ISO 31000
Portuguesa 2012
Gesto do risco
Princpios e linhas de orientao
Management du risque
Principes et lignes directrices
Risk management
Principles and guidelines
o
ida nic
oib tr
pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
ICS HOMOLOGAO
03.100.01 Termo de Homologao n. 200/2012, de 2012-07-26
Im
CORRESPONDNCIA ELABORAO
Verso portuguesa da ISO 31000:2009 CT 180 (APQ)
EDIO
agosto de 2012
CDIGO DE PREO
X008
IPQ reproduo proibida
em branco
o o e
pr lec
oib tr
ida nic
o
NP
ISO 31000
2012
p. 3 de 31
Sumrio Pgina
Introduo................................................................................................................................................... 6
1 Objetivo e campo de aplicao ................................................................................................................ 9
2 Termos e definies................................................................................................................................. 9
3 Princpios................................................................................................................................................. 14
4 Estrutura .................................................................................................................................................. 16
o
4.1 Generalidades ..................................................................................................................................... 16
ida nic
4.2 Mandato e compromisso .................................................................................................................... 17
oib tr
pr lec
4.3 Conceo da estrutura para gerir o risco ......................................................................................... 17
o o e
4.3.3 Responsabilizao............................................................................................................................ 18
re doc
p. 4 de 31
o
ida nic
5.5 Tratamento do Risco .......................................................................................................................... 26
oib tr
5.5.1 Generalidades ..................................................................................................................................
pr lec 26
5.5.2 Seleo de opes de tratamento do risco...................................................................................... 27
o o e
Bibliografia................................................................................................................................................. 31
s o
Q
es
pr
Im
NP
ISO 31000
2012
p. 5 de 31
Prembulo nacional
A presente Norma idntica verso da ISO 31000:2009, Risk management Principles and guidelines.
Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de
propriedade intelectual ou a direitos anlogos. A ISO no deve ser considerada responsvel por no ter
identificado tais direitos de propriedade intelectual nem por no ter avisado da sua existncia.
A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete de gesto tcnica da ISO relativo Gesto do
Risco.
Esta Norma contm cor. A impresso pode no reproduzir as cores apresentadas na verso eletrnica desta
Norma.
o
ida nic
A presente Norma foi preparada pela Comisso Tcnica de Normalizao CT 180 Gesto do risco, cuja
coordenao assegurada pelo Organismo de Normalizao Sectorial, Associao Portuguesa para a
oib tr
Qualidade (ONS/APQ). pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
Im
NP
ISO 31000
2012
p. 6 de 31
Introduo
As organizaes de todos os tipos e dimenses enfrentam fatores e influncias, internos e externos, que
tornam incerto se, e quando, atingiro os seus objetivos. O efeito que esta incerteza tem nos objetivos de uma
organizao designa-se por risco.
Todas as atividades de uma organizao envolvem risco. As organizaes gerem o risco mediante a sua
identificao e anlise, aps o que avaliam a necessidade da sua alterao, tratando-o de forma a satisfazer os
seus critrios de risco. Ao longo deste processo comunicam e consultam com as partes interessadas,
monitorizando e revendo o risco e meios de controlo que esto a alter-lo, de forma a assegurarem que no
necessrio um tratamento de risco suplementar. Esta Norma descreve detalhadamente este processo
sistemtico e lgico.
o
ida nic
Apesar de todas as organizaes gerirem o risco de alguma forma, esta Norma estabelece um conjunto de
princpios que devero ser cumpridos de modo a tornar eficaz a gesto do risco. Esta Norma recomenda que
oib tr
as organizaes desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo
pr lec
integrar o processo para gerir o risco na governao, estratgia e planeamento, gesto, processos de reporte,
polticas, valores e cultura.
o o e
A gesto do risco pode ser aplicada a uma organizao na sua globalidade, nas suas diversas reas e nveis, a
u ent
Se bem que a prtica da gesto do risco tenha vindo a ser desenvolvida ao longo do tempo e em vrios
sectores de modo a responder a necessidades diversas, a adoo de processos consistentes numa estrutura
re doc
abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em
od
toda a organizao. A abordagem genrica descrita nesta Norma fornece os princpios e as linhas de
orientao para a gesto de qualquer tipo de risco de modo sistemtico, transparente e credvel, qualquer que
IP de
Cada sector especfico ou aplicao particular da gesto do risco implicam necessidades, pblicos, percees
e critrios prprios. Por esta razo uma caracterstica essencial desta Norma a incluso do estabelecimento
es
contexto vai permitir apreender os objetivos da organizao, o ambiente em que procura atingi-los, as suas
Im
partes interessadas e a diversidade dos critrios de risco que na sua globalidade ajudaro a identificar e
apreciar a natureza e complexidade dos seus riscos.
As relaes entre os princpios para a gesto do risco, a estrutura onde este ocorre e o processo de gesto do
risco descritos nesta Norma esto representados na Figura 1.
A implementao e manuteno da gesto do risco de acordo com esta Norma permitem a uma organizao,
por exemplo:
aumentar a verosimilhana de atingir os seus objetivos;
encorajar a gesto proativa;
estar ciente da necessidade de identificar e tratar os riscos em toda a organizao;
a identificao das oportunidades e ameaas;
cumprir as obrigaes legais e regulamentares e normas internacionais aplicveis;
melhorar os relatos obrigatrios e voluntrios;
melhorar a governao;
NP
ISO 31000
2012
p. 7 de 31
o
minimizar as perdas;
ida nic
melhorar a aprendizagem organizacional, e
melhorar a resilincia organizacional.
oib tr
pr lec
Esta Norma Internacional pretende responder s necessidades de uma grande diversidade de partes
o o e
interessadas, incluindo:
u ent
d) os que elaboram normas, guias, procedimentos e regras de boas prticas, que definem, total ou
IP de
parcialmente, como dever ser gerido o risco no contexto especfico destes documentos.
s o
As prticas e processos atuais da gesto de muitas organizaes incluem componentes de gesto do risco,
Q
tendo muitas organizaes j adotado um processo formal de gesto do risco, para determinados tipos de
es
risco ou circunstncias particulares. Nestes casos, uma organizao pode decidir realizar uma reviso crtica
dos seus processos e prticas existentes luz desta Norma.
pr
Im
Nesta Norma os termos ou expresses gesto do risco e gerir o risco so ambos utilizados. Em geral a
gesto do risco refere-se arquitetura (princpios, estrutura e processo) para gerir os riscos com eficcia,
enquanto que gerir o risco se refere aplicao dessa arquitetura a riscos particulares.
NP
2012
p. 8 de 31
ISO 31000
a) Cria valor
pr lec
i) Transparente e participada Avaliao do risco (5.4.4)
oib tr
Monitorizao
ida nic
j) Dinmica, iterativa e e reviso da o
reativa mudana estrutura (4.5)
Princpios
(seco 3) Estrutura Processo
(seco 4) (seco 5)
p. 9 de 31
A presente Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama de
atividades, incluindo estratgias e decises, operaes, processos, funes, projetos, produtos, servios e
ativos.
o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as
ida nic
consequncias sejam positivas ou negativas.
oib tr
Apesar da presente Norma fornecer linhas de orientao gerais, no se destina a promover a uniformidade da
gesto do risco nas organizaes. A conceo e a implementao dos planos e estruturas de gesto do risco
pr lec
necessitaro de ter em conta as diversas necessidades de uma organizao especfica, dos seus objetivos,
o o e
contexto, estrutura, operaes, processos, funes, projetos, produtos, servios, ativos e prticas especficas
utilizadas.
u ent
Pretende-se que esta Norma seja utilizada na harmonizao de processos da gesto do risco em normas
pr u m
existentes e futuras. A presente Norma permite uma abordagem comum de apoio s normas relativas a riscos
e/ou sectores especficos, no as substituindo.
re doc
2 Termos e definies
s o
2.1 risco
pr
p. 10 de 31
o
ida nic
2.4 poltica da gesto do risco
oib tr
Declarao das intenes gerais e da orientao de uma organizao em relao gesto do risco (2.2).
[Guia ISO 73:2009, definio 2.1.2]
pr lec
o o e
Programa includo na estrutura da gesto do risco (2.2) que especifica a abordagem, os componentes da
od
NOTA 1: Os elementos de gesto incluem tipicamente os procedimentos, as prticas, a atribuio de responsabilidades, a sequncia
e a calendarizao das atividades.
s o
Q
NOTA 2: O plano da gesto do risco poder ser aplicado a um produto, processo ou projeto especficos, a parte ou totalidade de
uma organizao.
es
p. 11 de 31
o
ida nic
Ambiente interno no qual a organizao procura atingir os seus objetivos.
oib tr
NOTA: O contexto interno pode incluir:
a governao, a estrutura organizacional, as funes e a responsabilizao;
pr lec
as polticas, os objetivos e as estratgias implementadas para os atingir;
o o e
as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);
u ent
a cultura da organizao;
re doc
Processos contnuos e iterativos que uma organizao conduz de forma a fornecer, partilhar ou obter
es
informaes, e para se envolver em dilogo com as partes interessadas (2.13), no que respeita gesto do
risco (2.1).
pr
Im
NOTA 1: A informao pode estar relacionada com a existncia, natureza, forma, verosimilhana (2.19), significncia, avaliao,
aceitabilidade, tratamento ou outros aspetos da gesto do risco.
NOTA 2: A consulta um processo de comunicao informada nos dois sentidos entre uma organizao e as respetivas partes
interessadas sobre determinado assunto, antes de ser tomada uma deciso ou ser definida uma orientao sobre esse assunto. A
consulta :
um processo que causa impacto na deciso mais pela influncia do que pelo poder, e;
um contributo para a tomada de deciso, no uma tomada de deciso conjunta.
p. 12 de 31
o
(2.1).
ida nic
NOTA: Uma fonte do risco pode ser tangvel ou intangvel.
oib tr
[Guia ISO 73:2009, definio 3.5.1.2] pr lec
2.17 evento
o o e
NOTA 1: Um evento pode consistir numa ou mais ocorrncias, e pode ter vrias causas.
NOTE 2: Um evento pode consistir em algo que no ocorra.
pr u m
NOTE 3: Um evento pode algumas vezes ser referido como um incidente ou acidente.
re doc
NOTE 4: Um evento sem consequncias (2.18) pode tambm ser referido como quase acidente, incidente ou quase sucesso.
od
2.18 consequncia
s o
2.19 verosimilhana
Possibilidade de algo ocorrer.
NOTA 1: Na terminologia da gesto do risco, a palavra verosimilhana utilizada para indicar a possibilidade de algo ocorrer,
quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e
descrita utilizando termos gerais ou matemticos [como uma probabilidade (2.19) ou uma frequncia num determinado perodo de
tempo].
NOTA 2: O termo ingls likelihood (verosimilhana) no tem uma equivalncia direta em algumas lnguas; em vez disso,
frequentemente utilizado como termo equivalente probability (probabilidade). No entanto, em ingls, o termo probability est
muitas vezes limitado sua interpretao matemtica. Por consequncia, na terminologia da gesto do risco, o termo likelihood
utilizado com a finalidade de que dever ter a mesma interpretao lata que o termo probability tem, em muitas outras lnguas
que no o ingls.
p. 13 de 31
o
NOTA 2: A anlise do risco inclui a estimao do risco.
ida nic
[Guia ISO 73:2009, definio 3.6.1]
oib tr
2.22 critrios do risco pr lec
Termos de referncia em relao aos quais a significncia de um risco (2.1) avaliada.
o o e
NOTA 1: Os critrios do risco so baseados nos objetivos da organizao e nos contextos externo (2.10) e interno (2.11).
NOTA 2: Os critrios do risco podem resultar de normas, leis, polticas e de outros requisitos.
u ent
Processo de comparao dos resultados da anlise do risco (2.21) com os critrios do risco (2.22) para
es
p. 14 de 31
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
2.26 controlo
Medida que modifica o risco (2.1).
NOTA 1: O controlo inclui qualquer processo, poltica, dispositivo, prtica ou outra ao que modifique o risco.
NOTA 2: O controlo poder nem sempre produzir o efeito modificador pretendido ou assumido.
o
ida nic
Risco (2.1) que subsiste aps o tratamento do risco (2.25).
oib tr
NOTA 1: Um risco residual pode incluir um risco no identificado.
NOTA 2: Um risco residual pode tambm ser designado como risco retido.
pr lec
[Guia ISO 73:2009, definio 3.8.1.6]
o o e
2.28 monitorizao
u ent
NOTA: A monitorizao pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo de gesto do risco (2.8), ao
re doc
2.29 reviso
s o
Atividade levada a cabo para determinar a adaptao, adequao e a eficcia, da matria visada para atingir
Q
os objetivos estabelecidos.
es
NOTA: A reviso pode ser aplicvel a uma estrutura da gesto do risco (2.3), a um processo de gesto do risco (2.8), ao risco ou ao
pr
3 Princpios
Para que a gesto do risco seja eficaz, uma organizao dever, a todos os nveis, atuar em conformidade
com os princpios abaixo referidos.
a) A gesto do risco cria e protege o valor.
A gesto do risco contribui para a consecuo demonstrvel de objetivos e melhoria do desempenho, como por
exemplo, na sade e segurana, security*), na conformidade legal e regulamentar, na aceitao pblica, na proteo
ambiental, na qualidade dos produtos, na gesto dos projetos, na eficincia das operaes, na governao e reputao.
*)
security no original em ingls, pode entender-se fundamentalmente como proteo e preservao das pessoas, bens e
informao quer tangvel quer intangvel (nota nacional).
NP
ISO 31000
2012
p. 15 de 31
o
ida nic
A gesto do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como
pode ser considerada.
oib tr
e) A gesto do risco sistemtica, estruturada e atempada.
pr lec
A abordagem sistemtica, atempada e estruturada da gesto do risco contribui para a eficincia e para
o o e
histricos, experincia, retorno da informao das partes interessadas, observaes, previses e pareceres
re doc
de especialistas. No entanto, os decisores devero informar-se e ter em conta quaisquer limitaes dos
od
p. 16 de 31
4 Estrutura
4.1 Generalidades
O sucesso da gesto do risco depender da eficcia da estrutura de gesto em fornecer os fundamentos e as
disposies que permitem a sua integrao em todos os nveis da organizao. A estrutura apoia uma gesto
eficaz dos riscos no decurso da aplicao do processo de gesto do risco (ver seco 5), em diferentes nveis
e em contextos especficos da organizao. A estrutura garante que a informao sobre o risco que decorre
do processo de gesto do risco corretamente reportada e serve de base tomada de deciso e
responsabilizao a todos os nveis da organizao envolvidos.
o
Esta seco descreve as componentes necessrias da estrutura, para gerir o risco e a forma como se
ida nic
interrelacionam de um modo iterativo, como mostra a Figura 2.
oib tr
Mandato e compromisso (4.2)
pr lec
o o e
u ent
Responsabilizao (4.3.3)
IP de
Recursos (4.3.5)
Q
internos (4.3.6)
pr
Im
Melhoria contnua da
Implementao da gesto do risco (4.4)
estrutura (4.6)
Implementao da estrutura para gerir o
risco (4.4.1)
Implementao do processo da gesto
do risco (4.4.2)
p. 17 de 31
Esta estrutura no se destina a prescrever um sistema de gesto, mas sim a apoiar a organizao, a integrar a
gesto do risco na globalidade do seu sistema de gesto. As organizaes devero, portanto, adaptar as
componentes da estrutura s suas necessidades especficas.
Se as prticas e processos de gesto existentes numa organizao incluem componentes da gesto do risco,
ou se a organizao j adotou um processo formal de gesto do risco para tipos de situaes ou de riscos
especficos, ento estes devero ser revistos de forma crtica e apreciados face presente Norma , incluindo
os atributos constantes do Anexo A, de forma a determinar a sua adequao e eficcia.
o
sustentado por parte da gesto de topo da organizao, bem como um planeamento estratgico e rigoroso
ida nic
para conduzir a um compromisso a todos os nveis. A gesto de topo dever:
oib tr
definir e aprovar a poltica de gesto do risco;
pr lec
assegurar que a cultura da organizao e a sua poltica de gesto do risco esto alinhadas;
o o e
p. 18 de 31
capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,
sistemas e tecnologias);
sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
relaes com as partes interessadas internas, suas percees e seus valores;
cultura da organizao;
normas, linhas de orientao e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.
o
4.3.2 Estabelecimento da poltica da gesto do risco
ida nic
A poltica da gesto do risco dever estabelecer de forma clara os objetivos e o compromisso da organizao,
oib tr
em matria de gesto do risco e tipicamente aborda o seguinte:
pr lec
a fundamentao da organizao para gerir o risco;
o o e
4.3.3 Responsabilizao
Im
A organizao dever assegurar que existe responsabilizao, autoridade e competncia apropriada para gerir
o risco, incluindo implementar e manter o processo de gesto do risco e assegurar a adequao, a eficcia e a
eficincia de quaisquer controlos. Isto, poder ser facilitado:
identificando os donos do risco que tm a responsabilizao e a autoridade para gerir riscos;
identificando quem responsabilizvel pela definio, implementao e manuteno da estrutura para
gerir o risco;
identificando outras responsabilidades de pessoas a todos os nveis da organizao no processo da gesto
do risco;
estabelecendo a medio do desempenho e processos de reporte interno e/ou externo e de transmisso a
um nvel superior;
assegurando nveis de reconhecimento apropriados.
p. 19 de 31
4.3.5 Recursos
A organizao dever afetar os recursos necessrios gesto do risco.
o
Dever ser tido em conta:
ida nic
pessoas, aptides, experincia e competncias;
oib tr
recursos necessrios a cada etapa do processo de gesto do risco;
pr lec
processos, mtodos e ferramentas da organizao a serem utilizados para gerir o risco;
o o e
programas de formao.
re doc
modificao subsequente;
es
a existncia de relatos internos adequados, relativos estrutura da gesto do risco, sua eficcia e aos
pr
seus resultados;
Im
p. 20 de 31
o
Para a implementao da estrutura para gerir o risco, a organizao dever:
ida nic
definir um calendrio apropriado e uma estratgia adequada para a implementao da estrutura;
oib tr
aplicar a poltica e o processo da gesto do risco aos processos organizacionais;
pr lec
cumprir os requisitos legais e regulamentares;
o o e
assegurar que a tomada de deciso, incluindo o desenvolvimento e estabelecimento dos objetivos, est
u ent
A gesto do risco dever ser implementada, assegurando que o processo da gesto do risco descrito na
Q
Seco 5, aplicado atravs de um plano de gesto do risco, a todos os nveis e funes da organizao
es
De modo a assegurar que a gesto do risco eficaz e continua a apoiar o desempenho organizacional, a
organizao dever:
medir o desempenho da gesto do risco face a indicadores revistos periodicamente, quanto sua
adequao;
medir periodicamente o progresso e os desvios em relao ao plano de gesto do risco;
rever periodicamente se a estrutura, a poltica e o plano de gesto do risco continuam apropriados face ao
contexto interno e externo da organizao;
elaborar relatrios sobre o risco, o progresso do plano de gesto do risco e como a poltica de gesto do
risco seguida;
rever a eficcia da estrutura da gesto do risco.
NP
ISO 31000
2012
p. 21 de 31
5 Processo
5.1 Generalidades
o
ida nic
uma parte integrante da gesto;
oib tr
integrado na cultura e prticas organizacionais;
pr lec
feito medida dos processos de negcio da organizao.
o o e
O processo de gesto do risco ilustrado na Figura 3 e compreende as atividades descritas nas seces 5.2 a
u ent
5.6.
pr u m
re doc
Comunicao e Monitorizao e
Im
p. 22 de 31
o
Uma abordagem da consulta em equipa poder:
ida nic
ajudar a estabelecer o contexto de forma apropriada;
oib tr
assegurar que os interesses das partes interessadas so compreendidos e considerados;
pr lec
ajudar a garantir que os riscos so identificados de forma adequada;
o o e
assegurar que diferentes pontos de vista so considerados de forma apropriada na definio dos critrios
de risco e na avaliao dos riscos;
pr u m
sobre risco baseados nas suas percees do risco. Estas percees do risco podem variar devido a diferenas
nos valores, necessidades, pressupostos, conceitos e preocupaes das partes interessadas. Dado que os seus
es
pontos de vista podem ter um impacto significativo nas decises tomadas, as percees das partes
pr
interessadas devero ser identificadas, registadas e tidas em considerao no processo de tomada de deciso.
Im
5.3.1 Generalidades
Atravs do estabelecimento do contexto, a organizao enuncia os seus objetivos, define os parmetros
internos e externos a ter em considerao quando se gere o risco bem, como o mbito e os critrios do risco
para as restantes partes do processo. Se bem que muitos destes parmetros sejam similares aos considerados
na conceo da estrutura da gesto do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo da
gesto do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se
relacionam com o mbito do processo especfico da gesto do risco.
p. 23 de 31
A compreenso do contexto externo importante para assegurar que os objetivos e preocupaes das partes
interessadas externas, so tidos em considerao aquando do desenvolvimento dos critrios do risco. O
contexto externo baseado no contexto global da organizao, mas com detalhes especficos dos exigncias
legais e requisitos regulamentares, das percees das partes interessadas e de outros aspetos especficos de
risco inerentes ao mbito do processo da gesto do risco.
O contexto externo pode incluir, mas no se limita:
s envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural
e competitiva, seja ao nvel internacional, nacional, regional ou local;
aos fatores chave e tendncias com impacto nos objetivos da organizao; e
o
ida nic
s relaes com as partes interessadas externas, suas percees e valores.
oib tr
5.3.3 Estabelecimento do contexto interno
pr lec
O contexto interno o ambiente interno no qual a organizao procura atingir os seus objetivos.
o o e
O processo de gesto do risco dever estar alinhado com a cultura, os processos, a estrutura e a estratgia da
organizao. O contexto interno tudo aquilo que no seio da organizao pode influenciar a forma como a
u ent
as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas,
processos, sistemas e tecnologias);
as relaes com as partes interessadas internas, suas percees e valores;
a cultura da organizao;
os sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
as normas, linhas de orientao e modelos adotados pela organizao;
a forma e extenso das relaes contratuais.
p. 24 de 31
o
a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e local;
ida nic
a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos
oib tr
ou atividades da organizao;
pr lec
a definio das metodologias da gesto do risco;
o o e
A considerao destes e de outros fatores pertinentes, dever assegurar que a abordagem da gesto do risco
od
adotada seja apropriada s circunstncias, organizao e aos riscos que esto a afetar a consecuo dos seus
IP de
objetivos.
s o
A organizao dever definir os critrios a serem utilizados para avaliar a significncia do risco. Os critrios
devero refletir os valores, objetivos e recursos da organizao. Alguns critrios podem ser impostos por, ou
pr
derivar de, exigncias legais e requisitos regulamentares e outros requisitos subscritos pela organizao. Os
Im
critrios do risco devero ser consistentes com a poltica da gesto do risco da organizao (ver 4.3.2), ser
definidos no incio de qualquer processo da gesto do risco e continuamente revistos.
Na definio dos critrios do risco, os fatores a considerar devero incluir o seguinte:
a natureza e tipos de causas e consequncias que podem ocorrer e como so medidas;
o modo como ser definida a verosimilhana;
o intervalo de tempo associado verosimilhana e/ou (s) consequncia(s);
o modo como determinado o nvel do risco;
os pontos de vista das partes interessadas;
o nvel a partir do qual o risco se torna aceitvel ou tolervel;
a considerao ou no de combinaes de mltiplos riscos e, em caso afirmativo, como e quais as
combinaes que devero ser consideradas.
NP
ISO 31000
2012
p. 25 de 31
5.4.1 Generalidades
A apreciao do risco o processo global de identificao do risco, anlise do risco e avaliao do risco.
NOTA: A ISO/IEC 31010 fornece orientao sobre tcnicas de apreciao do risco.
o
ida nic
retardar a consecuo dos objetivos. importante identificar os riscos associados ao facto de no se
perseguir uma oportunidade. A identificao abrangente crtica, pois um risco que no identificado nesta
oib tr
fase no ser includo em anlise posterior.
pr lec
A identificao dever incluir os riscos cuja fonte esteja ou no sob controlo da organizao, ainda que a
fonte ou causa do risco podero no ser evidentes. A identificao do risco dever incluir o exame das
o o e
ser evidentes. Assim como se identifica o que possa acontecer, tambm necessrio considerar possveis
pr u m
causas e cenrios que mostrem quais as consequncias que podem ocorrer. Todas as causas e consequncias
significativas devero ser consideradas.
re doc
od
A organizao dever utilizar tcnicas e ferramentas de identificao de riscos que sejam adequadas aos seus
objetivos e s suas capacidades, assim como aos riscos que enfrenta. Na identificao dos riscos importante
IP de
dispor de informao pertinente e atualizada. Sempre que possvel dever ser considerada informao de
base apropriada. Na identificao dos riscos devero ser envolvidas as pessoas com o conhecimento
s o
Q
adequado.
es
A anlise do risco implica desenvolver uma compreenso do risco. A anlise do risco fornece uma entrada
Im
para a avaliao do risco e para as decises quanto necessidade dos riscos serem tratados, e sobre as
estratgias e mtodos mais apropriados para o tratamento do risco. A anlise do risco pode tambm fornecer
uma entrada para a tomada de decises, onde as escolhas tenham que ser feitas e as opes envolvam
diferentes tipos e nveis de risco.
A anlise do risco implica considerar as causas e fontes de risco, as suas consequncias positivas e negativas
e a verosimilhana dessas consequncias ocorrerem. Devero ser identificados os fatores que afetam as
consequncias e a verosimilhana. O risco analisado, determinando as consequncias e as suas
verosimilhanas e outros atributos do risco. Um evento pode ter mltiplas consequncias e pode afetar
mltiplos objetivos. Os controlos existentes e a sua eficcia e eficincia, tambm devero ser tidos em
considerao.
O modo como as consequncias e a verosimilhana so expressas e o modo como so combinadas para
determinar um nvel de risco, devero refletir o tipo de risco, a informao disponvel e o propsito para o
qual a sada da apreciao do risco para ser utilizada. Tudo isto dever ser consistente com os critrios do
risco. Tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.
A confiana na determinao do nvel do risco e a sua sensibilidade a condies prvias e pressupostos
devero ser consideradas na anlise e comunicadas eficazmente aos decisores e, se apropriado, a outras
partes interessadas. Fatores tais como, divergncia de opinio entre especialistas, incerteza, disponibilidade,
NP
ISO 31000
2012
p. 26 de 31
o
ida nic
5.4.4 Avaliao do Risco
oib tr
A finalidade da avaliao do risco apoiar a tomada de decises, tendo por base os resultados da anlise do
pr lec
risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementao do tratamento.
A avaliao do risco envolve a comparao do nvel de risco identificado no decorrer do processo de anlise
o o e
com os critrios do risco, aquando da considerao do contexto. Com base nesta comparao a necessidade
u ent
riscos suportados pelas partes, que no a organizao que beneficia do risco. As decises devero ser
re doc
Em determinadas circunstncias a avaliao do risco pode levar a uma deciso de efetuar anlises adicionais.
IP de
A avaliao do risco pode tambm levar deciso de no efetuar o tratamento do risco, para alm de manter
os controlos existentes. Esta deciso ser influenciada pela atitude da organizao face ao risco e pelos
s o
5.5.1 Generalidades
Im
O tratamento do risco implica a seleo de uma ou mais opes para modificar os riscos e a implementao
dessas opes.
Uma vez implementados, os tratamentos proporcionam ou modificam controlos.
O tratamento do risco implica um processo cclico que inclui:
apreciar um tratamento do risco;
decidir se os nveis do risco residual so tolerveis;
se no forem tolerveis, gerar um novo tratamento do risco;
apreciar a eficcia desse tratamento.
As opes de tratamento do risco no tm que ser mutuamente exclusivas ou apropriadas em todas as
circunstncias. As opes podem incluir o seguinte:
a) evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;
b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;
NP
ISO 31000
2012
p. 27 de 31
o
ida nic
tais como a responsabilidade social e a proteo do ambiente natural. As decises devero tambm ter em
conta os riscos cujo tratamento no facilmente justificvel por motivos econmicos, por exemplo, riscos
oib tr
graves (elevada consequncia negativa) mas raros (baixa verosimilhana).
pr lec
Diversas opes de tratamento podero ser consideradas e aplicadas individualmente ou de forma
combinada. A organizao normalmente poder beneficiar da adoo de uma combinao de opes de
o o e
tratamento.
u ent
Ao selecionar as opes de tratamento do risco, a organizao dever considerar os valores e percees das
partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as opes
pr u m
de tratamento do risco possam ter impacto no risco de outras reas da organizao ou das partes interessadas,
re doc
todas devero ser envolvidas na deciso. Embora igualmente eficazes, alguns tratamentos do risco podero
od
ser mais aceitveis para algumas partes interessadas do que para outras.
IP de
O tratamento do risco pode por si s introduzir riscos. A falha ou a ineficcia das medidas de tratamento do
risco pode constituir um risco significativo. A monitorizao dever ser uma parte integrante do plano de
es
O tratamento do risco pode tambm introduzir riscos secundrios que precisam de ser apreciados, tratados,
Im
monitorizados e revistos. Estes riscos secundrios devero ser incorporados no mesmo plano de tratamento
do risco original e no tratados como novos riscos. A ligao entre os dois riscos dever ser identificada e
mantida.
p. 28 de 31
Os planos de tratamento devero ser integrados com os processos de gesto da organizao e discutidos com
as partes interessadas apropriadas.
Os decisores e outras partes interessadas devero estar cientes da natureza e dimenso do risco residual aps
o tratamento do risco. O risco residual dever ser documentado e sujeito a monitorizao, reviso e, onde
apropriado, tratamento posterior.
o
As responsabilidades pela monitorizao e reviso devero estar claramente definidas.
ida nic
Os processos de monitorizao e reviso da organizao devero abranger todos os aspetos do processo de
oib tr
gesto do risco com o objetivo de: pr lec
assegurar que os controlos so eficazes e eficientes, quer na conceo, quer na operao;
o o e
detetar alteraes no contexto externo e interno, incluindo alteraes aos critrios do risco e ao prprio
re doc
risco, que podem requerer a reviso dos tratamentos do risco e das prioridades;
od
O progresso na implementao dos planos de tratamento do risco fornece uma medida do desempenho. Os
s o
resultados podem ser incorporados na gesto global do desempenho da organizao, na sua medio e nas
Q
conforme apropriado, e devero ser usados tambm, como uma entrada para a reviso da estrutura da gesto
do risco (ver 4.5).
Im
As atividades de gesto do risco devero ser rastreveis. No processo de gesto do risco, os registos
fornecem a base para melhoria dos mtodos e das ferramentas, bem como do processo na sua globalidade.
As decises relativas criao de registos devero ter em conta:
as necessidades de aprendizagem contnua da organizao;
os benefcios da reutilizao da informao para efeitos de gesto;
os custos e os esforos envolvidos na criao e manuteno dos registos;
as necessidades legais, regulamentares e operacionais de registos;
o mtodo de acesso, a facilidade de consulta e os meios de armazenamento;
o perodo de reteno;
a sensibilidade da informao.
NP
ISO 31000
2012
p. 29 de 31
Anexo A
(informativo)
A.1 Generalidades
Todas as organizaes devero procurar atingir um nvel apropriado do desempenho da sua estrutura de
o
gesto do risco em linha com a criticidade das decises que tero de ser tomadas. A lista dos atributos abaixo
ida nic
apresentada, representa um alto nvel de desempenho ao gerir o risco. Para apoiar as organizaes na
medio do seu prprio desempenho relativamente a estes critrios, so fornecidos alguns indicadores
oib tr
tangveis para cada atributo. pr lec
o o e
A.2.1 A organizao tem uma compreenso atual, correta e abrangente dos seus riscos.
pr u m
A.3 Atributos
IP de
Isto pode ser indicado pela existncia de objetivos de desempenho explcitos, relativamente aos quais so
Im
p. 30 de 31
o
ida nic
Tal pode ser indicado pelos registos das reunies e decises, evidenciando que tiveram lugar discusses
explcitas sobre o risco. Adicionalmente, dever ser possvel ver que todas as componentes da gesto do
oib tr
risco esto representadas nos processos chave de tomada de deciso na organizao, por exemplo, em
pr lec
decises para atribuio de capital, para projetos importantes e para a reestruturao ou mudanas da
organizao. Por estas razes, uma gesto do risco consistente vista dentro da organizao como a base
o o e
A gesto do risco reforada inclui comunicaes continuadas com as partes interessadas, quer externas quer
internas, incluindo reporte exaustivo e frequente do desempenho da gesto do risco, como parte da boa
re doc
governao.
od
Isto pode ser indicado pela comunicao com as partes interessadas como uma componente integrante e
IP de
essencial da gesto do risco. A comunicao corretamente vista como um processo de dois sentidos, de tal
modo que decises adequadamente informadas, possam ser tomadas quanto ao nvel do risco e necessidade
s o
Q
O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho
da gesto do risco, contribui substancialmente para uma governao eficaz no seio da organizao.
pr
Im
p. 31 de 31
Bibliografia
o
ida nic
oib tr
pr lec
o o e
u ent
pr u m
re doc
od
IP de
s o
Q
es
pr
Im