Escolar Documentos
Profissional Documentos
Cultura Documentos
DNP
ISO/TR 31004
2017
TR Relatório Técnico
Gestão do risco
Linhas de orientação para implementação da ISO 31000
Risk management
Guidance for the implementation of ISO 31000
Management du risqué
Lignes directrices pour l’implémentation de l’ISO 31000
ICS APROVAÇÃO
03.100.01 Termo de Aprovação n.º 3/2017, de 2017-09-08
CORRESPONDÊNCIA EDIÇÃO
ISO/TR 31004:2013 2017-09-15
Tel. + 351 212 948 100 Fax. + 351 212 948 101
E-mail:ipq@ipq.pt Internet: www.ipq.pt
Preâmbulo nacional
O presente Documento Normativo é idêntico ao Relatório Técnico ISO/TR 31004:2013 e foi elaborado pelo
Comité Técnico ISO/TC 262 “Risk management”.
O presente Documento Normativo foi preparado pela Comissão Técnica de Normalização, CT 180 “Gestão
do risco”, cuja coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa
para a Qualidade (ONS/APQ).
DNP
ISO/TR 31004
2017
p. 3 de 45
Sumário Página
Preâmbulo nacional ......................................................................................................................................... 2
Introdução ......................................................................................................................................................... 5
0.1 Generalidades ............................................................................................................................................... 5
0.2 Conceitos e princípios subjacentes............................................................................................................... 5
1 Objetivo e campo de aplicação ..................................................................................................................... 6
2 Referências Normativas ................................................................................................................................ 6
3 Implementação da ISO 31000 ...................................................................................................................... 6
3.1 Generalidades ............................................................................................................................................... 6
3.2 Como implementar a ISO 31000.................................................................................................................. 7
3.3 Integração da ISO 31000 nos processos de gestão da organização ............................................................. 8
3.4 Melhoria contínua ...................................................................................................................................... 11
Anexo A (informativo) Princípios e conceitos subjacentes .......................................................................... 12
A.1 Generalidades ............................................................................................................................................ 12
A.2 Riscos e objetivos ...................................................................................................................................... 12
A.3 Incerteza .................................................................................................................................................... 13
A.4 Tratamento do risco e controlo.................................................................................................................. 13
A.5 Estrutura da gestão do risco ...................................................................................................................... 13
A.6 Critério do risco ......................................................................................................................................... 13
A.7 Gestão, gestão do risco e gerir o risco ....................................................................................................... 14
Anexo B (informativo) Aplicação dos princípios da ISO 31000 .................................................................. 15
B.1 Generalidades ............................................................................................................................................ 15
B.2 Riscos e objetivos ...................................................................................................................................... 15
Anexo C (informativo) Como expressar o mandato e o compromisso ....................................................... 27
C.1 Generalidades ............................................................................................................................................ 27
C.2 Métodos para expressar o mandato e o compromisso ............................................................................... 27
C.3 Orientação sobre o desenvolvimento do mandato e do compromisso ...................................................... 29
Anexo D (informativo) Monitorização e revisão........................................................................................... 31
D.1 Enquadramento.......................................................................................................................................... 31
D.2 Monitorização e revisão da estrutura organizacional ................................................................................ 34
D.3 Monitorização e revisão do processo ........................................................................................................ 37
Anexo E (informativo) Integração da gestão do risco num sistema de gestão ........................................... 41
E.1 Generalidades ............................................................................................................................................ 41
E.2 O que é um sistema de gestão? .................................................................................................................. 41
DNP
ISO/TR 31004
2017
p. 4 de 45
p. 5 de 45
Introdução
0.1 Generalidades
As organizações utilizam diferentes métodos para gerir o efeito da incerteza nos seus objetivos, i.e. para gerir
o risco, pela deteção e compreensão do risco e sua modificação quando necessário.
Este Relatório Técnico destina-se a apoiar organizações a melhorar a eficácia dos seus esforços de gestão do
risco alinhando-os com a ISO 31000:2009. A ISO 31000 fornece uma abordagem genérica da gestão do risco
que pode ser aplicada a todas as organizações para ajudá-las a atingir os seus objetivos.
Este Relatório Técnico destina-se a ser utilizado por quem, dentro das organizações, toma decisões com
impacte na consecução dos objetivos, incluindo os responsáveis pela governação e os que fornecem às
organizações aconselhamento e serviços de apoio em matéria de gestão do risco. Este Relatório Técnico
também se destina a ser utilizado por todos os interessados no risco e na sua gestão, incluindo professores,
estudantes, legisladores e reguladores.
O presente Relatório Técnico destina-se a ser lido em conjunto com a ISO 31000 e é aplicável a
organizações de todos os tipos e dimensões. Os conceitos e definições principais, essenciais à compreensão
da ISO 31000, estão explicados no Anexo A.
A secção 3 estabelece uma metodologia genérica para ajudar as organizações na transição das disposições
existentes da gestão do risco de modo a alinhá-las com a ISO 31000, de forma planeada e estruturada.
Contribui igualmente para o ajuste dinâmico quando ocorrem mudanças no ambiente interno e externo da
organização.
Os Anexos adicionais fornecem conselhos, exemplos e explicações sobre a implementação de aspetos
selecionados da ISO 31000, de modo a ajudar os utilizadores do presente Relatório Técnico em função da
sua especialização e necessidades particulares.
Os exemplos fornecidos neste Relatório Técnico podem ou não ser diretamente aplicáveis a situações ou
organizações específicas e servem apenas um propósito exemplificativo.
p. 6 de 45
Este Relatório Técnico não é específico de nenhuma indústria ou sector, ou a qualquer tipo particular de
risco e pode ser aplicado a todas as atividades e a todas as partes das organizações.
2 Referências Normativas
Os documentos a seguir referenciados, no todo ou em parte, são indispensáveis à aplicação deste documento.
Para as referências datadas apenas se aplica a edição citada. Para as referências não datadas, aplica-se a
última edição do documento referenciado (incluindo as emendas).
ISO 31000:2009*) Risk management – Principles and guidelines
*)
Encontra-se em vigor a versão portuguesa desta Norma, NP ISO 31000:2013 ―Gestão do risco – Princípios e linhas de orientação
(ISO 31000:2009)‖ (nota nacional).
DNP
ISO/TR 31004
2017
p. 7 de 45
organização já está a gerir o risco. O processo de implementação, como descrito em 3.2, vai avaliar as
disposições existentes e, caso necessário, adaptá-las e modificá-las para as alinhar com a ISO 31000.
A ISO 31000 identifica vários elementos da estrutura da gestão do risco. Existem diversas vantagens que
podem destacar-se quando os elementos dessa estrutura são integrados na governação, funções e processos
da organização. Estas relacionam-se com a eficácia, a tomada de decisões sólidas e a eficiência
organizacionais.
a) A estrutura para gerir o risco deverá ser posta em prática integrando os seus componentes no sistema
global de gestão e tomada de decisões, independentemente do sistema ser formal ou informal; os
processos de gestão existentes poderão ser melhorados por referência à ISO 31000.
b) A compreensão e gestão da incerteza torna-se uma componente integral do(s) sistema(s) de gestão,
estabelecendo uma abordagem comum para a organização.
c) A implementação do processo de gestão do risco pode ser proporcionalmente ajustada à dimensão e aos
requisitos da organização.
d) A governação (i.e. direção e supervisão) da política, da estrutura e do(s) processo(s) de gestão do risco,
podem ser integrados nas disposições da governação organizacional já existentes.
e) O relatório da gestão do risco é integrado com outros relatórios de gestão.
f) O desempenho da gestão do risco torna-se uma parte integrante da abordagem do desempenho global.
g) A interação e a ligação entre campos da gestão do risco, muitas vezes separados numa organização (por
exemplo gestão do risco empresarial, gestão do risco financeiro, gestão do risco de projeto, gestão da
segurança, gestão da continuidade do negócio, gestão dos seguros) podem ser asseguradas ou
melhoradas, uma vez que a atenção agora estará principalmente focada em estabelecer e alcançar os
objetivos da organização, tendo em conta o risco.
h) A comunicação sobre a incerteza e risco entre equipas de gestão e níveis de gestão é melhorada.
i) As atividades individualizadas de gestão do risco dentro da organização centram-se em alcançar os
objetivos da organização como propósito comum. Poderão existir benefícios indiretos para a sociedade
dado que as partes interessadas externas poderão ser incentivadas a melhorar a sua atividade de gestão
do risco.
j) O tratamento do risco e os controlos podem tornar-se parte integrante das operações diárias.
p. 8 de 45
Esta abordagem também é aplicável às organizações que já estão alinhadas com a ISO 31000, mas que
desejam a melhoria contínua da sua estrutura e do seu processo de gestão do risco, como recomendado na
ISO 31000:2009, 4.6 e 5.6.
Todos os aspetos da transição poderão ser auxiliados com base na experiência de outras organizações que
gerem tipos de risco semelhantes ou que passaram por um processo similar.
3.3.1 Generalidades
A ISO 31000 fornece a estrutura e o processo genérico para gerir o risco em toda ou numa parte de uma
organização de qualquer tipo. Esta secção fornece as orientações para integrar os elementos da ISO 31000 na
abordagem de gestão da organização, incluindo as suas atividades, os seus processos e as suas funções. As
organizações poderão escolher integrar os conceitos da ISO 31000 nos seus processos, ou poderão escolher
conceber e estabelecer uma nova abordagem baseada na ISO 31000. Existem várias formas para integrar a
ISO 31000 na organização. A escolha e a ordem dos elementos deverão ser adaptadas às necessidades da
organização e das suas partes interessadas. A aplicação desta orientação requer atenção para assegurar que a
integração suporta a estratégia global de gestão do negócio. Orienta o esforço para atingir os objetivos da
organização de proteção e de criação de valor. A abordagem tem de ter em conta a cultura da organização,
assim como as metodologias de gestão de projeto e de mudança.
Esta secção descreve os elementos fundamentais da estrutura e do processo e as ações necessárias para a
integração de sucesso destes elementos, de modo a ir ao encontro dos objetivos da organização.
A implementação da ISO 31000 é um processo contínuo, dinâmico e iterativo. Por outro lado, a
implementação da estrutura está interrelacionada com o processo de gestão do risco descrito na
ISO 31000:2009, secção 5. O sucesso é medido tanto em termos de integração da estrutura como em termos
da melhoria contínua da gestão do risco em toda a organização.
A integração tem lugar num contexto dinâmico. A organização deverá monitorizar tanto as mudanças que
decorrem do processo de implementação, como as do seu contexto interno e externo. Isto poderá incluir a
necessidade de alterar os seus critérios do risco.
p. 9 de 45
p. 10 de 45
p. 11 de 45
A implementação poderá demorar algum tempo a estar concluída e pode ser feita em etapas. Deverá ser
adotada a prática habitual de dar prioridade, tanto quanto possível, às mudanças que têm um maior impacto
na consecução do propósito final. Esta implementação pode ocorrer em várias etapas de maturidade e
estrutura organizacional. Poderá também ser mais eficaz integrar a implementação com outros programas de
mudança.
p. 12 de 45
Anexo A
(informativo)
A.1 Generalidades
Este Anexo explica certas palavras e conceitos (por exemplo “risco”) utilizados quotidianamente e que
podem ter vários significados, mas que têm um significado particular quer na ISO 31000, quer neste
Relatório Técnico.
A ISO 31000 define risco como “o efeito da incerteza na consecução dos objetivos”.
NOTA: É aconselhável que os leitores se familiarizem com os termos e definições neste Anexo.
p. 13 de 45
A.3 Incerteza
A incerteza que juntamente com os objetivos cria o risco, origina-se no ambiente interno e externo em que a
organização opera. Esta incerteza pode:
ser uma consequência de fatores subjacentes sociológicos, psicológicos ou culturais associados a
comportamentos humanos;
ser produzida por processos naturais que são caracterizados por uma variabilidade inerente, p. ex.
condições meteorológicas, variações entre observações numa população;
surgir de informação incompleta ou inexata, p. ex. dados omissos, mal interpretados, pouco fiáveis,
internamente contraditórios ou inacessíveis;
alterar-se ao longo do tempo, p. ex. devido à concorrência, tendências, nova informação e alterações nos
fatores subjacentes;
ser produzida pela perceção da incerteza que poderá variar entre sectores da organização e das suas
partes interessadas.
p. 14 de 45
p. 15 de 45
Anexo B
(informativo)
B.1 Generalidades
Todas as organizações gerem os riscos em diferentes níveis, a ISO 31000:2009 estabelece onze princípios
que é necessário que sejam satisfeitos para assegurar a eficácia da gestão do risco. Os princípios dão
orientação sobre:
a) a fundamentação para gerir o risco eficazmente (p. ex. a gestão do risco cria e protege valor);
b) as características da gestão do risco que permitem a sua eficácia, p. ex. o Princípio b) que especifica que a
gestão do risco é parte integrante de todos os processos organizacionais.
Na ISO 31000 cada princípio tem um título resumido em algumas palavras e um texto complementar que
fornece a explicação e o detalhe.
Todos os onze princípios deverão ser tidos em conta na conceção dos objetivos da gestão do risco da
organização. Contudo, a importância de cada princípio poderá variar de acordo com a parte da estrutura em
análise e ajustada a cada aplicação específica.
O sucesso da implementação destes princípios determinará tanto a eficácia como a eficiência da gestão do
risco da organização. Todos os onze princípios deverão estar presentes permanentemente, apesar da
importância de cada princípio poder variar em função da parte da estrutura em causa.
De seguida, os resultados deste tipo de análise deverão refletir-se na conceção ou na melhoria da estrutura (p.
ex. na afetação de responsabilizações, disponibilização de formação, comunicação com partes interessadas,
na conceção da monitorização contínua e na revisão do desempenho da gestão do risco).
Este Anexo disponibiliza orientações sobre como aplicar cada princípio e para alguns princípios
disponibiliza, adicionalmente, caixas de texto com ajuda prática.
*)
Na caixa de texto seguinte o termo ―segurança‖ inclui, na versão inglesa deste Relatório Técnico, os conceitos de ―safety‖ e de
―security‖ (nota nacional).
DNP
ISO/TR 31004
2017
p. 16 de 45
Este princípio explica que o objetivo da gestão do risco é criar e proteger valor ao ajudar uma organização a
atingir os seus objetivos. Fá-lo ajudando a organização a identificar e a lidar com os fatores, tanto internos
como externos a uma organização, que geram incerteza associada aos seus objetivos.
A ligação entre a eficácia da gestão do risco e o modo como ela contribui para o sucesso da organização
deverá ser claramente demonstrada e comunicada. O princípio clarifica que o risco não deverá ser gerido por
si só, mas de forma a que os objetivos sejam atingidos e o desempenho melhorado.
Alguns atributos e valores não podem ser medidos diretamente com facilidade (por exemplo, em termos
monetários), mas contribuem significativamente para o desempenho, a reputação e o cumprimento das
exigências legais. Os valores humanos, sociais e ecológicos são particularmente importantes na gestão dos
riscos relacionados com a segurança de pessoas e bens e na satisfação de requisitos, assim como os
relacionados com valores intangíveis, pelo que a criação de valor necessitará de ser expressa utilizando
descritores qualitativos em vez de medidas quantitativas.
p. 17 de 45
Os organismos auditores também podem ter um papel importante, questionando a gestão como chegou a uma
determinada decisão e verificando se o processo de gestão do risco foi corretamente aplicado.
p. 18 de 45
p. 19 de 45
ser levadas em linha de conta. Esta é uma fonte de incerteza e também influencia a forma como o
contexto é monitorizado e revisto continuamente.
Se incerteza significa que um determinado valor é apenas dado como pertencendo a um dado intervalo,
esse intervalo deverá ser comunicado.
p. 20 de 45
Apesar da tomada de decisão com base em evidências ser o objetivo final, isto poderá não ser sempre
possível no tempo ou com os recursos disponíveis. Nessas situações, deverá recorrer-se à opinião de
especialistas em combinação com a informação disponível. Contudo, é necessário cuidado para evitar o
enviesamento da opinião do grupo na aplicação desta. Acresce que a evidência do passado poderá não prever
o futuro com exatidão. Em situações que envolvam um potencial para eventos de muito altas consequências,
a ausência de informação poderá determinar ações se houver evidência de dano potencial, mesmo que não
exista a prova definitiva de dano.
Este princípio também se aplica à conceção (ou melhoria) da estrutura de gestão do risco porque a estrutura
terá aspetos (p. ex. os que proporcionam capacidade de pesquisa ou que compilam, analisam, atualizam e
disponibilizam informação que suportam a aplicação do processo) que determinarão quão bem este princípio
é aplicado.
A fiabilidade e a exatidão da informação deverão ser avaliadas regularmente quanto à sua relevância,
oportunidade e factualidade, com a documentação dos pressupostos. A estrutura deverá proporcionar a
revisão periódica, assim como atualizações ou correções.
Ajuda prática
Na conceção da forma de reportar os incidentes deverá, antes de mais, ter lugar uma análise cuidada de
quais as decisões que esta informação pode ajudar, i.e. quem são os atuais e futuros utilizadores finais,
como a informação poderá vir a ser organizada, como poderá ser melhorada a sua integridade e como
poderá ser acedida. Uma vez isto feito, pode ser concebido o impresso do relato, tendo em atenção que
a qualidade obtida poderá ser influenciada pelo tempo necessário para o seu preenchimento.
Uma descrição do contexto (incluindo a data em que foi escrito) deverá ser incluída como parte das
descrições detalhadas e documentadas dos principais riscos a enfrentar (p. ex. inventário dos riscos).
Isto permite que os utilizadores do inventário tenham em conta quaisquer alterações no contexto que
possam ter ocorrido posteriormente, com as consequentes alterações do risco.
Quando são considerados pressupostos na apreciação, a fundamentação dos pressupostos, incluindo
quaisquer limitações, deverá ser claramente registada e compreendida.
Na conceção dos tratamentos dos riscos deverá ter-se em conta como o desempenho dos controlos
resultantes será monitorizado e disponibilizado a futuros decisores, que poderão contar com esses
controlos.
p. 21 de 45
determinada por muitos aspetos, incluindo a dimensão, a cultura, o sector, a configuração e o estilo de gestão
da organização.
As diferentes áreas de risco poderão exigir diferentes processos definidos à medida dentro da mesma
organização. Enquanto que todos os processos deverão ser consistentes com a ISO 31000, existirão
diferenças nos sistemas, modelos e nível de juízo envolvidos, p. ex. entre os envolvidos na apreciação dos
riscos de tecnologias de informação, riscos de financiamento e de investimento, ou riscos de concorrência.
Cada processo deverá ser concebido à medida do seu propósito específico.
Uma vez que o propósito da estrutura é assegurar que o processo de gestão do risco seja aplicado à tomada
de decisão de forma eficaz e refletindo a política aplicável, a conceção da estrutura deverá refletir onde e
como as decisões são tomadas e deverá ter em conta quaisquer obrigações de origem externa, legislativas ou
outras com que a organização se tenha comprometido.
É importante ter presente que conceber à medida não implica que tanto os elementos da estrutura (como
descritos na ISO 31000:2009, secção 4) como as fases do processo (ver ISO 31000:2009, secção 5) deverão
variar. Todos são essenciais à gestão do risco eficaz.
Este princípio é importante durante a conceção e a melhoria da estrutura de gestão do risco, mas será também
relevante na forma como os aspetos do processo são estruturados.
Este princípio pode também significar que a organização tenha em conta questões internas, p. ex. rotação de
colaboradores (a qual, se suficientemente alta, poderá requerer ajustes apropriados ao âmbito da formação
após admissão, de forma a assegurar que todos os novos colaboradores sejam capazes de cumprir o que lhes
é requerido em relação à gestão do risco).
A conceção de uma estrutura à medida é necessária para se atingir a integração com os processos de tomada
de decisão da organização. É também possível que esses processos de tomada de decisão necessitem de ser
modificados para se ajustarem a uma estrutura de gestão do risco bem definida.
Ajuda prática
A conceção da estrutura de gestão do risco deverá incluir a busca e a consideração das opiniões dos que
vão estar envolvidos na sua implementação.
A criação de um entendimento aprofundado dos conceitos subjacentes à ISO 31000 ajudará a garantir
que, fazer à medida tanto a estrutura como o processo, conseguirá os atributos de uma gestão do risco
eficaz, como listado na ISO 31000:2009, Anexo A. Inversamente, a simples aplicação de uma lista de
verificação não o conseguirá.
p. 22 de 45
Ajuda prática
Relativamente aos fatores humanos e organizacionais são exemplos de questões úteis a colocar os
seguintes:
A estrutura organizacional é apropriada às necessidades da organização?
Os indivíduos com responsabilidade formal estão claramente identificados?
Todas as descrições das funções contêm especificações claras da autoridade e responsabilidade
individuais?
Os canais de comunicação são todos claros e eficazes?
Verifica-se ocasionalmente se a comunicação é corretamente entendida e interpretada a todos os níveis
na organização?
O nível da moral na organização é monitorizado?
As interfaces entre equipas são revistas?
Existem mecanismos para reconhecer e responder a rumores na organização antes que estes tenham um
impacto negativo?
Existem políticas claras de recrutamento, remuneração e promoção?
No caso de políticas problemáticas, existe um processo de revisão?
DNP
ISO/TR 31004
2017
p. 23 de 45
Os processos e procedimentos são adotados? Se não são, tem lugar uma investigação? É forçado o seu
cumprimento?
Os auditores internos e externos procuram comportamentos perigosos ou antiéticos na organização?
p. 24 de 45
*)
Whistle-blowers na versão inglesa (nota nacional).
DNP
ISO/TR 31004
2017
p. 25 de 45
p. 26 de 45
não só para as causas próximas do incidente, mas também para as características da estrutura da gestão
do risco que tornaram possível a ocorrência do incidente.
O sucesso (p. ex. um projeto conforme calendarização e orçamento) deverá ser monitorizado com o fim
de se perceber quais as características da estrutura da gestão do risco que mais contribuíram para o
sucesso, o que deverá ser comunicado para reforçar o valor.
DNP
ISO/TR 31004
2017
p. 27 de 45
Anexo C
(informativo)
C.1 Generalidades
Este Anexo fornece linhas orientadoras e estratégias sobre como o mandato e o compromisso podem ser
expressos e comunicados por uma organização.
Para que o mandato e o compromisso sejam eficazes, a gestão de topo e o organismo de supervisão da
organização deverão expressar claramente às partes interessadas a abordagem à gestão do risco,
documentando-a e comunicando-a, conforme apropriado. O mandato para a gestão do risco envolve
tipicamente alterações no comportamento, cultura, política, processos e no desempenho esperado na gestão
dos riscos, que será refletido na estrutura da gestão do risco. O mandato e o compromisso poderão ser
apresentados sob a forma de uma breve declaração de política, amplamente comunicada.
O desenvolvimento do mandato envolve decidir sobre o curso de ação requerido, bem como a autorização
para que este ocorra. Invariavelmente, nas organizações existentes, isto envolverá necessariamente
autoridade para gerar a mudança. Não será de grande utilidade identificar o curso de ação preferido a menos
que, ao mesmo tempo, haja o compromisso correspondente para o concretizar.
O mandato e o compromisso são uma parte fundamental da estrutura da gestão do risco. Deverá fazer parte
das estruturas de gestão e de governo da organização e deverá influenciar a conceção de ambas.
O mandato e o compromisso deverão refletir os onze princípios previstos na ISO 31000:2009, secção 3.
Na prática, o mandato da organização e o respetivo compromisso para com ele é expresso e percecionado
quer de forma implícita, quer explícita. As expressões implícitas (p. ex. as ações quotidianas da gestão de
topo e do órgão de supervisão no enquadramento da cultura predominante da organização) fornecem
habitualmente um estímulo mais poderoso do que as expressões explícitas (p. ex. uma política de gestão do
risco escrita).
p. 28 de 45
Se o mandato existente e o compromisso da organização para a gestão do risco ainda não obedecerem a estes
critérios, tanto os seus aspetos implícitos como os explícitos terão de ser alterados.
EXEMPLO: Se o órgão de supervisão ou a gestão de topo tiverem tomado decisões que não tenham sido sujeitas a uma apreciação
profunda do risco, será uma clara indicação de que a organização não está comprometida na compreensão dos seus riscos.
Uma parte essencial da adoção de um mandato com revisão é o desenvolvimento de um plano para alterar a
compreensão do que é requerido. O objetivo deste plano será assegurar que tanto o mandato como os seus
benefícios são amplamente entendidos e aceites, que a organização está firmemente comprometida com o
mandato e que age em conformidade. Será o comportamento da organização e a forma como este se compara
com as declarações explícitas sobre o mandato que terão o maior efeito sobre a aceitação do mandatado pelas
diversas partes interessadas.
p. 29 de 45
p. 30 de 45
mudanças poderão ser bastante radicais quanto ao âmbito (p. ex. mudanças nas especificações de funções, na
monitorização do desempenho e nos processos de gestão) absorvendo assim parte da capacidade da
organização para a mudança. Isto necessitará de ser tido em consideração no contexto de outras mudanças
que estejam em curso e se se poderá integrar nestas.
As pessoas que serão significativamente afetadas pelas mudanças deverão ser consultadas, em particular os
responsáveis de quaisquer silos da gestão do risco na organização (p. ex. higiene e segurança de pessoas e
ativos), de modo a que todas as implicações da mudança possam ser entendidas.
O mandato deverá ser expresso numa declaração de política a qual demonstrará o compromisso da
organização para com aquele.
Ajuda prática
Indicam-se, entre outros, alguns procedimentos:
considerar a forma como o mandato será explicado à organização e como estas explicações serão
reforçadas pelas ações em curso;
considerar o período para o mandato produzir efeitos (o que deverá respeitar e ser integrado com os
outros imperativos da organização embora, até a estrutura estar concluída, os seus benefícios integrais
não sejam concretizados e a gestão do risco não seja tão eficaz como poderia ser);
identificar as funções chave para produzir a mudança necessária na abordagem à gestão do risco e para
direcionar e liderar as atividades da gestão do risco;
especificar que aspetos das atividades e da estrutura da gestão do risco serão monitorizadas ao nível da
gestão de topo, ao nível dos comités e da gestão e como essa informação será coligida e apresentada;
incluir o desempenho da gestão do risco como ponto habitual da agenda em todas as reuniões
principais da gestão de todo e da supervisão;
desenvolver métodos eficazes para comunicar o desempenho da gestão do risco (p. ex. publicação de
um boletim informativo para os colaboradores ao estilo de um relatório de gestão do risco);
considerar como deverão ser os fatores a desencadear a revisão do mandato.
DNP
ISO/TR 31004
2017
p. 31 de 45
Anexo D
(informativo)
Monitorização e revisão
D.1 Enquadramento
D.1.1 Introdução
O presente Anexo fornece linhas orientadoras e estratégias sobre como o mandato e o compromisso podem
ser expressos e comunicados por uma organização.
Este Anexo fornece aconselhamento sobre a monitorização e a revisão da estrutura e processos da gestão do
risco em conformidade com a norma ISO 31000:2009, 4.5, 4.6 e 5.6.
A monitorização e a revisão são duas atividades distintas que se destinam a determinar se os pressupostos e
as decisões continuam a ser válidos. As técnicas são utilizadas quer na manutenção de uma estrutura de
gestão do risco eficaz, quer em cada uma das etapas do processo da gestão do risco.
A monitorização implica a vigilância de rotina do desempenho real e a sua comparação com o
desempenho esperado ou requerido. Implica, continuamente, verificar, investigar, supervisionar,
observar criticamente ou caracterizar o estado a fim de identificar alterações ao nível do desempenho
esperado ou requerido, assim como alterações no contexto.
A revisão implica a verificação periódica ou pontual da situação atual, visando identificar mudanças no
ambiente, nas práticas profissionais, ou nas práticas organizacionais. É uma atividade realizada para
determinar a aplicabilidade, a adequação e a eficácia da estrutura organizacional e dos processos para se
alcançarem os objetivos estabelecidos. As revisões devem ter em consideração os resultados das
atividades de monitorização.
Uma auditoria é um processo de revisão sistemático baseado em evidências, tomando como referência
critérios pré-definidos. Enquanto cada auditoria é uma revisão, nem todas as revisões são auditorias.
Em conjunto, a monitorização e a revisão garantem que o desempenho da gestão do risco é o esperado,
indicando se pode ser melhorado e se as alterações constatadas exigem adaptação ou alteração da estrutura
organizacional ou de qualquer aspeto do processo.
A monitorização e a revisão têm como objetivo fornecer uma garantia razoável de que os riscos são
adequadamente geridos e são identificadas as deficiências da gestão do risco assim como as oportunidades
para melhorar a gestão dos riscos. Ambas são necessárias a fim de garantir que a organização mantém uma
compreensão atualizada dos seus riscos em relação aos seus critérios de risco e coerente com a sua atitude
face ao risco. Ambas exigem uma abordagem sistemática e integrada aos sistemas de gestão geral da
organização.
As atividades de monitorização e revisão e as medidas tomadas em resposta às conclusões são
frequentemente caracterizadas como um sistema de garantia, porque têm o potencial para detetar e solucionar
debilidades antes da ocorrência de efeitos adversos ou para fornecer a confiança de que os riscos ainda estão
dentro dos critérios da organização. Estas atividades também podem ser utilizadas para disponibilizar às
partes interessadas internas e externas uma garantia razoável de que os riscos estão a ser geridos de forma
eficaz.
DNP
ISO/TR 31004
2017
p. 32 de 45
Quando os fatores no contexto interno e externo mudam, os riscos também. Da mesma forma, a
monitorização do contexto externo pode alertar a organização para mudanças que poderão representar uma
oportunidade para melhorar o desempenho ou para uma nova atividade. Ao permanecer alerta a essas
mudanças, ao desempenho, às não conformidades e aos quase-acidentes, a organização estará apta a
identificar oportunidades de melhorar a estrutura da gestão do risco e o desempenho global da organização.
Deverá existir um programa abrangente para monitorizar e registar os indicadores de desempenho do risco
que estão alinhados com os indicadores de desempenho da organização.
O programa deverá dar antecipadamente alertas de tendências adversas que poderão exigir uma ação
preventiva e uma intervenção.
Uma única atividade de monitorização ou de revisão poderá ser direcionada para um risco específico ou para
um número de riscos relacionados. Poderá concentrar-se nos riscos ou nos controlos que os tratam.
p. 33 de 45
Muitas organizações têm funções de revisão da gestão e consultadoria (como consultores da gestão do risco,
responsáveis pela conformidade e gestores da garantia da qualidade) que realizam revisões de rotina: um
auditor interno, em princípio, reporta as suas revisões ao órgão de supervisão e à gestão de topo. O objetivo
destas revisões é o de fornecer ao órgão de supervisão e à gestão de topo da organização a garantia de que:
os seus critérios de risco são coerentes com os seus objetivos e o contexto em que opera;
tem sido utilizado um processo adequado e sistemático para identificar, apreciar e tratar os riscos e há a
garantia de que este processo continuará a funcionar;
os riscos inaceitáveis têm um tratamento adequado;
os controlos supostamente aptos a modificar riscos inaceitáveis são adequados e eficazes;
estão a ser conseguidos progressos adequados com os planos de tratamento dos riscos.
As atividades de um processo de revisão independente não aliviam as responsabilidades da gestão pela
monitorização e revisão.
p. 34 de 45
D.2.2 Responsabilização
A gestão é responsável por assegurar que a estrutura é revista e monitorizada periodicamente face a
indicadores de desempenho. No quadro da atribuição de responsabilidades na gestão do risco, deverá uma
dada pessoa (por exemplo um gestor sénior) ou uma dada função organizacional (por exemplo a função de
apoio à gestão do risco corporativo) ser nomeada responsável pela estrutura e uma responsabilidade chave
deverá assegurar que a estrutura permanece eficaz.
p. 35 de 45
A organização também deverá estabelecer indicadores de desempenho ligados aos objetivos da organização
para darem uma indicação da eficácia da estrutura global da gestão do risco. Os indicadores de desempenho,
por vezes referidos genericamente como indicadores reativos*), incluem:
incidentes, acidentes e quase-acidentes;
perdas reais;
desvios;
reclamações de clientes;
dívida por pagar;
disponibilidade do sistema;
a medida em que os objetivos da organização estão a ser atingidos;
a medida em que os objetivos da gestão do risco estão a ser atingidos.
*)
Lagging indicators na versão inglesa (nota nacional).
DNP
ISO/TR 31004
2017
p. 36 de 45
Ajuda prática
As características internas que podem ter mudado incluem:
estrutura;
práticas e requisitos de governo;
políticas, normas internas e modelos;
requisitos contratuais;
sistemas estratégicos e operacionais afetados por fatores internos ou externos (por exemplo, alterações
regulamentares);
capacidade e recursos (por exemplo, financeiros, capital de reputação, prazos, pessoas, processos,
sistemas e tecnologias);
conhecimento, competências e propriedade intelectual;
sistemas e fluxos de informação;
comportamento social, ambiental e cultural;
outras prioridades e imperativos organizacionais que podem ser percecionados como opostos às
intenções da organização em matéria da gestão do risco.
Os principais indicadores que podem apontar para mudanças no contexto externo encontram-se,
frequentemente, em relatórios e inquéritos que refletem mudanças e tendências no sector em que a
organização opera. Por exemplo:
preços de matérias primas, taxas de juros bancários, rendimentos de obrigações, taxas de câmbio, índices
bolsistas, índice de preços no consumidor (tendência);
índice (tendência);
nível de fraude ou incidentes fraudulentos em organizações similares;
dimensão do mercado e taxas de crescimento e mudanças bruscas no volume de encomendas;
estabilidade política e social, descontentamento social e ativismo.
Se o contexto organizacional mudou desde o desenvolvimento da estrutura de gestão do risco, esta deverá ser
reavaliada e alinhada de modo a ter em conta essas alterações. O objetivo desta atividade é o de confirmar se
a estrutura e os processos são adequados à sua finalidade e coerentes com os objetivos e prioridades da
organização.
Como consequência desta revisão, a organização poderá precisar de mudar o seu patamar de referência.
EXEMPLO 1: Uma mudança na estrutura de uma organização pode exigir a revisão da política da gestão do risco e uma
redistribuição de responsabilidades e recursos para permitir que o risco continue a ser gerido de forma eficaz. Se a organização
cresceu na sua dimensão, por exemplo em razão de uma fusão ou aquisição, a adequação dos recursos da gestão do risco atuais terá
que ser reconsiderada, assim como a análise minuciosa de qualquer diferença entre as organizações na abordagem da gestão do risco.
Pode ser necessário elaborar um plano de transição para implementar as alterações decorrentes desta análise.
EXEMPLO 2: Se entrarem em vigor novas exigências legislativas, os aspetos da estrutura que dizem respeito às responsabilidades,
formação e recolha de informação ou reporte poderão necessitar de uma adenda ou de serem ampliados.
DNP
ISO/TR 31004
2017
p. 37 de 45
p. 38 de 45
modificar o risco poderão mudar em termos de adequabilidade e eficácia pelo que, a não ser que sejam
monitorizados ou revistos, os riscos poderão não se manter dentro dos critérios aceites pela organização e
esta poderá deixar de ter uma compreensão dos seus riscos atualizada.
Os resultados da monitorização e da revisão vão realimentar a fase de estabelecimento do contexto,
fornecendo a base para uma apreciação do risco renovada, satisfazendo a natureza iterativa e dinâmica do
processo de gestão do risco e da conceção da estrutura da gestão do risco.
D.3.2 Responsabilização
A monitorização deverá ser parte integrante da gestão. Os riscos e os controlos deverão ser atribuídos aos
donos, que são responsáveis pela sua monitorização. Esta responsabilidade deverá ser registada ou nas
descrições da função ou da posição na estrutura organizacional.
As organizações deverão considerar a incorporação de indicadores de desempenho da gestão do risco que
reflitam a gama dos fatores chave da organização, por exemplo nas revisões formais dos colaboradores, de
modo a que objetivos financeiros, das partes interessadas, de eficiência interna, de aprendizagem e
crescimento sejam considerados. O desempenho face a um mesmo conjunto de indicadores pode ser medido
em todos os níveis da organização e reportados como apropriado.
Os planos de tratamento do risco também deverão ser monitorizados para se confirmar que se está a
progredir e que as ações são concluídas nos prazos.
D.3.4 Monitorização
D.3.4.1 As abordagens típicas para monitorização incluem os pontos seguintes:
a) os donos dos riscos podem analisar minuciosamente o ambiente para monitorizar as mudanças no
contexto. A frequência desta atividade vai depender do nível de risco e da dinâmica de mudanças no
contexto. Nalguns casos o reporte de exceções pelos indicadores poderá ser suficiente. O dono do risco
compara os fatores internos ou externos relevantes face à declaração do contexto para determinar se teve
lugar uma alteração significativa. Isto poderá envolver a comunicação e consulta periódicas às partes
interessadas para determinar se os seus pontos de vista ou objetivos mudaram;
b) os donos dos riscos também deverão monitorizar os planos de tratamento do risco para que se
desencadeiem, em tempo útil, as ações e respostas às mudanças do ambiente;
DNP
ISO/TR 31004
2017
p. 39 de 45
c) os donos dos controlos são responsáveis por monitorizar os controlos que lhes estão atribuídos, o que
poderá implicar a verificação periódica ou a monitorização contínua. Como a gestão do risco é mais
eficaz quando está totalmente integrada na tomada normal de decisões e no sistema de gestão da
organização, a gestão do desempenho da organização deverá ser utilizada para monitorizar os riscos e a
eficácia do processo de gestão do risco. Os indicadores de desempenho deverão refletir o leque dos
principais objetivos da organização definidos quando o contexto foi estabelecido, no início do processo.
Os indicadores também poderão ser desenvolvidos relativamente a riscos e controlos específicos e à
aplicação do processo de gestão do risco.
NOTA: Como no caso dos riscos é aconselhável que os controlos também sejam detidos pelo responsável pelo seu
funcionamento. O dono ou operador do controlo será normalmente a pessoa que executa o controlo diariamente e pode ser
outra pessoa que não o dono do risco. Isto não afeta a responsabilidade geral do dono do risco na modificação adequada desse
risco e na conceção, implementação, aplicação, monitorização e avaliação dos respetivos controlos.
D.3.4.2 Os indicadores de desempenho poderão medir resultados (por exemplo, perdas ou ganhos
específicos) ou processos (por exemplo, conclusão nos prazos dos planos de tratamento do risco).
Normalmente pode ser utilizado um misto de indicadores, mas os indicadores de resultados de desempenho
frequentemente traduzem com atraso as mudanças que lhes deram origem. Como resultado, num ambiente
em rápida mudança, os indicadores de processo (indicadores de tendências) são provavelmente mais úteis.
Na escolha de indicadores de desempenho é importante verificar se:
são mensuráveis;
a sua utilização é eficiente em termos de exigências de tempo, esforço e recursos;
o processo de medição ou de vigilância favorece ou facilita um comportamento desejável e não motiva
um comportamento indesejável (por exemplo, fabricação de dados);
os envolvidos entendem o processo e os benefícios esperados e têm a oportunidade de dar o seu
contributo para a definição dos indicadores;
os resultados são recolhidos e o desempenho analisado e relatado numa forma que facilitará a
aprendizagem e a melhoria em toda a organização.
D.3.4.3 Na aplicação da gestão do desempenho ao processo da gestão do risco deverá notar-se que:
uma medição eficaz do desempenho exige recursos, que deverão ser identificados e atribuídos como
parte do desenvolvimento dos indicadores de desempenho;
algumas atividades da gestão do risco poderão ser difíceis de medir, o que não as torna menos
importantes, podendo ser necessário o uso de indicadores de substituição, por exemplo os recursos
dedicados às atividades de gestão do risco poderão ser uma medida alternativa do compromisso para
uma gestão do risco eficaz;
qualquer diferença entre os dados de medição dos indicadores do desempenho e a perceção instintiva é
importante e deverá ser investigada, por exemplo se a gestão se mantem preocupada com a adequação da
gestão dos riscos, apesar de numerosas apreciações do risco indicarem baixos níveis de risco, essas
preocupações deverão ser investigadas e não ignoradas;
enquanto qualquer deterioração súbita nos indicadores chama normalmente a atenção, uma deterioração
progressiva pode ser igualmente problemática, pelo que as tendências dos indicadores do desempenho
deverão ser monitorizadas e analisadas.
D.3.5 Revisão
A gestão deverá rever periodicamente os processos, sistemas e atividades de modo a assegurar que:
DNP
ISO/TR 31004
2017
p. 40 de 45
p. 41 de 45
Anexo E
(informativo)
E.1 Generalidades
A gestão do risco é uma parte integrante do sistema de gestão duma organização. A ISO 31000 aconselha as
organizações a desenvolver, implementar e melhorar, de forma contínua, uma estrutura cuja finalidade é a de
integrar a gestão do risco no sistema de gestão da organização (incluindo a governação e a estratégia).
Especificamente, a integração deverá assegurar que a informação sobre o risco é utilizada como base para a
tomada de decisão em todos os níveis da organização. As pessoas e as organizações gerem diariamente o
risco como parte do seu processo de decisão. A gestão do risco já está integrada naturalmente naquilo que
fazemos antes de tomarmos uma decisão de fazer algo. Alguns são melhores nisto do que outros, mas todos
podemos melhorar a qualidade da gestão do risco e da tomada de decisão, resultando numa melhoria na
consecução dos objetivos e no aumento da confiança. Se a finalidade da integração da gestão do risco é
adicionar valor, logicamente significa a adoção de formas de influenciar o que já se verifica, de forma a
potenciá-lo e a melhorá-lo, em vez de o substituir por algo diferente.
Não pode significar o acréscimo ou a imposição de algo completamente diferente naquilo que já ocorre como
uma função natural da tomada de decisão.
A integração não envolve simplesmente a introdução de ferramentas e processos estabelecidos e
normalizados de gestão do risco num sistema ou sistemas de gestão existentes, antes requer a adaptação e
alteração dessas ferramentas e processos de forma a adequá-los às necessidades dos decisores e dos
processos existentes para a tomada de decisão.
Este Anexo fornece alguns exemplos práticos de como a gestão do risco pode ser integrada no(s) sistema(s)
de gestão existente(s).
p. 42 de 45
p. 43 de 45
requerem aprovações formais para uma grande variedade de decisões, p. ex. aprovação do plano
estratégico anual, investimentos, admissão de novos colaboradores, alteração de controlos de processo,
deslocações em serviço.
b) Utilização de diagramas de fluxo, ou qualquer outra técnica, para mapear as principais práticas e
sequências de tomada de decisão que são aplicáveis tanto a projetos específicos como a todos os aspetos
do negócio. Isto pode ser considerado a um nível departamental ou de uma função e deverá ser alargado
à governação, assim como à tomada de decisão da gestão. Se existem atividades que são geridas através
dum sistema de gestão formal (p. ex. gestão da qualidade através da aplicação da ISO 9001), os pontos
de decisão nesses sistemas deverão fazer parte desta análise. Similarmente, se a organização possui
alguma forma de delegação de competências para a tomada de decisão, estas delegações deverão ser
consideradas na análise. O resultado final deverá ser um esquema coerente e documentado mostrando
onde as decisões são tomadas, quem toma essas decisões e os processos existentes aplicáveis a essas
decisões.
Uma combinação das técnicas anteriores deverá criar uma elevada consciencialização pessoal e
organizacional da tomada de decisão.
p. 44 de 45
p. 45 de 45
Bibliografia