DNP Documento Normativo Português

DNP
ISO/TR 31004
2017

TR Relatório Técnico

Gestão do risco
Linhas de orientação para implementação da ISO 31000

Risk management
Guidance for the implementation of ISO 31000

Management du risqué
Lignes directrices pour l’implémentation de l’ISO 31000

ICS APROVAÇÃO
03.100.01 Termo de Aprovação n.º 3/2017, de 2017-09-08

CORRESPONDÊNCIA EDIÇÃO
ISO/TR 31004:2013 2017-09-15

ELABORAÇÃO CÓDIGO DE PREÇO

CT 180 (APQ) X012

 IPQ reprodução proibida

Instituto Português da ualidade

Rua António Gião, 2
2829-513 CAPARICA PORTUGAL

Tel. + 351 212 948 100 Fax. + 351 212 948 101
E-mail:ipq@ipq.pt Internet: www.ipq.pt
Preâmbulo nacional
O presente Documento Normativo é idêntico ao Relatório Técnico ISO/TR 31004:2013 e foi elaborado pelo
Comité Técnico ISO/TC 262 “Risk management”.
O presente Documento Normativo foi preparado pela Comissão Técnica de Normalização, CT 180 “Gestão
do risco”, cuja coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa
para a Qualidade (ONS/APQ).
 DNP
ISO/TR 31004
2017

p. 3 de 45

Sumário Página
Preâmbulo nacional ......................................................................................................................................... 2
Introdução ......................................................................................................................................................... 5
0.1 Generalidades ............................................................................................................................................... 5
0.2 Conceitos e princípios subjacentes............................................................................................................... 5
1 Objetivo e campo de aplicação ..................................................................................................................... 6
2 Referências Normativas ................................................................................................................................ 6
3 Implementação da ISO 31000 ...................................................................................................................... 6
3.1 Generalidades ............................................................................................................................................... 6
3.2 Como implementar a ISO 31000.................................................................................................................. 7
3.3 Integração da ISO 31000 nos processos de gestão da organização ............................................................. 8
3.4 Melhoria contínua ...................................................................................................................................... 11
Anexo A (informativo) Princípios e conceitos subjacentes .......................................................................... 12
A.1 Generalidades ............................................................................................................................................ 12
A.2 Riscos e objetivos ...................................................................................................................................... 12
A.3 Incerteza .................................................................................................................................................... 13
A.4 Tratamento do risco e controlo.................................................................................................................. 13
A.5 Estrutura da gestão do risco ...................................................................................................................... 13
A.6 Critério do risco ......................................................................................................................................... 13
A.7 Gestão, gestão do risco e gerir o risco ....................................................................................................... 14
Anexo B (informativo) Aplicação dos princípios da ISO 31000 .................................................................. 15
B.1 Generalidades ............................................................................................................................................ 15
B.2 Riscos e objetivos ...................................................................................................................................... 15
Anexo C (informativo) Como expressar o mandato e o compromisso ....................................................... 27
C.1 Generalidades ............................................................................................................................................ 27
C.2 Métodos para expressar o mandato e o compromisso ............................................................................... 27
C.3 Orientação sobre o desenvolvimento do mandato e do compromisso ...................................................... 29
Anexo D (informativo) Monitorização e revisão........................................................................................... 31
D.1 Enquadramento.......................................................................................................................................... 31
D.2 Monitorização e revisão da estrutura organizacional ................................................................................ 34
D.3 Monitorização e revisão do processo ........................................................................................................ 37
Anexo E (informativo) Integração da gestão do risco num sistema de gestão ........................................... 41
E.1 Generalidades ............................................................................................................................................ 41
E.2 O que é um sistema de gestão? .................................................................................................................. 41
 DNP
ISO/TR 31004
2017

p. 4 de 45

E.3 O sistema integrado de gestão e a gestão do risco ..................................................................................... 42

E.4 A implementação da gestão do risco na estrutura do sistema de gestão da qualidade .............................. 42
Bibliografia ..................................................................................................................................................... 45
 DNP
ISO/TR 31004
2017

p. 5 de 45

Introdução

0.1 Generalidades
As organizações utilizam diferentes métodos para gerir o efeito da incerteza nos seus objetivos, i.e. para gerir
o risco, pela deteção e compreensão do risco e sua modificação quando necessário.
Este Relatório Técnico destina-se a apoiar organizações a melhorar a eficácia dos seus esforços de gestão do
risco alinhando-os com a ISO 31000:2009. A ISO 31000 fornece uma abordagem genérica da gestão do risco
que pode ser aplicada a todas as organizações para ajudá-las a atingir os seus objetivos.
Este Relatório Técnico destina-se a ser utilizado por quem, dentro das organizações, toma decisões com
impacte na consecução dos objetivos, incluindo os responsáveis pela governação e os que fornecem às
organizações aconselhamento e serviços de apoio em matéria de gestão do risco. Este Relatório Técnico
também se destina a ser utilizado por todos os interessados no risco e na sua gestão, incluindo professores,
estudantes, legisladores e reguladores.
O presente Relatório Técnico destina-se a ser lido em conjunto com a ISO 31000 e é aplicável a
organizações de todos os tipos e dimensões. Os conceitos e definições principais, essenciais à compreensão
da ISO 31000, estão explicados no Anexo A.
A secção 3 estabelece uma metodologia genérica para ajudar as organizações na transição das disposições
existentes da gestão do risco de modo a alinhá-las com a ISO 31000, de forma planeada e estruturada.
Contribui igualmente para o ajuste dinâmico quando ocorrem mudanças no ambiente interno e externo da
organização.
Os Anexos adicionais fornecem conselhos, exemplos e explicações sobre a implementação de aspetos
selecionados da ISO 31000, de modo a ajudar os utilizadores do presente Relatório Técnico em função da
sua especialização e necessidades particulares.
Os exemplos fornecidos neste Relatório Técnico podem ou não ser diretamente aplicáveis a situações ou
organizações específicas e servem apenas um propósito exemplificativo.

0.2 Conceitos e princípios subjacentes

Certas palavras e conceitos são fundamentais à compreensão tanto da ISO 31000 como deste Relatório
Técnico e são explicados na secção 2 da ISO 31000:2009 e no Anexo A do presente Relatório Técnico.
A ISO 31000 enumera 11 princípios para uma gestão do risco eficaz. O papel dos princípios é o de informar
e orientar todos os aspetos da abordagem da organização à gestão do risco. Os princípios descrevem as
características de uma gestão do risco eficaz. Mais do que a simples implementação dos princípios, é
importante que a organização os espelhe em todos os aspetos da gestão. Eles servem de indicadores de
desempenho da gestão do risco e reforçam o valor, para a organização, do risco gerido eficazmente. Eles
também influenciam todos os elementos do processo de transição descrito neste Relatório Técnico, e os
assuntos técnicos que são objeto dos seus anexos. Mais conselhos sobre esta matéria são dados no Anexo B.
Neste Relatório Técnico são utilizadas ambas as expressões “gestão de topo” e “órgão de supervisão”: a
“gestão de topo” refere-se à pessoa ou grupo de pessoas que dirige e controla uma organização ao mais alto
nível, enquanto um “órgão de supervisão” refere-se à pessoa ou grupo de pessoas que governa uma
organização, define orientações, e a quem a gestão de topo presta contas.
NOTA: Em muitas organizações, o ―órgão de supervisão‖ poderá ser denominado conselho de administração, conselho de
curadores, conselho de supervisão, etc.
 DNP
ISO/TR 31004
2017

p. 6 de 45

1 Objetivo e campo de aplicação

O presente Relatório Técnico fornece às organizações orientações na gestão eficaz do risco pela
implementação da ISO 31000:2009. Fornece:
- uma abordagem estruturada para as organizações fazerem a transição das suas disposições relativas à
gestão do risco de modo a ficarem consistentes com a ISO 31000 e ajustadas às características da
organização;
- uma explicação dos conceitos subjacentes à ISO 31000;
- orientações sobre os aspetos dos princípios e da estrutura da gestão do risco descritos na ISO 31000.
Este Relatório Técnico pode ser utilizado por qualquer, empresa cotada, não cotada ou de uma comunidade,
associação, grupo ou indivíduo.
NOTA: Por conveniência, os diversos utilizadores deste Relatório Técnico, são todos referidos pelo termo genérico ―organização‖.

Este Relatório Técnico não é específico de nenhuma indústria ou sector, ou a qualquer tipo particular de
risco e pode ser aplicado a todas as atividades e a todas as partes das organizações.

2 Referências Normativas
Os documentos a seguir referenciados, no todo ou em parte, são indispensáveis à aplicação deste documento.
Para as referências datadas apenas se aplica a edição citada. Para as referências não datadas, aplica-se a
última edição do documento referenciado (incluindo as emendas).
ISO 31000:2009*) Risk management – Principles and guidelines

3 Implementação da ISO 31000

3.1 Generalidades
Esta secção fornece orientações para organizações que procuram alinhar a sua abordagem e práticas de
gestão do risco com a ISO 31000 e manter essas práticas alinhadas numa base contínua.
Fornece uma metodologia geral adequada à aplicação, de um modo planeado, por qualquer organização
independentemente da natureza das suas atuais disposições da gestão do risco. Esta metodologia envolve
uma:
 comparação das práticas atuais com as descritas na ISO 31000;
 identificação das mudanças necessárias, preparação e implementação de um plano para essas mudanças;
 manutenção da monitorização e revisão continuadas de modo a assegurar a atualização e a melhoria
contínua.
Isto permitirá à organização obter um entendimento atual e abrangente dos seus riscos e assegurar que esses
riscos são consistentes com a sua atitude face ao risco e com os seus critérios do risco.
Independentemente do motivo da implementação da ISO 31000, ao fazê-lo é expectável que a organização
possa gerir melhor os seus riscos, suportando os seus objetivos. Todas as organizações gerem, em certa
medida, o risco. A estratégia para implementar a ISO 31000 deverá identificar o modo como uma

*)
Encontra-se em vigor a versão portuguesa desta Norma, NP ISO 31000:2013 ―Gestão do risco – Princípios e linhas de orientação
(ISO 31000:2009)‖ (nota nacional).
 DNP
ISO/TR 31004
2017

p. 7 de 45

organização já está a gerir o risco. O processo de implementação, como descrito em 3.2, vai avaliar as
disposições existentes e, caso necessário, adaptá-las e modificá-las para as alinhar com a ISO 31000.
A ISO 31000 identifica vários elementos da estrutura da gestão do risco. Existem diversas vantagens que
podem destacar-se quando os elementos dessa estrutura são integrados na governação, funções e processos
da organização. Estas relacionam-se com a eficácia, a tomada de decisões sólidas e a eficiência
organizacionais.
a) A estrutura para gerir o risco deverá ser posta em prática integrando os seus componentes no sistema
global de gestão e tomada de decisões, independentemente do sistema ser formal ou informal; os
processos de gestão existentes poderão ser melhorados por referência à ISO 31000.
b) A compreensão e gestão da incerteza torna-se uma componente integral do(s) sistema(s) de gestão,
estabelecendo uma abordagem comum para a organização.
c) A implementação do processo de gestão do risco pode ser proporcionalmente ajustada à dimensão e aos
requisitos da organização.
d) A governação (i.e. direção e supervisão) da política, da estrutura e do(s) processo(s) de gestão do risco,
podem ser integrados nas disposições da governação organizacional já existentes.
e) O relatório da gestão do risco é integrado com outros relatórios de gestão.
f) O desempenho da gestão do risco torna-se uma parte integrante da abordagem do desempenho global.
g) A interação e a ligação entre campos da gestão do risco, muitas vezes separados numa organização (por
exemplo gestão do risco empresarial, gestão do risco financeiro, gestão do risco de projeto, gestão da
segurança, gestão da continuidade do negócio, gestão dos seguros) podem ser asseguradas ou
melhoradas, uma vez que a atenção agora estará principalmente focada em estabelecer e alcançar os
objetivos da organização, tendo em conta o risco.
h) A comunicação sobre a incerteza e risco entre equipas de gestão e níveis de gestão é melhorada.
i) As atividades individualizadas de gestão do risco dentro da organização centram-se em alcançar os
objetivos da organização como propósito comum. Poderão existir benefícios indiretos para a sociedade
dado que as partes interessadas externas poderão ser incentivadas a melhorar a sua atividade de gestão
do risco.
j) O tratamento do risco e os controlos podem tornar-se parte integrante das operações diárias.

3.2 Como implementar a ISO 31000

Apesar da ISO 31000 explicar como se gere eficazmente o risco, não explica como integrar a gestão do risco
nos processos de gestão da organização. Apesar das organizações serem diferentes e os pontos de partida
poderem diferir, em todos os casos é aplicável uma abordagem genérica e sistemática de implementação.
A organização deverá determinar se são necessárias mudanças na estrutura existente para a gestão do risco,
antes de planear e implementar essas mudanças e proceder posteriormente à monitorização contínua da
eficácia da estrutura alterada. Isto vai permitir à organização:
 alinhar as suas atividades de gestão do risco com os princípios da gestão do risco eficaz descritos na ISO
31000:2009, secção 3;
 aplicar o processo de gestão do risco descrito na ISO 31000:2009, secção 5;
 satisfazer os atributos da gestão do risco melhorada da ISO 31000:2009, secção A.3;
 alcançar, deste modo, os resultados principais da ISO 31000: 2009, secção A.2.
 DNP
ISO/TR 31004
2017

p. 8 de 45

Esta abordagem também é aplicável às organizações que já estão alinhadas com a ISO 31000, mas que
desejam a melhoria contínua da sua estrutura e do seu processo de gestão do risco, como recomendado na
ISO 31000:2009, 4.6 e 5.6.
Todos os aspetos da transição poderão ser auxiliados com base na experiência de outras organizações que
gerem tipos de risco semelhantes ou que passaram por um processo similar.

3.3 Integração da ISO 31000 nos processos de gestão da organização

3.3.1 Generalidades
A ISO 31000 fornece a estrutura e o processo genérico para gerir o risco em toda ou numa parte de uma
organização de qualquer tipo. Esta secção fornece as orientações para integrar os elementos da ISO 31000 na
abordagem de gestão da organização, incluindo as suas atividades, os seus processos e as suas funções. As
organizações poderão escolher integrar os conceitos da ISO 31000 nos seus processos, ou poderão escolher
conceber e estabelecer uma nova abordagem baseada na ISO 31000. Existem várias formas para integrar a
ISO 31000 na organização. A escolha e a ordem dos elementos deverão ser adaptadas às necessidades da
organização e das suas partes interessadas. A aplicação desta orientação requer atenção para assegurar que a
integração suporta a estratégia global de gestão do negócio. Orienta o esforço para atingir os objetivos da
organização de proteção e de criação de valor. A abordagem tem de ter em conta a cultura da organização,
assim como as metodologias de gestão de projeto e de mudança.
Esta secção descreve os elementos fundamentais da estrutura e do processo e as ações necessárias para a
integração de sucesso destes elementos, de modo a ir ao encontro dos objetivos da organização.
A implementação da ISO 31000 é um processo contínuo, dinâmico e iterativo. Por outro lado, a
implementação da estrutura está interrelacionada com o processo de gestão do risco descrito na
ISO 31000:2009, secção 5. O sucesso é medido tanto em termos de integração da estrutura como em termos
da melhoria contínua da gestão do risco em toda a organização.
A integração tem lugar num contexto dinâmico. A organização deverá monitorizar tanto as mudanças que
decorrem do processo de implementação, como as do seu contexto interno e externo. Isto poderá incluir a
necessidade de alterar os seus critérios do risco.

3.3.2 Mandato e compromisso

Qualquer atividade de gestão de negócio tem início na análise dos fundamentos, dos passos dos processos e
numa análise custo-benefício. A isto segue-se uma decisão da gestão de topo e do órgão de supervisão para a
implementação e disponibilização do compromisso e dos recursos necessários. Tipicamente o processo de
implementação inclui:
a) aquisição de um mandato e compromisso, se necessário;
b) análise de lacunas;
c) adaptação e dimensionamento com base nas necessidades e cultura organizacionais, na criação e
proteção de valor;
d) avaliação os riscos associados à transição;
e) elaboração de um plano de negócios que:
 estabeleça objetivos, prioridades e métrica,
 estabeleça o caso de negócio, incluindo o alinhamento com os objetivos organizacionais,
 determine o âmbito, responsabilidades, prazos e recursos;
 DNP
ISO/TR 31004
2017

p. 9 de 45

f) identificação do contexto da implementação, incluindo a comunicação com as partes interessadas.

3.3.3 Conceção da estrutura

3.3.3.1 As abordagens da gestão do risco existentes na organização deverão ser avaliadas, incluindo o
contexto e a cultura.
a) É importante ter em consideração quaisquer obrigações legais, regulamentares ou dos clientes, requisitos
de certificação que surjam de qualquer sistema de gestão e as normas que a organização tenha escolhido
adotar. O propósito deste passo permite a adaptação cuidadosa da conceção da estrutura da gestão do
risco e do próprio plano de implementação, o alinhamento com a estrutura, a cultura e o sistema de
gestão da organização.
b) É importante considerar o processo usado para gerir os riscos e os aspetos da estrutura existente de
gestão do risco, permitindo a aplicação deste processo.
c) Deverão ser estabelecidos critérios de risco apropriados. Os critérios de risco precisam de ser coerentes
com os objetivos da organização e alinhados com a atitude desta face ao risco. Se os objetivos mudam,
os critérios de risco são ajustados em conformidade. É importante para uma gestão do risco eficaz que os
critérios de risco sejam desenvolvidos de modo a refletir a atitude face ao risco e os objetivos da
organização.
Para conceber uma nova estrutura deverá ser avaliado o seguinte:
 princípios e atributos, como descritos na ISO 31000;
 a estrutura anterior cuja avaliação deverá comparar, particularmente, as práticas correntes com os
requisitos das seguintes secções da ISO 31000:2009:
 4.3.2 – (política de gestão do risco),
 4.3.3 – (responsabilização),
 4.3.4 – (integração nos processos organizacionais),
 4.3.5 – (recursos),
 4.3.6 e 4.3.7 – (comunicação interna e externa e mecanismos de reporte);
 o processo cuja avaliação deverá comparar os elementos dos processos existentes com os da
ISO 31000:2009, secção 5, bem como os princípios subjacentes que orientam e fornecem os
fundamentos do processo com os princípios estabelecidos na ISO 31000:2009, secção 3 (por exemplo, se
o processo é realmente aplicado nas tomadas de decisão a todos os níveis):
 avaliar se o processo corrente fornece aos decisores a informação sobre risco que necessitam de
modo a tomarem decisões com qualidade e atingirem ou excederem os objetivos,
 avaliar se as abordagens existentes de gestão do risco dão resposta suficiente aos riscos
interrelacionados e aos riscos que ocorrem em múltiplas localizações.
3.3.3.2 Os requisitos da conceção da estrutura deverão ser identificados.
Com base nas avaliações descritas em 3.3.3.1, a organização deverá decidir quais os aspetos da abordagem
corrente da gestão do risco que:
a) podem continuar a serem usados no futuro (possivelmente alargados a outros tipos de tomada de
decisão);
b) necessitam de correção ou melhoria;
 DNP
ISO/TR 31004
2017

p. 10 de 45

c) deixaram de adicionar valor e deverão ser descontinuados.

A organização deverá desenvolver, documentar e comunicar como vai gerir o risco. A escala e o conteúdo
das normas internas, as orientações e os modelos da organização relacionados com a gestão do risco deverão
refletir a cultura e contexto organizacionais.
Os documentos podem especificar que:
 os riscos são geridos em toda a organização usando abordagens consistentes;
 existem diferentes níveis de responsabilização na gestão do risco;
 as competências e deveres de todas as pessoas responsáveis pela gestão do risco são claramente
definidas;
 as partes interessadas internas e externas são envolvidas, de forma adequada, mediante comunicação e
consulta abrangentes;
 a informação sobre os riscos e os resultados de todas as aplicações do processo de gestão do risco são
registados de forma consistente, segura e com acesso apropriado.
Deverá estar também prevista a revisão periódica de requisitos, ferramentas, formação e recursos
organizacionais da gestão do risco, se existirem alterações subsequentes na organização e no seu contexto, ou
se a monitorização e revisão contínuas identificarem debilidades ou faltas de eficácia.
3.3.3.3 Deverão ser definidos o âmbito, objetivos, metas, recursos, medidas para o sucesso e os critérios de
monitorização e revisão para a fase de implementação.
3.3.3.4 A comunicação interna e externa e os mecanismos de reporte deverão ser estabelecidos.

3.3.4 Implementação da gestão do risco

Um plano detalhado de implementação é necessário para garantir que as mudanças necessárias ocorrem
numa ordem coerente e que os recursos necessários podem ser disponibilizados e aplicados. O plano deverá
ser suportado pelos recursos necessários à sua implementação o que poderá requerer afetações específicas de
orçamento, cujo desenvolvimento deverá fazer parte do processo de planeamento.
O plano em si deverá ser sujeito à avaliação do risco de acordo com a ISO 31000:2009, 5.4, e implementada
qualquer ação necessária para tratamento do risco.
O plano deverá requerer e permitir que o progresso possa ser acompanhado e reportado tanto à gestão de
topo como ao órgão de supervisão. Deverão ser previstas revisões periódicas do plano.
O plano deverá portanto:
 detalhar as ações específicas a tomar, a sua sequência, as pessoas que as deverão realizar e o prazo para
conclusão. Estas ações incluirão as alterações das normas internas e orientações, esclarecimentos e
formação para criar competências e fazer ajustes nas responsabilizações;
 identificar quaisquer ações específicas a ser implementadas como partes de ações mais amplas,
associadas ao desenvolvimento organizacional ou que, de outro modo, estão relacionadas (por exemplo,
desenvolvimento de material de formação e envolvimento de formadores);
 definir responsabilidades para implementação;
 incorporar um mecanismo para reportar a conclusão, progresso e problemas;
 identificar e registar qualquer critério que desencadeie a revisão do plano.
 DNP
ISO/TR 31004
2017

p. 11 de 45

A implementação poderá demorar algum tempo a estar concluída e pode ser feita em etapas. Deverá ser
adotada a prática habitual de dar prioridade, tanto quanto possível, às mudanças que têm um maior impacto
na consecução do propósito final. Esta implementação pode ocorrer em várias etapas de maturidade e
estrutura organizacional. Poderá também ser mais eficaz integrar a implementação com outros programas de
mudança.

3.3.5 Monitorização e revisão

O progresso obtido face ao plano definido deverá ser acompanhado, analisado e reportado à gestão de topo
em tempo oportuno (mensalmente, trimestralmente, etc.).
Os relatórios do progresso face ao plano e o desempenho medido deverão ser validados periodicamente num
processo de revisão imparcial e objetivo. As revisões deverão incluir um exame da estrutura, dos processos,
dos próprios riscos e das mudanças do meio envolvente.
Deverá haver uma revisão periódica da estratégia de implementação e medição do progresso, da sua
consistência e desvio do plano de gestão do risco. As revisões poderão também ocorrer se os critérios de
revisão estabelecidos no plano forem verificados.
O desempenho deverá ser avaliado em função da eficácia da mudança e da gestão do risco, como também da
identificação das lições aprendidas e das oportunidades de melhoria.
As conclusões significativas resultantes da monitorização deverão ser reportadas às pessoas responsáveis.
Os resultados deste passo serão tidos em consideração no contexto e noutras funções para que novos riscos
possam ser identificados, as alterações aos riscos existentes possam ser reveladas, e o estado de execução da
estrutura possa ser registado para melhoria (ver ISO 31000:2009; 4.6 e 5.7)

3.4 Melhoria contínua

Tanto a estrutura como o processo de gestão do risco deverão ser revistos de modo a avaliar se a sua
conceção é apropriada e se a sua implementação está a adicionar valor à organização como pretendido. Se os
resultados de monitorização e revisão mostrarem que pode haver melhorias, estas deverão ser implementadas
logo que possível.
Para as organizações que transitaram para a ISO 31000, deverá existir permanentemente a perceção e a
adoção de oportunidades de melhoria. Os mesmos passos do processo de transição são também úteis para
fazer verificações periódicas para deteção de desvios ao processo.
Existem vários fatores para desencadear a melhoria contínua, em que se incluem os seguintes:
 a monitorização e revisão de rotina da estrutura e do processo de gestão do risco, que identificam
oportunidades de melhoria;
 a disponibilização de novos conhecimentos;
 a alteração substancial do contexto interno e externo da organização.
 DNP
ISO/TR 31004
2017

p. 12 de 45

Anexo A
(informativo)

Princípios e conceitos subjacentes

A.1 Generalidades
Este Anexo explica certas palavras e conceitos (por exemplo “risco”) utilizados quotidianamente e que
podem ter vários significados, mas que têm um significado particular quer na ISO 31000, quer neste
Relatório Técnico.
A ISO 31000 define risco como “o efeito da incerteza na consecução dos objetivos”.
NOTA: É aconselhável que os leitores se familiarizem com os termos e definições neste Anexo.

A.2 Riscos e objetivos

As organizações de todos os tipos enfrentam fatores e influências internos e externos que tornam incerto se,
quando e em que medida os seus objetivos são atingidos ou excedidos.
Os objetivos referidos na ISO 31000 e neste Relatório Técnico são os resultados que a organização procura
atingir. Tipicamente, estes são a sua mais elevada expressão de intenções e propósito e, tipicamente, refletem
os seus objetivos implícitos e explícitos, valores e imperativos, incluindo a consideração de obrigações
sociais e as exigências legais e regulamentares. Em geral, a gestão do risco é facilitada se os objetivos são
expressos em termos mensuráveis. Existem frequentemente múltiplos objetivos, contudo, a inconsistência
entre objetivos pode ser uma fonte do risco.
A verosimilhança não é apenas a da ocorrência de um evento, mas da verosimilhança global de se vivenciar
as consequências que decorrem de um evento considerando-se a magnitude das consequências em ambos os
termos positivo ou negativo. Tipicamente, pode existir um intervalo de consequências possíveis que podem
decorrer de um evento e cada um terá a sua própria verosimilhança. O nível de risco pode ser expresso como
a verosimilhança de determinadas consequências a ser vivenciadas (incluindo a magnitude). As
consequências relacionam-se diretamente com os objetivos e elas aparecem quando alguma coisa acontece
ou não.
O risco é o efeito da incerteza na consecução dos objetivos, independentemente do domínio ou das
circunstâncias, pelo que um evento ou um perigo (ou qualquer outra fonte de risco) não deverá ser descrito
como um risco. O risco deverá ser descrito como a conjugação da verosimilhança de um evento (ou perigo
ou fonte do risco) e das suas consequências.
Entender que o risco pode ter consequências positivas ou negativas é um conceito central e vital a ser
percebido pela gestão. Os riscos podem expor a organização a oportunidades, ameaças ou a ambas.
O risco é criado ou alterado quando as decisões são tomadas. Dado que existe quase sempre alguma
incerteza associada às decisões e à tomada de decisão, haverá quase sempre risco. Aqueles que são
responsáveis pela consecução dos objetivos deverão ter em consideração que o risco é uma parte inevitável
das atividades da organização e que é criado ou alterado, tipicamente, quando as decisões são tomadas. Os
riscos associados a uma decisão deverão ser entendidos no momento em que a decisão é tomada, sendo,
desta forma, a assunção do risco intencional. A utilização do processo de gestão do risco descrito na
ISO 31000 torna isto possível.
 DNP
ISO/TR 31004
2017

p. 13 de 45

A.3 Incerteza
A incerteza que juntamente com os objetivos cria o risco, origina-se no ambiente interno e externo em que a
organização opera. Esta incerteza pode:
 ser uma consequência de fatores subjacentes sociológicos, psicológicos ou culturais associados a
comportamentos humanos;
 ser produzida por processos naturais que são caracterizados por uma variabilidade inerente, p. ex.
condições meteorológicas, variações entre observações numa população;
 surgir de informação incompleta ou inexata, p. ex. dados omissos, mal interpretados, pouco fiáveis,
internamente contraditórios ou inacessíveis;
 alterar-se ao longo do tempo, p. ex. devido à concorrência, tendências, nova informação e alterações nos
fatores subjacentes;
 ser produzida pela perceção da incerteza que poderá variar entre sectores da organização e das suas
partes interessadas.

A.4 Tratamento do risco e controlo

Os controlos são medidas implementadas pela organização para modificar o risco, permitindo a consecução
dos objetivos. Os controlos podem modificar o risco através da alteração de qualquer fonte de incerteza (p.
ex. fazendo com que seja mais ou menos provável que alguma coisa aconteça), ou através da alteração da
gama das consequências possíveis e onde estas poderão ocorrer.
O tratamento do risco, tal como definido na ISO 31000, é o processo que visa alterar ou criar controlos e
inclui a retenção do risco.

A.5 Estrutura da gestão do risco

A estrutura da gestão do risco refere-se às disposições (incluindo práticas, processos, sistemas, recursos e
cultura) dentro do sistema de gestão da organização que permitem que o risco seja gerido. As características
de uma estrutura e o grau da sua integração no sistema de gestão da organização determinarão, em última
instância, a eficácia de como o risco é gerido.
A estrutura inclui afirmações claras da gestão de topo sobre o propósito da organização relativamente à
gestão do risco (descrito na ISO 31000 como mandato e compromisso) e à capacidade necessária (recursos e
aptidões) para alcançar estas intenções.
Esta capacidade não existe como um sistema individual ou uma entidade. Esta capacidade comporta
numerosos elementos integrados nos processos de gestão globais da organização. Estes podem ser
específicos da tarefa de gerir o risco (p. ex. um sistema de informação especializado) ou fazer parte do
sistema de gestão da organização (p. ex. as suas práticas de recursos humanos).

A.6 Critério do risco

Os critérios do risco são os parâmetros estabelecidos pela organização para permitir a descrição do risco e
tomar decisões acerca da significância do risco tendo em conta a atitude da organização face ao risco. Estas
decisões permitem que o risco seja apreciado e o tratamento seja selecionado.
 DNP
ISO/TR 31004
2017

p. 14 de 45

A.7 Gestão, gestão do risco e gerir o risco

A gestão envolve atividades coordenadas que dirigem e controlam a organização na persecução dos seus
objetivos.
A gestão do risco é uma componente integrante da gestão, na medida em que envolve a coordenação de
atividades relacionadas com os efeitos da incerteza na consecução dos objetivos. Este é o motivo porque,
para ser eficaz, é importante que a gestão do risco esteja totalmente integrada nos processos e sistemas de
gestão da organização.
Neste Relatório Técnico, assim como na ISO 31000, a expressão “gestão do risco” refere-se geralmente à
arquitetura que a organização utiliza (princípios, estrutura e processo) para gerir o risco eficazmente e “gerir
o risco” refere-se à aplicação dessa arquitetura a decisões, atividades e riscos particulares.
 DNP
ISO/TR 31004
2017

p. 15 de 45

Anexo B
(informativo)

Aplicação dos princípios da ISO 31000

B.1 Generalidades
Todas as organizações gerem os riscos em diferentes níveis, a ISO 31000:2009 estabelece onze princípios
que é necessário que sejam satisfeitos para assegurar a eficácia da gestão do risco. Os princípios dão
orientação sobre:
a) a fundamentação para gerir o risco eficazmente (p. ex. a gestão do risco cria e protege valor);
b) as características da gestão do risco que permitem a sua eficácia, p. ex. o Princípio b) que especifica que a
gestão do risco é parte integrante de todos os processos organizacionais.
Na ISO 31000 cada princípio tem um título resumido em algumas palavras e um texto complementar que
fornece a explicação e o detalhe.
Todos os onze princípios deverão ser tidos em conta na conceção dos objetivos da gestão do risco da
organização. Contudo, a importância de cada princípio poderá variar de acordo com a parte da estrutura em
análise e ajustada a cada aplicação específica.
O sucesso da implementação destes princípios determinará tanto a eficácia como a eficiência da gestão do
risco da organização. Todos os onze princípios deverão estar presentes permanentemente, apesar da
importância de cada princípio poder variar em função da parte da estrutura em causa.
De seguida, os resultados deste tipo de análise deverão refletir-se na conceção ou na melhoria da estrutura (p.
ex. na afetação de responsabilizações, disponibilização de formação, comunicação com partes interessadas,
na conceção da monitorização contínua e na revisão do desempenho da gestão do risco).
Este Anexo disponibiliza orientações sobre como aplicar cada princípio e para alguns princípios
disponibiliza, adicionalmente, caixas de texto com ajuda prática.

B.2 Riscos e objetivos

B.2.1 A gestão do risco cria e protege valor
B.2.1.1 Princípio*)
a) A gestão do risco cria e protege valor
A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho,
como por exemplo, na saúde e na segurança, na conformidade legal e na regulamentar, na aceitação
pública, na proteção ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das
operações, na governação e na reputação.

B.2.1.2 Como aplicar o princípio

*)
Na caixa de texto seguinte o termo ―segurança‖ inclui, na versão inglesa deste Relatório Técnico, os conceitos de ―safety‖ e de
―security‖ (nota nacional).
 DNP
ISO/TR 31004
2017

p. 16 de 45

Este princípio explica que o objetivo da gestão do risco é criar e proteger valor ao ajudar uma organização a
atingir os seus objetivos. Fá-lo ajudando a organização a identificar e a lidar com os fatores, tanto internos
como externos a uma organização, que geram incerteza associada aos seus objetivos.
A ligação entre a eficácia da gestão do risco e o modo como ela contribui para o sucesso da organização
deverá ser claramente demonstrada e comunicada. O princípio clarifica que o risco não deverá ser gerido por
si só, mas de forma a que os objetivos sejam atingidos e o desempenho melhorado.
Alguns atributos e valores não podem ser medidos diretamente com facilidade (por exemplo, em termos
monetários), mas contribuem significativamente para o desempenho, a reputação e o cumprimento das
exigências legais. Os valores humanos, sociais e ecológicos são particularmente importantes na gestão dos
riscos relacionados com a segurança de pessoas e bens e na satisfação de requisitos, assim como os
relacionados com valores intangíveis, pelo que a criação de valor necessitará de ser expressa utilizando
descritores qualitativos em vez de medidas quantitativas.

B.2.2 A gestão do risco é parte integrante de todos os processos organizacionais

B.2.2.1 Princípio
b) A gestão do risco é parte integrante de todos os processos organizacionais
A gestão do risco não é uma atividade isolada separada das atividades principais e processos da
organização. A gestão do risco faz parte das responsabilidades da gestão e constitui uma parte integrante
de todos os processos organizacionais, incluindo o planeamento estratégico e todos os processos da gestão
de projeto e da gestão da mudança.

B.2.2.2 Como aplicar o princípio

As atividades de uma organização, incluindo as decisões que toma, geram risco. As alterações no contexto
externo que estão fora do controlo e influência da organização podem também gerar novos riscos. Todas as
atividades e processos de uma organização acontecem numa envolvente interna e externa na qual existe
incerteza, pelo que:
a) a estrutura de gestão do risco deverá ser concretizada integrando as suas componentes no sistema global
de gestão e de tomada de decisão da organização, independentemente de o sistema ser formal ou
informal; os processos de gestão existentes poderão ser melhorados com a referência à ISO 31000;
b) o processo de gestão do risco deverá ser parte integrante das atividades que geram risco; de outra forma a
organização descobrirá mais tarde que necessita de alterar decisões, quando posteriormente os riscos
associados forem entendidos;
c) se não existir um sistema formal de gestão, uma estrutura de gestão do risco pode satisfazer este objetivo.
Se a gestão do risco não é integrada noutras atividades e processos de gestão, pode ser percecionada como
uma tarefa administrativa adicional, ou vista como um exercício burocrático que não cria nem protege valor.
Os dois métodos principais para a aplicação do princípio são os seguintes:
 no desenvolvimento (incluindo manutenção e melhoria) da estrutura de gestão do risco;
 na aplicação do processo de gestão do risco e atividades relacionadas.
O método de expressão da intenção da organização (i.e. mandato e compromisso) relativamente à gestão do
risco deverá ser semelhante à forma como expressa as suas outras intenções (ver Anexo C). Sempre que
possível, outros componentes da estrutura da gestão do risco deverão ser incluídos nos sistemas de gestão
existentes (o Anexo E e a ISO 31000 disponibilizam informação complementar).
 DNP
ISO/TR 31004
2017

p. 17 de 45

Os organismos auditores também podem ter um papel importante, questionando a gestão como chegou a uma
determinada decisão e verificando se o processo de gestão do risco foi corretamente aplicado.

B.2.3 A gestão do risco é parte da tomada de decisão

B.2.3.1 Princípio
c) A gestão do risco é parte da tomada de decisão
A gestão do risco apoia os decisores na escolha informada, na priorização das ações e na diferenciação
entre linhas de ação alternativas.

B.2.3.2 Como aplicar o princípio

Este princípio estabelece que a gestão do risco proporciona os fundamentos para a tomada de decisão
informada. A gestão do risco deverá ser integrada em atividades suportando a consecução de objetivos e o
processo de tomada de decisão. O processo de tomada de decisão deverá apreciar consistentemente e, sempre
que necessário, tratar o risco. Tomar ou não tomar decisões envolve risco e é importante ter um
entendimento dos riscos associados em ambas as situações.
A gestão do risco deverá ser aplicada como parte de uma decisão, quando essa decisão é tomada (i.e.
proativamente) e não depois (i.e. reativamente), por exemplo:
 as decisões relativas a questões estratégicas deverão ter em conta as incertezas respeitantes às alterações
dos fatores externos, assim como alterações dos recursos da organização;
 o processo de inovação deverá ter em conta não só a incerteza que determina o sucesso da inovação, mas
também os riscos relacionados com aspetos humanos, sociais, ambientais e de segurança da inovação e
tratados de acordo com as exigências legais (p. ex. segurança do produto);
 os planos para grandes investimentos deverão especificar os momentos chave na tomada de decisão em
que ocorrerá a apreciação do risco.
A política da organização relativa à gestão do risco e à forma como é comunicada deverá refletir este
princípio.
As outras partes da estrutura deverão ter conta como as decisões são tomadas, de forma a que o processo seja
aplicado de forma eficaz e consistente em todas as tomadas de decisão, p. ex. gestão de projeto, avaliação de
investimentos e aprovisionamentos.
Os responsáveis pelas tomadas de decisão em toda a organização deverão entender a política de gestão do
risco da organização e deverá ser requerido especificamente que tenham competências para aplicar o
processo de gestão do risco à tomada de decisões. Isto implica uma afetação clara de responsabilização,
suportada por formação específica e reavaliação do desempenho.
Ajuda prática
De forma a dar efeito prático ao princípio, deverão ser colocadas cuidadosamente desde o início as
questões seguintes:
 Como pode isto ajudar a criar e a proteger valor? [Princípio a)]
 Como e onde são tomadas as decisões na organização?
 Quem está envolvido na tomada de decisões?
 Que conhecimentos e competências são necessários para os que tomam decisões façam da gestão do
risco uma parte das suas tomadas de decisão?
 DNP
ISO/TR 31004
2017

p. 18 de 45

 Como adquirirão os decisores os conhecimentos e competências necessários?

 Que direção e apoio são necessários para os colaboradores existentes?
 Como serão iniciados neste método de tomada de decisão os novos colaboradores?
 Como serão afetadas as partes interessadas externas?
 Que processos de tomada de decisão na organização terão necessidade de mudança?
 Como se monitorizará o progresso na aplicação deste princípio?

B.2.4 A gestão do risco considera explicitamente a incerteza

B.2.4.1 Princípio
d) A gestão do risco considera explicitamente a incerteza
A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.

B.2.4.2 Como aplicar o princípio

O que faz a gestão do risco única, entre outros tipos de gestão, é o facto de que aborda especificamente o
efeito da incerteza nos objetivos. O risco só pode ser apreciado ou tratado com sucesso se a natureza e a
origem da incerteza forem entendidas.
Todos os tipos de incerteza implicam a sua consideração e é necessário cuidado para não a sobrestimar ou
subestimar.
A atenção à incerteza é também importante na seleção dos tratamentos do risco e na consideração dos efeitos
e fiabilidade dos controlos. Da mesma forma, surgirão incertezas associadas às fases do apoio ao processo de
gestão do risco, p. ex. se a informação foi transmitida com sucesso aquando da comunicação e consulta com
partes interessadas, ou se os intervalos selecionados para a monitorização dos processos são suficientes para
detetar alterações.
Os envolvidos na gestão do risco deverão ter uma noção clara do significado de incerteza, dos tipos e fontes
de incerteza. O número e tipos de métodos de apreciação do risco utilizados para abordar a incerteza deverão
ser adequados e relevantes para a importância da decisão: poderão justificar-se métodos múltiplos.
Registar os pressupostos no registo do processo de gestão do risco (ISO 31000:2009, 5.7). Os pressupostos
refletem geralmente algum tipo de incerteza, assim como quaisquer incertezas explícitas que tenham sido
consideradas nas várias fases do processo.
Quando o risco está a ser apreciado, é importante considerar a incerteza fazendo uma estimativa da
classificação para a probabilidade e consequência.
Na análise do risco e da proposta de tratamentos, deverão ser utilizados estudos de sensibilidade para
perceber a real influência das incertezas consideradas.
Ajuda prática
 Os decisores deverão adotar a prática de perguntar sempre “Quais são os pressupostos aqui?” e “Quais
são as incertezas associadas aos pressupostos?”. Esta prática não tem que se limitar a apreciações do
risco formais, p. ex. pode aplicar-se a todas as previsões.
 Na consideração dos ambientes interno e externo como parte do estabelecimento do contexto,
quaisquer características com probabilidade de serem associadas a uma elevada volatilidade deverão
 DNP
ISO/TR 31004
2017

p. 19 de 45

ser levadas em linha de conta. Esta é uma fonte de incerteza e também influencia a forma como o
contexto é monitorizado e revisto continuamente.
 Se incerteza significa que um determinado valor é apenas dado como pertencendo a um dado intervalo,
esse intervalo deverá ser comunicado.

B.2.5 A gestão do risco é sistemática, estruturada e atempada

B.2.5.1 Princípio
e) A gestão do risco é sistemática, estruturada e atempada
Uma abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e para
resultados consistentes, comparáveis e fiáveis.

B.2.5.2 Como aplicar o princípio

Uma abordagem coerente da gestão do risco no momento da tomada das decisões criará eficiências numa
organização e pode proporcionar resultados que criem confiança e sucesso. Isto implica práticas
organizacionais que tenham em conta os riscos associados a todas as decisões e a utilização de critérios de
risco consistentes relacionados com os objetivos da organização e com o âmbito das suas atividades.
A abordagem em tempo útil significa que a gestão do risco é aplicada no momento ideal do processo de
tomada de decisão. Em parte, isto depende da conceção da estrutura a que este princípio também se aplica.
Se as considerações relativas ao risco são feitas demasiado cedo ou demasiado tarde, pode-se perder
oportunidades ou verificarem-se custos substanciais decorrentes da revisão da decisão. As dependências do
tempo deverão ser avaliadas e entendidas para se determinar a abordagem mais eficaz da gestão do risco.
Uma abordagem estruturada significa a aplicação do processo de gestão do risco da forma descrita na
ISO 31000:2009, secção 5, o que inclui preparar adequadamente estas atividades. Dependendo das
necessidades, o método deverá ser coerente com abordagens topo-base ou base-topo, de forma a envolver o
nível de gestão apropriado.

B.2.6. A gestão do risco baseia-se na melhor informação disponível

B.2.6.1 Princípio
f) A gestão do risco baseia-se na melhor informação disponível
As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como: dados
históricos, experiência, retorno de informação das partes interessadas, observações, previsões e pareceres
de especialistas. No entanto, os decisores deverão informar-se e ter em conta quaisquer limitações dos
dados ou modelos utilizados ou a possibilidade de existência de divergência entre especialistas.

B.2.6.2 Como aplicar o princípio

É importante obter a melhor informação disponível com o objetivo de se ter um entendimento correto de
qualquer risco. Consequentemente, as disposições relativas à gestão do risco deverão incluir métodos (p. ex.
pesquisa) para compilar ou gerar informação. Contudo, apesar dos melhores esforços, a informação
disponível poderá algumas vezes ser limitada, p. ex. antecipar o que acontecerá no futuro poderá estar
limitado ao uso de projeções estatísticas.
A sensibilidade das decisões a qualquer incerteza na informação deverá ser compreendida. A fiabilidade da
avaliação do risco dependerá, em parte, da clareza e exatidão dos critérios do risco. A compilação de dados
relacionados com o risco (p. ex. ocorrência de incidentes ou outra informação baseada na experiência) pode
apoiar as previsões estatísticas.
 DNP
ISO/TR 31004
2017

p. 20 de 45

Apesar da tomada de decisão com base em evidências ser o objetivo final, isto poderá não ser sempre
possível no tempo ou com os recursos disponíveis. Nessas situações, deverá recorrer-se à opinião de
especialistas em combinação com a informação disponível. Contudo, é necessário cuidado para evitar o
enviesamento da opinião do grupo na aplicação desta. Acresce que a evidência do passado poderá não prever
o futuro com exatidão. Em situações que envolvam um potencial para eventos de muito altas consequências,
a ausência de informação poderá determinar ações se houver evidência de dano potencial, mesmo que não
exista a prova definitiva de dano.
Este princípio também se aplica à conceção (ou melhoria) da estrutura de gestão do risco porque a estrutura
terá aspetos (p. ex. os que proporcionam capacidade de pesquisa ou que compilam, analisam, atualizam e
disponibilizam informação que suportam a aplicação do processo) que determinarão quão bem este princípio
é aplicado.
A fiabilidade e a exatidão da informação deverão ser avaliadas regularmente quanto à sua relevância,
oportunidade e factualidade, com a documentação dos pressupostos. A estrutura deverá proporcionar a
revisão periódica, assim como atualizações ou correções.
Ajuda prática
 Na conceção da forma de reportar os incidentes deverá, antes de mais, ter lugar uma análise cuidada de
quais as decisões que esta informação pode ajudar, i.e. quem são os atuais e futuros utilizadores finais,
como a informação poderá vir a ser organizada, como poderá ser melhorada a sua integridade e como
poderá ser acedida. Uma vez isto feito, pode ser concebido o impresso do relato, tendo em atenção que
a qualidade obtida poderá ser influenciada pelo tempo necessário para o seu preenchimento.
 Uma descrição do contexto (incluindo a data em que foi escrito) deverá ser incluída como parte das
descrições detalhadas e documentadas dos principais riscos a enfrentar (p. ex. inventário dos riscos).
Isto permite que os utilizadores do inventário tenham em conta quaisquer alterações no contexto que
possam ter ocorrido posteriormente, com as consequentes alterações do risco.
 Quando são considerados pressupostos na apreciação, a fundamentação dos pressupostos, incluindo
quaisquer limitações, deverá ser claramente registada e compreendida.
 Na conceção dos tratamentos dos riscos deverá ter-se em conta como o desempenho dos controlos
resultantes será monitorizado e disponibilizado a futuros decisores, que poderão contar com esses
controlos.

B.2.7 A gestão do risco é feita à medida

B.2.7.1 Princípio
g) A gestão do risco é feita à medida
A gestão do risco é alinhada com os contextos externo e interno e com o perfil do risco da organização.

B.2.7.2 Como aplicar o princípio

A ISO 31000 proporciona uma abordagem genérica à gestão do risco que é aplicável a todos os tipos de
organização e a todos os tipos de risco. Todas as organizações têm as suas próprias cultura e características,
os seus próprios critérios de risco e contextos de operação. A gestão do risco deverá ser feita à medida, de
modo a satisfazer as necessidades de cada organização
Não existe uma única e correta forma de conceber e implementar a estrutura e os processos de gestão do
risco, uma vez que requerem flexibilidade e adaptação em cada organização. A conceção pode ser
 DNP
ISO/TR 31004
2017

p. 21 de 45

determinada por muitos aspetos, incluindo a dimensão, a cultura, o sector, a configuração e o estilo de gestão
da organização.
As diferentes áreas de risco poderão exigir diferentes processos definidos à medida dentro da mesma
organização. Enquanto que todos os processos deverão ser consistentes com a ISO 31000, existirão
diferenças nos sistemas, modelos e nível de juízo envolvidos, p. ex. entre os envolvidos na apreciação dos
riscos de tecnologias de informação, riscos de financiamento e de investimento, ou riscos de concorrência.
Cada processo deverá ser concebido à medida do seu propósito específico.
Uma vez que o propósito da estrutura é assegurar que o processo de gestão do risco seja aplicado à tomada
de decisão de forma eficaz e refletindo a política aplicável, a conceção da estrutura deverá refletir onde e
como as decisões são tomadas e deverá ter em conta quaisquer obrigações de origem externa, legislativas ou
outras com que a organização se tenha comprometido.
É importante ter presente que conceber à medida não implica que tanto os elementos da estrutura (como
descritos na ISO 31000:2009, secção 4) como as fases do processo (ver ISO 31000:2009, secção 5) deverão
variar. Todos são essenciais à gestão do risco eficaz.
Este princípio é importante durante a conceção e a melhoria da estrutura de gestão do risco, mas será também
relevante na forma como os aspetos do processo são estruturados.
Este princípio pode também significar que a organização tenha em conta questões internas, p. ex. rotação de
colaboradores (a qual, se suficientemente alta, poderá requerer ajustes apropriados ao âmbito da formação
após admissão, de forma a assegurar que todos os novos colaboradores sejam capazes de cumprir o que lhes
é requerido em relação à gestão do risco).
A conceção de uma estrutura à medida é necessária para se atingir a integração com os processos de tomada
de decisão da organização. É também possível que esses processos de tomada de decisão necessitem de ser
modificados para se ajustarem a uma estrutura de gestão do risco bem definida.
Ajuda prática
 A conceção da estrutura de gestão do risco deverá incluir a busca e a consideração das opiniões dos que
vão estar envolvidos na sua implementação.
 A criação de um entendimento aprofundado dos conceitos subjacentes à ISO 31000 ajudará a garantir
que, fazer à medida tanto a estrutura como o processo, conseguirá os atributos de uma gestão do risco
eficaz, como listado na ISO 31000:2009, Anexo A. Inversamente, a simples aplicação de uma lista de
verificação não o conseguirá.

B.2.8 A gestão do risco tem em conta fatores humanos e culturais

B.2.8.1 Princípio
h) A gestão do risco tem em conta fatores humanos e culturais
A gestão do risco reconhece as competências, perceções e intenções de pessoas externas e internas à
organização que possam facilitar ou impedir a consecução dos objetivos da organização.

B.2.8.2 Como aplicar o princípio

Este princípio envolve a obtenção das opiniões de partes interessadas, assim como compreender que essas
opiniões poderão ser influenciadas por características humanas e culturais. Os fatores a considerar incluem
questões sociais, políticas e culturais assim como conceitos de tempo. Os tipos de erro comuns incluem o
seguinte:
a) falha na deteção e resposta a avisos iniciais;
 DNP
ISO/TR 31004
2017

p. 22 de 45

b) indiferença relativamente a opiniões de outros ou a uma falta de conhecimento;

c) enviesamento, como consequência de estratégias simplificadas de processamento de informação no
tratamento de questões complexas;
d) falha no reconhecimento da complexidade.
Na conceção da estrutura e da aplicação de todos os aspetos do processo da gestão do risco, são necessárias
ações específicas destinadas a compreender e aplicar os referidos aspetos humanos e culturais.
A conceção da estrutura e da comunicação relacionadas com o risco deverá levar em linha de conta as
características culturais e níveis de conhecimento da audiência.
Ajuda prática
 Os gestores deverão atuar de tal forma que evidenciem que promovem e apoiam o respeito e a
compreensão das diferenças individuais.
 As pessoas gostam que lhes peçam a opinião.
 De forma geral, as organizações recompensam o que valorizam. Se a seleção, promoção e remuneração
de colaboradores não estão claramente ligadas ao desempenho efetivo na gestão do risco, não é
provável que o desempenho em causa esteja de acordo com o nível esperado. Os esforços individuais
deverão ser reconhecidos adequadamente.
 Regra geral, não é sensato contar apenas com um único controlo humano para levar a cabo uma grande
modificação do risco.
 As organizações transnacionais deverão ser sensatas reconhecendo a importância da cultura na
determinação da forma como as pessoas se comportam.

Ajuda prática
Relativamente aos fatores humanos e organizacionais são exemplos de questões úteis a colocar os
seguintes:
 A estrutura organizacional é apropriada às necessidades da organização?
 Os indivíduos com responsabilidade formal estão claramente identificados?
 Todas as descrições das funções contêm especificações claras da autoridade e responsabilidade
individuais?
 Os canais de comunicação são todos claros e eficazes?
 Verifica-se ocasionalmente se a comunicação é corretamente entendida e interpretada a todos os níveis
na organização?
 O nível da moral na organização é monitorizado?
 As interfaces entre equipas são revistas?
 Existem mecanismos para reconhecer e responder a rumores na organização antes que estes tenham um
impacto negativo?
 Existem políticas claras de recrutamento, remuneração e promoção?
 No caso de políticas problemáticas, existe um processo de revisão?
 DNP
ISO/TR 31004
2017

p. 23 de 45

 Os processos e procedimentos são adotados? Se não são, tem lugar uma investigação? É forçado o seu
cumprimento?
 Os auditores internos e externos procuram comportamentos perigosos ou antiéticos na organização?

B.2.9 A gestão do risco é transparente e participada

B.2.9.1 Princípio
i) A gestão do risco é transparente e participada
O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os
níveis da organização, assegura que a gestão do risco permanece pertinente e atualizada. O envolvimento
permite também que as partes interessadas sejam devidamente representadas e que os seus pontos de vista
sejam tidos em conta na definição dos critérios de risco.

B.2.9.2 Como aplicar o princípio

Este princípio pode ter efeito a múltiplos níveis. Poderá estar refletido na política de gestão do risco (por
exemplo, “Informaremos e consultaremos as partes interessadas sempre que possível de forma a que
entendam os nossos objetivos e possam contribuir com os seus conhecimentos e opiniões para suportar a
nossa tomada de decisão”).
A consulta das partes interessadas como parte da aplicação do processo de gestão do risco necessita de um
planeamento cuidadoso. É aqui que a confiança pode ser construída ou destruída. Para se ser eficiente e
capaz de reforçar a confiança nos resultados, as partes interessadas relevantes deverão ser envolvidas em
todos os aspetos do processo da gestão do risco, incluindo a conceção do processo de comunicação e
consulta.
A implementação deste princípio deverá considerar questões de confidencialidade, segurança e privacidade,
p. ex. isto poderá exigir que a informação nos registos de risco seja segregada assegurando-se que parte da
informação possa ter acesso restrito.
Ajuda prática
 O desempenho das funções deverá ser incluído na formação relacionada com comunicação e consulta.
 Deverá ter lugar uma avaliação de como é percecionada a informação pelos que a recebem.
 Deverá ser providenciado o retorno periódico de informação, para demonstrar até que ponto o que foi
prometido ou projetado se verificou de facto na realidade.
 As opiniões não solicitadas deverão ser encorajadas, admitidas e apreciadas e, sempre que possível,
deverá ser providenciado o retorno de informação sobre elas.

B.2.10 A gestão do risco é dinâmica, iterativa e reativa à mudança

B.2.10.1 Princípio
j) A gestão do risco é dinâmica, iterativa e reativa à mudança
A gestão do risco deteta e responde, continuamente, à mudança. À medida que ocorrem eventos externos e
internos, que o contexto e o conhecimento se alteram e que têm lugar a monitorização e a revisão,
emergem novos riscos, alguns alteram-se e outros desaparecem.
 DNP
ISO/TR 31004
2017

p. 24 de 45

B.2.10.2 Como aplicar o princípio

Qualquer alteração dos objetivos da organização ou de algum aspeto das circunstâncias internas ou externas,
altera inevitavelmente o risco (p. ex. uma reestruturação interna, um novo grande fornecedor ou uma
mudança da legislação aplicável). Da mesma forma, mudanças no contexto organizacional (p. ex. a aquisição
de outra companhia, obtenção de um novo grande contrato) poderão implicar alterações na estrutura (p. ex.
na formação, especialistas do risco). Os processos de gestão do risco deverão ser concebidos para refletirem
a dinâmica da organização (p. ex. velocidade da mudança).
A ISO 31000 contém dois regimes de monitorização e revisão (para a estrutura e o processo). Cada um é
específico do seu propósito, cada um implica reflexão e implementação.
A estrutura deverá ser monitorizada e revista para assegurar que pode continuar a efetivar os princípios da
gestão do risco eficaz, a efetivar a política de gestão do risco da organização e a suportar a aplicação do
processo de tomada de decisão em toda a organização.
A monitorização e a revisão deverão ser incorporadas em cada uma das fases fundamentais do processo de
gestão do risco.
Os controlos deverão também ser revistos para garantir a sua eficácia permanente na resposta à mudança. Por
exemplo, os controlos que dependem do desempenho de determinadas pessoas podem não ser tão eficazes se
tiverem lugar mudanças no pessoal.
A monitorização e a revisão deverão ser cuidadosamente feitas à medida, em particular de forma que sejam
sensíveis aos fatores de mudança que possam ter os efeitos mais profundos. A monitorização e a revisão
deverão avaliar a continuidade da importância dos indicadores monitorizados e, se necessário, os indicadores
necessitarão ser adaptados às circunstâncias em mudança ou emergentes.
A monitorização e a revisão são atividades distintas, como explicado na ISO 31000:2009, 4.5 e 5.6. A
monitorização está relacionada com a observação contínua de parâmetros chave a fim de determinar se estão
a ter um desempenho como pretendido ou assumido. A revisão acontece de tempos a tempos, é estruturada
de acordo com o seu objetivo e tem geralmente a intenção de determinar se os pressupostos que
fundamentaram as tomadas de decisão (p. ex. a conceção da estrutura) continuam válidos e, portanto, se as
decisões resultantes necessitam de ser revistas. A revisão deverá ter também em conta os novos
conhecimentos e tecnologias.
Ajuda prática
 Na aplicação do processo de gestão do risco e do desenvolvimento da definição do contexto, as
componentes (p. ex. características do ambiente externo) que tenham maior probabilidade de mudar
deverão ser identificadas e deverão ser monitorizadas de perto quanto à mudança. Qualquer mudança
poderá exigir a reapreciação de todos ou de alguns dos riscos documentados.
 As pessoas deverão ser encorajadas a relatar preocupações com o status quo (incluindo os
comunicadores de irregularidades*).
 Mesmo as pequenas organizações deverão ter presentes as mudanças globais, p. ex. a crise financeira
global de 2008 teve impactos profundos em alguns pequenos fornecedores cujos principais clientes
eram organizações direta ou indiretamente impactadas por falências bancárias. Os acontecimentos
externos ou circunstâncias emergentes deste tipo poderão requerer mudanças proativas na estrutura da
gestão do risco.

*)
Whistle-blowers na versão inglesa (nota nacional).
 DNP
ISO/TR 31004
2017

p. 25 de 45

B.2.11 A gestão do risco facilita a melhoria contínua da organização

B.2.11.1 Princípio
k) A gestão do risco facilita a melhoria contínua da organização
As organizações deverão elaborar e implementar estratégias visando melhorar a maturidade da sua gestão
do risco, assim como em todos os outros aspetos da organização.

B.2.11.2 Como aplicar o princípio

A melhoria contínua do desempenho organizacional está interrelacionada com a melhoria contínua do
desempenho da gestão do risco. A gestão do risco melhorada, baseada na tomada de decisão baseada no
risco, pode reduzir a incerteza na consecução dos objetivos, minimizando a volatilidade e aumentando a
agilidade. Contudo, deverá ter-se cuidado para não complicar exageradamente o desempenho da gestão do
risco, ao ponto de suprimir a busca de oportunidades e a flexibilidade da resposta.
Ao contrário, a importância deste princípio reside na necessidade das organizações continuarem alertadas
para novas oportunidades a melhorar. Estas oportunidades poderão surgir internamente (p. ex. aprendendo a
partir de incidentes reportados) ou externamente (p. ex. pela disponibilidade de novas ferramentas e
conhecimentos que podem melhorar a gestão do risco).
Este princípio é também relevante na procura contínua de melhorias na eficiência da gestão do risco, p. ex.
aplicando novas tecnologias que melhorem o acesso dos responsáveis pelas decisões à informação.
O objetivo da melhoria contínua deverá estar claro na política de gestão do risco e deverá ser comunicado
continuamente tanto formal como informalmente. A melhoria contínua poderá incluir o seguinte:
 melhorar o nível da integração da atividade da gestão do risco na atividade geral;
 melhorar a qualidade da apreciação do risco;
 melhorar a estrutura, p. ex. a qualidade e o acesso à informação;
 melhorar a celeridade da tomada de decisão.
A melhoria contínua baseia-se em indicadores de progresso qualitativos e quantitativos. As organizações que
utilizam abordagens faseadas e modelos de maturidade deverão concebê-los como fatores de melhoria
contínua baseados nos recursos e cultura da organização. Deverão reconhecer que em muitos
empreendimentos humanos o sucesso gera sucesso. O propósito de gerir o risco eficazmente é,
exclusivamente, o aumento da verosimilhança de uma organização atingir plenamente os seus objetivos.
Quanto mais rapidamente uma organização conseguir uma gestão do risco eficaz, mais eficientemente
concretizará os seus objetivos.
Em termos puramente práticos, algumas melhorias poderão levar algum tempo a ser atingidas, p. ex. algumas
poderão implicar a afetação de um orçamento, ou um planeamento e uma implementação cuidadosos. Os
planos de melhoria deverão considerar as prioridades e os benefícios relativos e deverão permitir a
monitorização do progresso.
Ajuda prática
 Utilizando-se os elementos de monitorização e revisão da estrutura, deverá ser conduzida uma revisão
anual do desempenho face a estes princípios e às melhorias de conceção.
 A adequação, a aplicabilidade e a eficiência da estrutura da gestão do risco deverão ser avaliadas e
revistas.
 O sistema de reporte de incidentes deverá ser utilizado para conduzir análises de causas raiz, olhando
 DNP
ISO/TR 31004
2017

p. 26 de 45

não só para as causas próximas do incidente, mas também para as características da estrutura da gestão
do risco que tornaram possível a ocorrência do incidente.
 O sucesso (p. ex. um projeto conforme calendarização e orçamento) deverá ser monitorizado com o fim
de se perceber quais as características da estrutura da gestão do risco que mais contribuíram para o
sucesso, o que deverá ser comunicado para reforçar o valor.
 DNP
ISO/TR 31004
2017

p. 27 de 45

Anexo C
(informativo)

Como expressar o mandato e o compromisso

C.1 Generalidades
Este Anexo fornece linhas orientadoras e estratégias sobre como o mandato e o compromisso podem ser
expressos e comunicados por uma organização.
Para que o mandato e o compromisso sejam eficazes, a gestão de topo e o organismo de supervisão da
organização deverão expressar claramente às partes interessadas a abordagem à gestão do risco,
documentando-a e comunicando-a, conforme apropriado. O mandato para a gestão do risco envolve
tipicamente alterações no comportamento, cultura, política, processos e no desempenho esperado na gestão
dos riscos, que será refletido na estrutura da gestão do risco. O mandato e o compromisso poderão ser
apresentados sob a forma de uma breve declaração de política, amplamente comunicada.
O desenvolvimento do mandato envolve decidir sobre o curso de ação requerido, bem como a autorização
para que este ocorra. Invariavelmente, nas organizações existentes, isto envolverá necessariamente
autoridade para gerar a mudança. Não será de grande utilidade identificar o curso de ação preferido a menos
que, ao mesmo tempo, haja o compromisso correspondente para o concretizar.
O mandato e o compromisso são uma parte fundamental da estrutura da gestão do risco. Deverá fazer parte
das estruturas de gestão e de governo da organização e deverá influenciar a conceção de ambas.
O mandato e o compromisso deverão refletir os onze princípios previstos na ISO 31000:2009, secção 3.
Na prática, o mandato da organização e o respetivo compromisso para com ele é expresso e percecionado
quer de forma implícita, quer explícita. As expressões implícitas (p. ex. as ações quotidianas da gestão de
topo e do órgão de supervisão no enquadramento da cultura predominante da organização) fornecem
habitualmente um estímulo mais poderoso do que as expressões explícitas (p. ex. uma política de gestão do
risco escrita).

C.2 Métodos para expressar o mandato e o compromisso

C.2.1 Características chave
A expressão do mandato e do compromisso deverá satisfazer os critérios seguintes:
a) deverá ser compatível com o plano estratégico da organização, objetivos, políticas, estilos de
comunicação e sistema de gestão;
b) deverá ser compatível com os critérios de risco determinados pelo órgão de supervisão;
c) deverá satisfazer os princípios da ISO 31000 bem como esforçar-se pela excelência na gestão do risco tal
como descrito na ISO 31000:2009, Anexo A;
d) deverá ser fácil de comunicar e de ser testada a sua compreensão dentro e fora da organização;
e) deverá ter expectativas razoáveis de ser implementada com sucesso;
f) deverá abordar as responsabilidades dos donos do risco.
 DNP
ISO/TR 31004
2017

p. 28 de 45

Se o mandato existente e o compromisso da organização para a gestão do risco ainda não obedecerem a estes
critérios, tanto os seus aspetos implícitos como os explícitos terão de ser alterados.
EXEMPLO: Se o órgão de supervisão ou a gestão de topo tiverem tomado decisões que não tenham sido sujeitas a uma apreciação
profunda do risco, será uma clara indicação de que a organização não está comprometida na compreensão dos seus riscos.

Uma parte essencial da adoção de um mandato com revisão é o desenvolvimento de um plano para alterar a
compreensão do que é requerido. O objetivo deste plano será assegurar que tanto o mandato como os seus
benefícios são amplamente entendidos e aceites, que a organização está firmemente comprometida com o
mandato e que age em conformidade. Será o comportamento da organização e a forma como este se compara
com as declarações explícitas sobre o mandato que terão o maior efeito sobre a aceitação do mandatado pelas
diversas partes interessadas.

C.2.2 Estabelecimento e comunicação da política de gestão do risco e do compromisso

Uma forma de expressar e comunicar o mandato de uma forma explícita é através do estabelecimento e
posterior comunicação de uma política de gestão do risco. A ISO 31000:2009, na secção 4.3.2, especifica
que a organização não só deverá tornar clara a sua política sobre gestão do risco como deverá também
comunicá-la, quer dentro quer fora da organização. A ISO 31000:2009, na secção 4.3.2, também identifica
questões específicas que habitualmente deverão estar refletidas na política.
Tendo presente o Princípio g) (i.e. a gestão do risco é feita à medida), a expressão da política deverá ser
apropriada à forma como a organização funciona e consistente com essa forma de funcionamento. Caso
contrário, poderá não ser considerada como relevante e parte integrante para o sistema geral através do qual a
organização funciona.
Para as organizações maiores, estabelecer uma política irá significar normalmente o desenvolvimento de uma
declaração formal sobre o mandato para a gestão do risco que irá fazer parte do seu conjunto global de
políticas. Nesse sentido, a política será subscrita pelo órgão de governo e será posteriormente comunicada e
reforçada através do sistema de gestão.
Ajuda prática
O envolvimento e o compromisso da gestão de topo e do órgão de supervisão são a chave para o sucesso
de qualquer programa de gestão do risco. A organização deverá considerar as questões seguintes no
estabelecimento do seu mandato e compromisso para com a gestão do risco:
 Quais são os objetivos estratégicos da organização? Eles são claros? O que é implícito e explícito
nesses objetivos?
 A gestão de topo é clara acerca da natureza e dimensão dos riscos mais importantes que está disposta a
assumir e as oportunidades que está disposta a perseguir para a consecução dos seus objetivos
estratégicos?
 A gestão de topo precisa de estabelecer uma governação mais clara acerca da atitude face ao risco da
organização?
 Que medidas tomou a gestão de topo para assegurar supervisão sobre a gestão dos riscos?
 Os gestores que tomam decisões compreendem o grau até ao qual lhes é (individualmente) permitido
expor a organização às consequências de um evento ou de uma situação? Qualquer atitude face ao risco
tem de ser prática e conduzir os gestores a tomar decisões com base no risco.
 Os executivos compreendem o seu nível de risco interligado e agregado para que possam determinar se
é aceitável ou não?
 A gestão de topo e a liderança executiva compreendem o nível do risco interligado e agregado para a
 DNP
ISO/TR 31004
2017

p. 29 de 45

organização no seu todo?

É claro quer para os executivos quer para os gestores que a atitude face ao risco não é constante? Ela
poderá mudar com a mudança das condições de negócio e de enquadramento. Qualquer coisa que seja
aprovada pela gestão de topo necessita de ter incorporada alguma flexibilidade.
 As decisões relativas a risco são tomadas com plena consideração das consequências? A estrutura do
risco necessita de ajudar os executivos e os gestores a assumir um nível apropriado do risco para o
negócio face ao potencial do retorno.
 Quais são os riscos mais importantes que a gestão de topo está disposta a assumir e as oportunidades
que está disposta a perseguir? Quais são os riscos mais importantes que a gestão de topo não está
disposta a assumir? Qualquer que seja a forma da política de gestão do risco, esta deverá acompanhar
as outras políticas que orientam o modo de funcionamento da organização.
A política deverá ser suportada quer de forma explícita quer implícita e refletida em conformidade e deverá
obedecer aos seis critérios do C.2.1.
C.2.3 Reforço
A gestão de topo e o órgão de supervisão deverão demonstrar e reforçar o compromisso da organização para
o mandato através de um misto de ações implícitas e explícitas em que se inclui:
 clarificar que os objetivos da gestão do risco estão ligados a todos os outros objetivos da gestão e não
separados;
 clarificar que a gestão do risco visa a entrega eficaz dos objetivos da organização;
 assegurar que o tipo de atividades de gestão do risco requeridas pelo mandato está integrado nos
processos existentes de governação e de gestão e nos processos estratégicos, operacionais e de projeto;
 requerer a monitorização e o reporte regulares da estrutura de gestão do risco e dos processos da
organização para assegurar que se mantêm apropriados e eficazes;
 monitorizar que a organização tem uma compreensão atualizada e abrangente dos seus riscos e que esses
riscos estão dentro dos critérios de risco estabelecidos e tem ações corretivas sempre que esses critérios
não se verificam;
 liderar pelo exemplo no que respeita às suas próprias atividades;
 renovar o compromisso para com o mandato ao longo do tempo com as alterações da gestão de topo e
dos eventos.
A implementação da ISO 31000 pode ter lugar numa organização como um todo, ou ser alcançada por
partes, como por exemplo em negócios subsidiários.

C.3 Orientação sobre o desenvolvimento do mandato e do compromisso

O estabelecimento do mandato para a gestão do risco requer uma reflexão cuidadosa, uma perspetiva
estratégica e consultas entre a gestão de topo e o órgão de supervisão. Isto irá ajudar a assegurar que uma vez
adotado o mandato a organização o respeitará.
A expressão do mandato e do compromisso deverá ser considerada em ambos os níveis, estratégico e tático.
A organização deverá definir e avaliar as competências para atingir os seus objetivos e cultivar as
capacidades e o conhecimento necessários para os alcançar.
As implicações das mudanças exigidas por um mandato necessitarão de ser consideradas cuidadosamente.
Isto inclui definir quem conduzirá a mudança e quem necessitará de orientação ou apoio. Por vezes, as
 DNP
ISO/TR 31004
2017

p. 30 de 45

mudanças poderão ser bastante radicais quanto ao âmbito (p. ex. mudanças nas especificações de funções, na
monitorização do desempenho e nos processos de gestão) absorvendo assim parte da capacidade da
organização para a mudança. Isto necessitará de ser tido em consideração no contexto de outras mudanças
que estejam em curso e se se poderá integrar nestas.
As pessoas que serão significativamente afetadas pelas mudanças deverão ser consultadas, em particular os
responsáveis de quaisquer silos da gestão do risco na organização (p. ex. higiene e segurança de pessoas e
ativos), de modo a que todas as implicações da mudança possam ser entendidas.
O mandato deverá ser expresso numa declaração de política a qual demonstrará o compromisso da
organização para com aquele.
Ajuda prática
Indicam-se, entre outros, alguns procedimentos:
 considerar a forma como o mandato será explicado à organização e como estas explicações serão
reforçadas pelas ações em curso;
 considerar o período para o mandato produzir efeitos (o que deverá respeitar e ser integrado com os
outros imperativos da organização embora, até a estrutura estar concluída, os seus benefícios integrais
não sejam concretizados e a gestão do risco não seja tão eficaz como poderia ser);
 identificar as funções chave para produzir a mudança necessária na abordagem à gestão do risco e para
direcionar e liderar as atividades da gestão do risco;
 especificar que aspetos das atividades e da estrutura da gestão do risco serão monitorizadas ao nível da
gestão de topo, ao nível dos comités e da gestão e como essa informação será coligida e apresentada;
 incluir o desempenho da gestão do risco como ponto habitual da agenda em todas as reuniões
principais da gestão de todo e da supervisão;
 desenvolver métodos eficazes para comunicar o desempenho da gestão do risco (p. ex. publicação de
um boletim informativo para os colaboradores ao estilo de um relatório de gestão do risco);
 considerar como deverão ser os fatores a desencadear a revisão do mandato.
 DNP
ISO/TR 31004
2017

p. 31 de 45

Anexo D
(informativo)

Monitorização e revisão

D.1 Enquadramento
D.1.1 Introdução
O presente Anexo fornece linhas orientadoras e estratégias sobre como o mandato e o compromisso podem
ser expressos e comunicados por uma organização.
Este Anexo fornece aconselhamento sobre a monitorização e a revisão da estrutura e processos da gestão do
risco em conformidade com a norma ISO 31000:2009, 4.5, 4.6 e 5.6.
A monitorização e a revisão são duas atividades distintas que se destinam a determinar se os pressupostos e
as decisões continuam a ser válidos. As técnicas são utilizadas quer na manutenção de uma estrutura de
gestão do risco eficaz, quer em cada uma das etapas do processo da gestão do risco.
 A monitorização implica a vigilância de rotina do desempenho real e a sua comparação com o
desempenho esperado ou requerido. Implica, continuamente, verificar, investigar, supervisionar,
observar criticamente ou caracterizar o estado a fim de identificar alterações ao nível do desempenho
esperado ou requerido, assim como alterações no contexto.
 A revisão implica a verificação periódica ou pontual da situação atual, visando identificar mudanças no
ambiente, nas práticas profissionais, ou nas práticas organizacionais. É uma atividade realizada para
determinar a aplicabilidade, a adequação e a eficácia da estrutura organizacional e dos processos para se
alcançarem os objetivos estabelecidos. As revisões devem ter em consideração os resultados das
atividades de monitorização.
 Uma auditoria é um processo de revisão sistemático baseado em evidências, tomando como referência
critérios pré-definidos. Enquanto cada auditoria é uma revisão, nem todas as revisões são auditorias.
Em conjunto, a monitorização e a revisão garantem que o desempenho da gestão do risco é o esperado,
indicando se pode ser melhorado e se as alterações constatadas exigem adaptação ou alteração da estrutura
organizacional ou de qualquer aspeto do processo.
A monitorização e a revisão têm como objetivo fornecer uma garantia razoável de que os riscos são
adequadamente geridos e são identificadas as deficiências da gestão do risco assim como as oportunidades
para melhorar a gestão dos riscos. Ambas são necessárias a fim de garantir que a organização mantém uma
compreensão atualizada dos seus riscos em relação aos seus critérios de risco e coerente com a sua atitude
face ao risco. Ambas exigem uma abordagem sistemática e integrada aos sistemas de gestão geral da
organização.
As atividades de monitorização e revisão e as medidas tomadas em resposta às conclusões são
frequentemente caracterizadas como um sistema de garantia, porque têm o potencial para detetar e solucionar
debilidades antes da ocorrência de efeitos adversos ou para fornecer a confiança de que os riscos ainda estão
dentro dos critérios da organização. Estas atividades também podem ser utilizadas para disponibilizar às
partes interessadas internas e externas uma garantia razoável de que os riscos estão a ser geridos de forma
eficaz.
 DNP
ISO/TR 31004
2017

p. 32 de 45

Quando os fatores no contexto interno e externo mudam, os riscos também. Da mesma forma, a
monitorização do contexto externo pode alertar a organização para mudanças que poderão representar uma
oportunidade para melhorar o desempenho ou para uma nova atividade. Ao permanecer alerta a essas
mudanças, ao desempenho, às não conformidades e aos quase-acidentes, a organização estará apta a
identificar oportunidades de melhorar a estrutura da gestão do risco e o desempenho global da organização.
Deverá existir um programa abrangente para monitorizar e registar os indicadores de desempenho do risco
que estão alinhados com os indicadores de desempenho da organização.
O programa deverá dar antecipadamente alertas de tendências adversas que poderão exigir uma ação
preventiva e uma intervenção.
Uma única atividade de monitorização ou de revisão poderá ser direcionada para um risco específico ou para
um número de riscos relacionados. Poderá concentrar-se nos riscos ou nos controlos que os tratam.

D.1.2 Responsabilização pela monitorização e revisão

A responsabilidade global das atividades de monitorização e revisão reside no órgão de supervisão e na
gestão de topo e não nos que realizam estas atividades, como por exemplo os auditores internos. As funções
de garantia da qualidade, as funções independentes de revisão e as funções de monitorização regulamentar
são auxiliares úteis para o processo de reporte à gestão porque proporcionam uma visão alternativa.
As atividades de monitorização e revisão podem ser consideradas em termos de uma hierarquia, com uma
prática regular no seu topo: se adequadamente concebidas, fornecem o mais poderoso nível de segurança. No
entanto um programa de monitorização e revisão deverá incluir a totalidade dos três elementos.
O programa de monitorização e de revisão deverá verificar que a política de gestão do risco está
implementada e que é eficaz. O modo como a gestão de topo reage aos resultados do programa de
monitorização poderá afetar o comportamento dos empregados e é importante que a gestão de topo atue
como modelo.

D.1.3 Revisões independentes

Quer seja conduzida por entidades internas ou externas, a independência resulta da relação do revisor/auditor
com a entidade contratante.
A independência é a base para a imparcialidade da revisão e para a objetividade das conclusões. Os revisores
e os auditores deverão ser independentes da atividade a ser revista/auditada, quando praticável e deverão, em
todos os casos, agir de forma imparcial e sem conflitos de interesses.
Nas auditorias internas, os auditores deverão ser independentes dos gestores operacionais das funções
auditadas. Os revisores e auditores deverão manter a objetividade durante todo o processo de auditoria da
revisão para assegurar que os resultados e as conclusões são baseados apenas nas evidências.
Nas pequenas organizações, poderá não ser possível que os revisores e auditores sejam totalmente
independentes da atividade que é revista/auditada, mas deverá ser feito todo o esforço para se preservar a
imparcialidade e encorajar a objetividade.
A independência dos revisores e auditores ajuda a fazer das revisões e auditorias uma ferramenta eficaz e
confiável de suporte às políticas e controlos da gestão do risco, ao fornecer informação que pode ser utilizada
por uma organização para melhorar o seu desempenho.
Tais revisões poderão focalizar-se na conformidade com normas (internas ou externas), procedimentos ou
exigências legais. Muitas vezes consideram também a adequação, eficácia e eficiência dos controlos, por
exemplo, poderão avaliar se as atividades da gestão do risco dão como resultados os valores expressos nos
princípios da ISO 31000.
 DNP
ISO/TR 31004
2017

p. 33 de 45

Muitas organizações têm funções de revisão da gestão e consultadoria (como consultores da gestão do risco,
responsáveis pela conformidade e gestores da garantia da qualidade) que realizam revisões de rotina: um
auditor interno, em princípio, reporta as suas revisões ao órgão de supervisão e à gestão de topo. O objetivo
destas revisões é o de fornecer ao órgão de supervisão e à gestão de topo da organização a garantia de que:
 os seus critérios de risco são coerentes com os seus objetivos e o contexto em que opera;
 tem sido utilizado um processo adequado e sistemático para identificar, apreciar e tratar os riscos e há a
garantia de que este processo continuará a funcionar;
 os riscos inaceitáveis têm um tratamento adequado;
 os controlos supostamente aptos a modificar riscos inaceitáveis são adequados e eficazes;
 estão a ser conseguidos progressos adequados com os planos de tratamento dos riscos.
As atividades de um processo de revisão independente não aliviam as responsabilidades da gestão pela
monitorização e revisão.

D.1.4 Obtenção de informação adequada

À semelhança de outros aspetos da gestão do risco, a monitorização e a revisão requerem o uso da melhor
informação disponível [ver Princípio f)]. Para ser adequada para o efeito, a informação tem de ser relevante
para os utilizadores e representar com fidelidade o que se pretende que represente. A utilidade da informação
é ainda maior se for comparável, verificável, atempada e compreensível. A informação pode ser obtida a
partir de dois tipos de fontes:
a) fontes diretas: observações e medições das operações dos processos reais ou dos seus resultados;
b) fontes indiretas: medidas que derivam dos processos ou dos resultados considerados.
As combinações de medições das diversas fontes são selecionadas por necessidade (dependendo da sua
disponibilidade) ou por conveniência (atualidade, custo, etc.).

D.1.5 Relatório do processo de revisão

Os relatórios deverão fornecer informações ao órgão de supervisão e à gestão de topo e às partes interessadas
sobre se os riscos da organização estão dentro de seus critérios de risco ou se tem planos credíveis de
tratamento dos riscos que garantam que, em última instância, isto seja alcançado. Além disso, poderão
fornecer informações sobre novos riscos e riscos emergentes.
Qualquer compilação de informação sobre os riscos (por exemplo, uma listagem de riscos) deverá ser
atualizada periodicamente. O tipo e a frequência dos relatórios dependerão da natureza, importância volume
e âmbito da apreciação do risco.
O resultado de uma revisão ou de uma auditoria será um relatório que sumarizará as constatações e fornecerá
conclusões da apreciação face aos critérios pré-definidos. O relatório poderá fornecer recomendações para
melhorias do sistema com base no que os revisores constataram. Ocasionalmente, o revisor fará sugestões
mais amplas, visando os próprios critérios. A resposta a qualquer revisão deverá ser focada na melhoria do
sistema e no tratamento das causas profundas dos problemas.

D.1.6 A Ação corretiva e a melhoria contínua

Deverão ser estabelecidos processos para assegurar que as recomendações são consideradas ativamente pela
gestão da organização e que as respostas acordadas são implementadas. As ações decorrentes das revisões
deverão ser comunicadas ao órgão de supervisão e periodicamente monitorizadas até serem implementadas.
 DNP
ISO/TR 31004
2017

p. 34 de 45

D.2 Monitorização e revisão da estrutura organizacional

D.2.1 Generalidades
O objetivo da monitorização e revisão é o de manter atual e consistente a estrutura da gestão do risco com as
intenções de gestão do risco da organização. A estrutura refere-se às componentes e aos processos dentro do
sistema de gestão da organização que permitem que o risco seja gerido.
A ISO 31000:2009, secção 4, contém orientações sobre as componentes necessárias a uma estrutura e
assinala que estas deverão ter em conta o contexto interno e externo da organização.
Quando ocorrem alterações no contexto interno ou externo da organização, poderá ser necessário ajustar a
estrutura organizacional para garantir que continua a ser eficaz.
Mesmo que não haja alterações no contexto interno ou externo que requeiram mudança na conceção da
estrutura, é necessário assegurar que, em qualquer momento, esta está a funcionar conforme o previsto. Nas
organizações em transição para se alinharem com a norma ISO 31000, poderá ser necessário verificar as
componentes da estrutura no plano de implementação de modo a assegurar a sua correta implementação.
Para as organizações que já implementaram a ISO 31000 será necessário confirmar se as componentes da
estrutura continuam a existir e se estão a funcionar conforme previsto.

D.2.2 Responsabilização
A gestão é responsável por assegurar que a estrutura é revista e monitorizada periodicamente face a
indicadores de desempenho. No quadro da atribuição de responsabilidades na gestão do risco, deverá uma
dada pessoa (por exemplo um gestor sénior) ou uma dada função organizacional (por exemplo a função de
apoio à gestão do risco corporativo) ser nomeada responsável pela estrutura e uma responsabilidade chave
deverá assegurar que a estrutura permanece eficaz.

D.2.3 Estabelecer uma base de referência

Deverá ser estabelecida uma base de referência para a gestão do risco na organização. A base de referência
pode ser descrita de vários modos, mas deverá incluir:
a) as componentes da estrutura (como descrito na norma ISO 31000:2009, 4.3) que fornecem a capacidade
que permite atingir este objetivo;
b) a extensão do apoio prestado pelo órgão de supervisão e pela gestão de topo no mandato e compromisso
para a gestão do risco (muitas vezes expressa sob a forma de uma política de gestão do risco).
A forma e a arquitetura da estrutura pretendidas são normalmente registadas na sua conceção e a informação
como será disponibilizada como apresentada no Quadro D.1. Isto constitui uma base de referência ou ponto
de referência para as comparações a fazer durante a monitorização e a revisão.
 DNP
ISO/TR 31004
2017

p. 35 de 45

Quadro D.1 - Exemplo de um Quadro para listar as componentes da estrutura organizacional

Componente Onde Objetivo Ações chave Responsabilidade Medidas de Estado da
implementar e calendário desempenho implementação
Responsabilização Nível da Manter a  Definir critérios  Divulgar a --- ---
organização política atual política
de gestão do  Reportar de
risco modo  Formalizar o
documentado calendário de
delegações
 Delegar
autoridade  Próxima
revisão:
XX/XX/XX
…
Recursos: Nível de Disponibilizar  Obter  Conceber:  Efetuado: ---
formação departamento componentes aconselhamento gestão do risco Relatórios
da gestão do corporativo mensais
risco em toda  Conceber a
a formação na formação  Operacionalizar:  Qualidade:
responsáveis de balanço da
admissão  Formar divisão formação e
Disponibilizar formadores auditoria
atualização da  Próxima
formação revisão:
XX/XX/XX

A organização também deverá estabelecer indicadores de desempenho ligados aos objetivos da organização
para darem uma indicação da eficácia da estrutura global da gestão do risco. Os indicadores de desempenho,
por vezes referidos genericamente como indicadores reativos*), incluem:
 incidentes, acidentes e quase-acidentes;
 perdas reais;
 desvios;
 reclamações de clientes;
 dívida por pagar;
 disponibilidade do sistema;
 a medida em que os objetivos da organização estão a ser atingidos;
 a medida em que os objetivos da gestão do risco estão a ser atingidos.

D.2.4 Avaliar se as características e contexto da organização mudaram

Determinar se o contexto interno ou externo da organização sofreram alterações significativas desde que a
estrutura da gestão do risco foi desenvolvida ou modificada.

*)
Lagging indicators na versão inglesa (nota nacional).
 DNP
ISO/TR 31004
2017

p. 36 de 45

Ajuda prática
As características internas que podem ter mudado incluem:
 estrutura;
 práticas e requisitos de governo;
 políticas, normas internas e modelos;
 requisitos contratuais;
 sistemas estratégicos e operacionais afetados por fatores internos ou externos (por exemplo, alterações
regulamentares);
 capacidade e recursos (por exemplo, financeiros, capital de reputação, prazos, pessoas, processos,
sistemas e tecnologias);
 conhecimento, competências e propriedade intelectual;
 sistemas e fluxos de informação;
 comportamento social, ambiental e cultural;
 outras prioridades e imperativos organizacionais que podem ser percecionados como opostos às
intenções da organização em matéria da gestão do risco.

Os principais indicadores que podem apontar para mudanças no contexto externo encontram-se,
frequentemente, em relatórios e inquéritos que refletem mudanças e tendências no sector em que a
organização opera. Por exemplo:
 preços de matérias primas, taxas de juros bancários, rendimentos de obrigações, taxas de câmbio, índices
bolsistas, índice de preços no consumidor (tendência);
 índice (tendência);
 nível de fraude ou incidentes fraudulentos em organizações similares;
 dimensão do mercado e taxas de crescimento e mudanças bruscas no volume de encomendas;
 estabilidade política e social, descontentamento social e ativismo.
Se o contexto organizacional mudou desde o desenvolvimento da estrutura de gestão do risco, esta deverá ser
reavaliada e alinhada de modo a ter em conta essas alterações. O objetivo desta atividade é o de confirmar se
a estrutura e os processos são adequados à sua finalidade e coerentes com os objetivos e prioridades da
organização.
Como consequência desta revisão, a organização poderá precisar de mudar o seu patamar de referência.
EXEMPLO 1: Uma mudança na estrutura de uma organização pode exigir a revisão da política da gestão do risco e uma
redistribuição de responsabilidades e recursos para permitir que o risco continue a ser gerido de forma eficaz. Se a organização
cresceu na sua dimensão, por exemplo em razão de uma fusão ou aquisição, a adequação dos recursos da gestão do risco atuais terá
que ser reconsiderada, assim como a análise minuciosa de qualquer diferença entre as organizações na abordagem da gestão do risco.
Pode ser necessário elaborar um plano de transição para implementar as alterações decorrentes desta análise.
EXEMPLO 2: Se entrarem em vigor novas exigências legislativas, os aspetos da estrutura que dizem respeito às responsabilidades,
formação e recolha de informação ou reporte poderão necessitar de uma adenda ou de serem ampliados.
 DNP
ISO/TR 31004
2017

p. 37 de 45

D.2.5 Revisão da estrutura organizacional

Uma vez concluída a avaliação das características e do contexto externo, deverá ser realizada uma revisão
mais abrangente da estrutura para determinar se:
a) o plano de gestão do risco é executado conforme previsto;
b) a estrutura e os processos adotados estão a funcionar conforme o previsto;
c) o nível de risco está dentro dos critérios;
d) os principais objetivos organizacionais estão a ser influenciados positivamente pela gestão do risco;
e) as partes interessadas relevantes estão a receber relatórios suficientes que lhes permitam desempenhar as
suas funções e responsabilidades na estrutura de governação;
f) as pessoas em toda a organização dispõem de aptidões, conhecimentos e competências de gestão do risco
suficientes para levar a cabo as suas responsabilidades como estão identificadas;
g) os recursos de gestão do risco são adequados;
h) foram retiradas lições de resultados reais ocorridos, incluindo perdas, quase-acidentes e oportunidades;
i) os objetivos definidos para a gestão do risco estão a ser alcançados.
Deverá definir-se um calendário de revisões periódicas com a capacidade de realização de revisões para
objetivos específicos se as circunstâncias mudarem, por exemplo quando as consequências dos riscos são
súbitas ou graves.
Os documentos resultantes de uma revisão deste tipo deverão incluir:
 um relatório global sobre o desempenho da estrutura de gestão do risco;
 um relatório sobre os progressos na implementação do plano de gestão do risco (incluindo a análise de
qualquer atraso na sua implementação);
 um relatório descrevendo no essencial a maturidade da organização, no que diz respeito às melhores
práticas;
 recomendações de mudanças necessárias para melhorar a gestão do risco e a sua eficácia na organização;
 atualizações da política de gestão do risco, objetivos e planos quando necessário;
 atualizações na descrição do contexto em que a organização opera, conforme o caso;
 um relatório sobre as tendências dos principais indicadores de risco;
 um plano de ação para tratar das mudanças necessárias para se atingir os objetivos da gestão do risco.

D.3 Monitorização e revisão do processo

D.3.1 Generalidades
O objetivo da monitorização e revisão do processo de gestão do risco é garantir que:
 é adequado às atividades do negócio;
 funciona conforme planeado.
Os riscos e os seus controlos e tratamentos subjacentes poderão alterar-se ao longo do tempo e os
responsáveis pela gestão do risco precisam de estar conscientes das implicações dessas mudanças. As falhas
nos tratamentos poderão levar a que o risco se torne inaceitável. Para além disso os controlos cujo objetivo é
 DNP
ISO/TR 31004
2017

p. 38 de 45

modificar o risco poderão mudar em termos de adequabilidade e eficácia pelo que, a não ser que sejam
monitorizados ou revistos, os riscos poderão não se manter dentro dos critérios aceites pela organização e
esta poderá deixar de ter uma compreensão dos seus riscos atualizada.
Os resultados da monitorização e da revisão vão realimentar a fase de estabelecimento do contexto,
fornecendo a base para uma apreciação do risco renovada, satisfazendo a natureza iterativa e dinâmica do
processo de gestão do risco e da conceção da estrutura da gestão do risco.

D.3.2 Responsabilização
A monitorização deverá ser parte integrante da gestão. Os riscos e os controlos deverão ser atribuídos aos
donos, que são responsáveis pela sua monitorização. Esta responsabilidade deverá ser registada ou nas
descrições da função ou da posição na estrutura organizacional.
As organizações deverão considerar a incorporação de indicadores de desempenho da gestão do risco que
reflitam a gama dos fatores chave da organização, por exemplo nas revisões formais dos colaboradores, de
modo a que objetivos financeiros, das partes interessadas, de eficiência interna, de aprendizagem e
crescimento sejam considerados. O desempenho face a um mesmo conjunto de indicadores pode ser medido
em todos os níveis da organização e reportados como apropriado.
Os planos de tratamento do risco também deverão ser monitorizados para se confirmar que se está a
progredir e que as ações são concluídas nos prazos.

D.3.3 Aprender com a experiência

A organização deverá aprender com os resultados reais. Estes deverão incluir perdas, quase-acidentes, não
conformidades e as oportunidades que foram identificadas com antecedência, ocorreram e que, no entanto,
não foram alvo de qualquer ação. Os pontos que poderão ser considerados numa revisão deste tipo incluem:
 o que aconteceu;
 o como e o porquê do resultado;
 se qualquer dos pressupostos precisa de ser revisto em função do resultado;
 que ação (se alguma) foi desencadeada como resposta;
 a probabilidade do resultado se verificar novamente;
 quaisquer respostas ou medidas adicionais a serem tomadas;
 as principais lições a retirar e a quem é necessário transmiti-las.

D.3.4 Monitorização
D.3.4.1 As abordagens típicas para monitorização incluem os pontos seguintes:
a) os donos dos riscos podem analisar minuciosamente o ambiente para monitorizar as mudanças no
contexto. A frequência desta atividade vai depender do nível de risco e da dinâmica de mudanças no
contexto. Nalguns casos o reporte de exceções pelos indicadores poderá ser suficiente. O dono do risco
compara os fatores internos ou externos relevantes face à declaração do contexto para determinar se teve
lugar uma alteração significativa. Isto poderá envolver a comunicação e consulta periódicas às partes
interessadas para determinar se os seus pontos de vista ou objetivos mudaram;
b) os donos dos riscos também deverão monitorizar os planos de tratamento do risco para que se
desencadeiem, em tempo útil, as ações e respostas às mudanças do ambiente;
 DNP
ISO/TR 31004
2017

p. 39 de 45

c) os donos dos controlos são responsáveis por monitorizar os controlos que lhes estão atribuídos, o que
poderá implicar a verificação periódica ou a monitorização contínua. Como a gestão do risco é mais
eficaz quando está totalmente integrada na tomada normal de decisões e no sistema de gestão da
organização, a gestão do desempenho da organização deverá ser utilizada para monitorizar os riscos e a
eficácia do processo de gestão do risco. Os indicadores de desempenho deverão refletir o leque dos
principais objetivos da organização definidos quando o contexto foi estabelecido, no início do processo.
Os indicadores também poderão ser desenvolvidos relativamente a riscos e controlos específicos e à
aplicação do processo de gestão do risco.
NOTA: Como no caso dos riscos é aconselhável que os controlos também sejam detidos pelo responsável pelo seu
funcionamento. O dono ou operador do controlo será normalmente a pessoa que executa o controlo diariamente e pode ser
outra pessoa que não o dono do risco. Isto não afeta a responsabilidade geral do dono do risco na modificação adequada desse
risco e na conceção, implementação, aplicação, monitorização e avaliação dos respetivos controlos.

D.3.4.2 Os indicadores de desempenho poderão medir resultados (por exemplo, perdas ou ganhos
específicos) ou processos (por exemplo, conclusão nos prazos dos planos de tratamento do risco).
Normalmente pode ser utilizado um misto de indicadores, mas os indicadores de resultados de desempenho
frequentemente traduzem com atraso as mudanças que lhes deram origem. Como resultado, num ambiente
em rápida mudança, os indicadores de processo (indicadores de tendências) são provavelmente mais úteis.
Na escolha de indicadores de desempenho é importante verificar se:
 são mensuráveis;
 a sua utilização é eficiente em termos de exigências de tempo, esforço e recursos;
 o processo de medição ou de vigilância favorece ou facilita um comportamento desejável e não motiva
um comportamento indesejável (por exemplo, fabricação de dados);
 os envolvidos entendem o processo e os benefícios esperados e têm a oportunidade de dar o seu
contributo para a definição dos indicadores;
 os resultados são recolhidos e o desempenho analisado e relatado numa forma que facilitará a
aprendizagem e a melhoria em toda a organização.
D.3.4.3 Na aplicação da gestão do desempenho ao processo da gestão do risco deverá notar-se que:
 uma medição eficaz do desempenho exige recursos, que deverão ser identificados e atribuídos como
parte do desenvolvimento dos indicadores de desempenho;
 algumas atividades da gestão do risco poderão ser difíceis de medir, o que não as torna menos
importantes, podendo ser necessário o uso de indicadores de substituição, por exemplo os recursos
dedicados às atividades de gestão do risco poderão ser uma medida alternativa do compromisso para
uma gestão do risco eficaz;
 qualquer diferença entre os dados de medição dos indicadores do desempenho e a perceção instintiva é
importante e deverá ser investigada, por exemplo se a gestão se mantem preocupada com a adequação da
gestão dos riscos, apesar de numerosas apreciações do risco indicarem baixos níveis de risco, essas
preocupações deverão ser investigadas e não ignoradas;
 enquanto qualquer deterioração súbita nos indicadores chama normalmente a atenção, uma deterioração
progressiva pode ser igualmente problemática, pelo que as tendências dos indicadores do desempenho
deverão ser monitorizadas e analisadas.

D.3.5 Revisão
A gestão deverá rever periodicamente os processos, sistemas e atividades de modo a assegurar que:
 DNP
ISO/TR 31004
2017

p. 40 de 45

a) não surgiram novos riscos;

b) os controlos e tratamentos do risco permanecem adequados e eficazes.
Estas revisões deverão ser programadas (ver programa e abordagem da auditoria baseada no risco e como
selecionar os revisores, conforme descrito sucintamente na norma ISO 19011).
Estas revisões poderão usar as mesmas técnicas da monitorização existente, mas se forem conduzidas por
alguém que não está diretamente envolvido na operação dos processos, poderão fornecer uma análise mais
objetiva. A periocidade das revisões poderá ser influenciada pelo nível de risco, o ciclo dos planos de
negócio, a dinâmica do ambiente/contexto, ou uma reunião de um órgão de governo responsável pela
supervisão dos riscos e gestão dos riscos.
Se forem encontrados problemas, a organização deverá debruçar-se sobre o modo como estes apareceram e
por que não foram detetados antes.
Os controlos deverão ser assegurados pela ação dos gestores responsáveis (donos do risco) como parte
normal do seu trabalho e função. A atribuição de controlos específicos a donos de controlos facilita a
implementação dos controlos, mas, para serem eficazes, estes donos necessitarão de formação em processos
de garantia do controlo.
Quando são planeadas mudanças organizacionais, ou quando são detetadas mudanças externas, poderá haver
mudanças:
 no ambiente externo ou interno ou nas partes interessadas e seus pontos de vista;
 no contexto da gestão do risco, nos objetivos da organização e nos seus critérios do risco;
 nos riscos e nos níveis de risco;
 na necessidade de tratamentos do risco;
 no efeito e eficácia dos controlos.
Por esta razão, é essencial para as organizações a revisão dos seus riscos e dos tratamentos e controlos do
risco, quando desenvolvem ou reveem os seus planos de negócios ou planos estratégicos. Além disso, porque
os planos de negócios e estratégicos poderão criar ou rever os objetivos da organização, é vantajosa a
utilização do processo de apreciação do risco para testes de stress dos planos em projeto, a fim de garantir
que os objetivos propostos são alcançáveis e também para definir as medidas de tratamento do risco
consideradas necessárias para garantir o sucesso dos resultados. Aqueles que levam a cabo o processo de
gestão do risco, deverão também rever regularmente as suas experiências, as suas conclusões e os seus
resultados para identificar oportunidades de melhoria.
 DNP
ISO/TR 31004
2017

p. 41 de 45

Anexo E
(informativo)

Integração da gestão do risco num sistema de gestão

E.1 Generalidades
A gestão do risco é uma parte integrante do sistema de gestão duma organização. A ISO 31000 aconselha as
organizações a desenvolver, implementar e melhorar, de forma contínua, uma estrutura cuja finalidade é a de
integrar a gestão do risco no sistema de gestão da organização (incluindo a governação e a estratégia).
Especificamente, a integração deverá assegurar que a informação sobre o risco é utilizada como base para a
tomada de decisão em todos os níveis da organização. As pessoas e as organizações gerem diariamente o
risco como parte do seu processo de decisão. A gestão do risco já está integrada naturalmente naquilo que
fazemos antes de tomarmos uma decisão de fazer algo. Alguns são melhores nisto do que outros, mas todos
podemos melhorar a qualidade da gestão do risco e da tomada de decisão, resultando numa melhoria na
consecução dos objetivos e no aumento da confiança. Se a finalidade da integração da gestão do risco é
adicionar valor, logicamente significa a adoção de formas de influenciar o que já se verifica, de forma a
potenciá-lo e a melhorá-lo, em vez de o substituir por algo diferente.
Não pode significar o acréscimo ou a imposição de algo completamente diferente naquilo que já ocorre como
uma função natural da tomada de decisão.
A integração não envolve simplesmente a introdução de ferramentas e processos estabelecidos e
normalizados de gestão do risco num sistema ou sistemas de gestão existentes, antes requer a adaptação e
alteração dessas ferramentas e processos de forma a adequá-los às necessidades dos decisores e dos
processos existentes para a tomada de decisão.
Este Anexo fornece alguns exemplos práticos de como a gestão do risco pode ser integrada no(s) sistema(s)
de gestão existente(s).

E.2 O que é um sistema de gestão?

Todas as organizações usam algum tipo de sistema de gestão. No passado recente foram criados sistemas de
gestão formais consistindo numa variedade de requisitos, que proporcionam uma estrutura através da qual a
organização pode estabelecer práticas e processos de gestão para dirigir e controlar as suas atividades. Várias
normas internacionais tratam de sistemas de gestão na generalidade ou de conteúdos específicos.
Um sistema de gestão é um conjunto de elementos interrelacionados ou interatuantes duma organização para
o estabelecimento de políticas e objetivos, assim como dos processos para atingir esses objetivos. Numa
perspetiva da gestão do negócio, ganha-se eficiência pela existência de um sistema integrado de gestão.
Por exemplo a gestão da qualidade como é tratada pela ISO 9001, tem uma abordagem ampla, centrada na
satisfação do cliente, enquanto a gestão do risco lida com os efeitos da incerteza nos objetivos que poderão
ser relevantes não só para os clientes, mas também para uma diversidade de outras partes interessadas.
Muitas organizações implementaram sistemas de gestão da qualidade baseados nos requisitos da ISO 9001,
podendo a gestão do risco ser integrada nesses sistemas de gestão, criando sinergias e evitando duplicações.
 DNP
ISO/TR 31004
2017

p. 42 de 45

E.3 O sistema integrado de gestão e a gestão do risco

Para além da integração da gestão do risco nos principais processos do negócio, existe a necessidade de criar
interação entre todas as abordagens dos sistemas de gestão, p. ex. gestão da qualidade, gestão ambiental,
gestão da segurança de pessoas e bens, conformidade legal, gestão financeira e de reporte e até na gestão dos
seguros relativos a eventos que poderão ser transferidos financeiramente para outras organizações.
Estes sistemas de gestão individuais deverão formar um sistema integrado de gestão, baseado na política e
estratégia de qualquer organização. Mesmo no caso de uma organização que tenha sistemas de gestão
individuais para a gestão dos riscos particulares, a estrutura de gestão do risco deverá alargar-se e incorporar
esses sistemas.
Esta abordagem interorganizacional da gestão do risco pode:
a) aumentar o foco da gestão de topo nos objetivos estratégicos da organização;
b) permitir que todos os riscos no sistema integrado de gestão, sejam geridos de acordo com os princípios e
linhas de orientação da ISO 31000.
Esta abordagem pode envolver:
 a aplicação, no sistema de gestão da qualidade, de técnicas de gestão do risco que dizem respeito,
primordialmente, à gestão do risco do produto e do projeto;
 lidar com as incertezas na gestão ambiental, p. ex. incidentes e acidentes potenciais em instalações
perigosas, a deposição de materiais e substâncias perigosas;
 o tratamento dos riscos combinados com as operações, tal como a segurança no trabalho;
 gerir riscos de segurança, p. ex. atos de violência visando a organização, os seus colaboradores ou os
seus clientes;
 gerir riscos de segurança nos sistemas de informação (IT), p. ex. o colapso dos sistemas de informação, a
perda de dados, violação da confidencialidade e garantir a continuidade do negócio;
 gerir riscos da continuidade do negócio garantindo a preparação para e a rápida resposta a eventos
disruptivos;
 estabelecer controlos para proteção dos ativos da organização, garantir a correção do reporte, assegurar a
conformidade com as exigências legais, ou de modo a minimizar prémios na gestão dos riscos
seguráveis.

E.4 A implementação da gestão do risco na estrutura do sistema de gestão da

qualidade
E.4.1 Generalidades
O processo de gestão do risco deverá ser integrado nos processos de tomada de decisão de uma organização,
independentemente do nível e da função em que as decisões são tomadas.

E.4.2 Identificação e consciencialização da tomada de decisão

Os métodos seguintes ajudam no reconhecimento de quando e onde as decisões são tomadas, em linha com o
ciclo Plan-Do-Check-Act.
a) Identificação de todas as formas de práticas formais de tomada de decisão já existentes no seio da
organização. Nas grandes organizações existirão provavelmente numerosos procedimentos que
 DNP
ISO/TR 31004
2017

p. 43 de 45

requerem aprovações formais para uma grande variedade de decisões, p. ex. aprovação do plano
estratégico anual, investimentos, admissão de novos colaboradores, alteração de controlos de processo,
deslocações em serviço.
b) Utilização de diagramas de fluxo, ou qualquer outra técnica, para mapear as principais práticas e
sequências de tomada de decisão que são aplicáveis tanto a projetos específicos como a todos os aspetos
do negócio. Isto pode ser considerado a um nível departamental ou de uma função e deverá ser alargado
à governação, assim como à tomada de decisão da gestão. Se existem atividades que são geridas através
dum sistema de gestão formal (p. ex. gestão da qualidade através da aplicação da ISO 9001), os pontos
de decisão nesses sistemas deverão fazer parte desta análise. Similarmente, se a organização possui
alguma forma de delegação de competências para a tomada de decisão, estas delegações deverão ser
consideradas na análise. O resultado final deverá ser um esquema coerente e documentado mostrando
onde as decisões são tomadas, quem toma essas decisões e os processos existentes aplicáveis a essas
decisões.
Uma combinação das técnicas anteriores deverá criar uma elevada consciencialização pessoal e
organizacional da tomada de decisão.

E.4.3 Apreciação do risco

Nalguns tipos de decisão (p. ex. desenvolvimento e realização de um novo produto, ou planeamento e
implementação de um grande projeto) será apropriado a inclusão da apreciação formal do risco em várias
fases do projeto. Por exemplo, muitos projetos têm múltiplos pontos de decisão, i.e. exequibilidade, estudo
do negócio (“business case”), planeamento e orçamentação detalhados, implementação e entrega. Em cada
um destes pontos, é apropriada uma apreciação formal do risco para a decisão entre opções. Isto melhora a
probabilidade do sucesso do projeto e também melhora a eficiência.
Para a apreciação do risco de decisões operacionais, podem ser desenvolvidas formas normalizadas simples
de apreciação do risco para uso do pessoal envolvido. Tais métodos são particularmente adaptados para
situações em que as pessoas trabalham sem supervisão direta. Uma componente chave destes métodos é a
criação da consciencialização dos pressupostos como entradas para as decisões. Por definição, os
pressupostos são uma fonte de incerteza.
Estes processos normalizados podem ser específicos para o tipo de tomada de decisão envolvido, para o
grupo de pessoas específico que executa uma tarefa particular, e para o contexto típico em que ocorrem. Os
sistemas simples podem ser codificados num cartão, em tamanho de bolso, com instruções em forma de
listas de verificação, que os envolvidos nesse tipo de trabalho levarão consigo.

E.4.4 Implicações para a estrutura da gestão do risco

A implementação das técnicas descritas nesta secção exige disposições ou ajustamentos apropriados da
estrutura da gestão do risco, como por exemplo:
 alteração da política da gestão do risco da organização;
 disposições para levar a cabo a investigação inicial e o mapeamento das práticas de tomada de decisão;
 efetuar alterações nos manuais de procedimentos;
 formação dos gestores e dos colaboradores;
 formação específica para aqueles cujo trabalho é realizado de acordo com um sistema específico de
gestão (p. ex. aqueles que estão relacionados com a gestão de tipos particulares de risco);
 ajustamentos da capacidade de informação do sistema de garantia e gestão do risco da organização;
DNP
ISO/TR 31004
2017

p. 44 de 45

 comunicação e consulta internas eficazes.

 DNP
ISO/TR 31004
2017

p. 45 de 45

Bibliografia

[1] ISO 9000, Quality management systems — Fundamentals and vocabulary

[2] ISO 9001, Quality management systems — Requirements

[3] ISO 19011, Guidelines for auditing management systems

[4] ISO Guide 73:2009, Risk management — Vocabulary

[5] IEC 31010, Risk management — Risk assessment techniques