR. 31010: gestão de

risco – técnicas para avaliação de riscos. Rio de Janeiro, 2012.

DE CICCO, F. M. G. A. F.; FANTAZZINI, M. L. Introdução à Engenharia de

Segurança de Sistemas. 4. ed. São Paulo: Fundacentro, 1994.

DE CICCO, F. M. G. A. F.; FANTAZZINI, M. L. Tecnologias Consagradas de Ges-

tão de Riscos: riscos e probabilidade. São Paulo: Séries Risk Management. 2003.

20