npiso031000 2013 gestão risco

7/25/2019 NPISO031000 2013 Gesto Risco

1/30

NormaPortuguesa

NPISO 310002013

Gesto do riscoPrincpios e linhas de orientao(ISO 31000:2009)

Management du risquePrincipes et lignes directrices(ISO 31000:2009)

Risk managementPrinciples and guidelines(ISO 31000:2009)

ICS03.100.01

CORRESPOND NCIAVerso portuguesa da ISO 31000:2009

HOMOLOGA OTermo de Homologao n. 47/2013, de 2013-02-20A presente Norma resulta da reviso da NP ISO 31000:2012(Ed. 1)

ELABORA OCT 180 (APQ)

2 EDIOfevereiro de 2013

C DIGO DE PREOX008

IPQ reproduo proibida

Rua Antnio Gio, 22829-513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 948 101E-mail: [email protected] Internet: www.ipq.pt


2/30

Prembulo nacionalA presente Norma idntica Norma ISO 31000:2009, Risk management Principles and guidelines.

Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de

propriedade intelectual ou a direitos anlogos. A ISO no deve ser considerada responsvel por no teridentificado tais direitos de propriedade intelectual nem por no ter avisado da sua existncia.

A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete da gesto tcnica da ISO relativo Gestodo risco.

Esta Norma contm cor. A impresso pode no reproduzir as cores apresentadas na verso eletrnica destaNorma.

A presente Norma foi preparada pela Comisso Tcnica de Normalizao CT 180 Gesto do risco, cujacoordenao assegurada pelo Organismo de Normalizao Setorial, Associao Portuguesa para aQualidade (ONS/APQ).

A reviso da NP ISO 31000:2012 constante nesta Norma refere-se formatao e s correes

editorais.


3/30

NPISO 310002013

p. 3de 30

Sumrio Pgina

Prembulo nacional .................................................................................................................................... 2

Introduo ................................................................................................................................................... 5

1 Objetivo e campo de aplicao ............................................................................................................... 8

2 Termos e definies ................................................................................................................................. 8

3 Princpios .................................................................................................................................................. 13

4 Estrutura .................................................................................................................................................. 154.1 Generalidades ......................................................................................................................................... 15

4.2 Mandato e compromisso ........................................................................................................................ 16

4.3 Conceo da estrutura para gerir o risco ................................................................................................ 16

4.3.1 Compreenso da organizao e do seu contexto ................................................................................. 16

4.3.2 Estabelecimento da poltica da gesto do risco ................................................................................... 17

4.3.3 Responsabilizao ............................................................................................................................... 17

4.3.4 Integrao nos processos organizacionais ........................................................................................... 17

4.3.5 Recursos .............................................................................................................................................. 18

4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos ............................................... 18

4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos.............................................. 18

4.4 Implementao da gesto do risco .......................................................................................................... 19

4.4.1 Implementao da estrutura para gerir o risco..................................................................................... 19

4.4.2 Implementao do processo da gesto do risco ................................................................................... 19

4.5 Monitorizao e reviso da estrutura ...................................................................................................... 19

4.6 Melhoria contnua da estrutura ............................................................................................................... 19

5 Processo .................................................................................................................................................... 20

5.1 Generalidades ......................................................................................................................................... 20

5.2 Comunicao e consulta ......................................................................................................................... 20

5.3 Estabelecimento do contexto .................................................................................................................. 21

5.3.1 Generalidades ...................................................................................................................................... 21

5.3.2 Estabelecimento do contexto externo .................................................................................................. 21


4/30

NPISO 310002013

p. 4de 30

5.3.3 Estabelecimento do contexto interno ................................................................................................... 22

5.3.4 Estabelecimento do contexto do processo da gesto do risco ............................................................. 22

5.3.5 Definio dos critrios do risco ........................................................................................................... 23

5.4 Apreciao do risco ................................................................................................................................ 23

5.4.1 Generalidades ...................................................................................................................................... 23

5.4.2 Identificao do risco .......................................................................................................................... 23

5.4.3 Anlise do risco ................................................................................................................................... 24

5.4.4 Avaliao do risco ............................................................................................................................... 25

5.5 Tratamento do risco ................................................................................................................................ 25

5.5.1 Generalidades ...................................................................................................................................... 25

5.5.2 Seleo de opes de tratamento do risco ........................................................................................... 25

5.5.3 Preparao e implementao dos planos de tratamento do risco ......................................................... 26

5.6 Monitorizao e reviso ......................................................................................................................... 26

5.7 Registo do processo da gesto do risco .................................................................................................. 27

Anexo A (informativo)Atributos da gesto do risco reforada .............................................................. 28

Bibliografia ................................................................................................................................................. 30


5/30

NPISO 310002013

p. 5de 30

IntroduoAs organizaes de todos os tipos e dimenses enfrentam fatores e influncias, internos e externos, quetornam incerto se, e quando, atingiro os seus objetivos. O efeito que esta incerteza tem nos objetivos deuma organizao designa-se por risco.

Todas as atividades de uma organizao envolvem risco. As organizaes gerem o risco mediante a suaidentificao e anlise, aps o que avaliam a necessidade da sua alterao, tratando-o de forma a satisfazeros seus critrios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas,monitorizando e revendo o risco e meios de controlo que esto a alter-lo, de forma a assegurarem que no necessrio um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processosistemtico e lgico.

Apesar de todas as organizaes gerirem o risco de alguma forma, esta Norma estabelece um conjunto deprincpios que devero ser cumpridos de modo a tornar eficaz a gesto do risco. Esta Norma recomenda queas organizaes desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo integrar o processo para gerir o risco na governao, estratgia e planeamento, gesto, processos de reporte,polticas, valores e cultura.

A gesto do risco pode ser aplicada a uma organizao na sua globalidade, nas suas diversas reas e nveis,a qualquer momento, bem como a funes, projetos e atividades especficos.

Se bem que a prtica da gesto do risco tenha vindo a ser desenvolvida ao longo do tempo e em vriossectores de modo a responder a necessidades diversas, a adoo de processos consistentes numa estruturaabrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em

toda a organizao. A abordagem genrica descrita nesta Norma fornece os princpios e as linhas deorientao para a gesto de qualquer tipo de risco de modo sistemtico, transparente e credvel, qualquerque seja o mbito e o contexto.

Cada setor especfico ou aplicao particular da gesto do risco implicam necessidades, pblicos, perceese critrios prprios. Por esta razo uma caracterstica essencial desta Norma a incluso doestabelecimento do contexto como a atividade inicial do processo genrico da gesto do risco. Oestabelecimento do contexto vai permitir apreender os objetivos da organizao, o ambiente em que procuraatingi-los, as suas partes interessadas e a diversidade dos critrios do risco que na sua globalidadeajudaro a identificar e apreciar a natureza e complexidade dos seus riscos.

As relaes entre os princpios para a gesto do risco, a estrutura onde esta ocorre e o processo da gesto dorisco descritos nesta Norma esto representados na Figura 1.

A implementao e manuteno da gesto do risco de acordo com esta Norma permitem a umaorganizao, por exemplo:

aumentar a verosimilhana de atingir os seus objetivos;

encorajar a gesto proativa;

estar ciente da necessidade de identificar e tratar o risco em toda a organizao;

melhorar a identificao das oportunidades e ameaas;

cumprir as obrigaes legais e regulamentares e normas internacionais aplicveis;

melhorar os relatos obrigatrios e voluntrios;

melhorar a governao;

aumentar a confiana das partes interessadas e a credibilidade da organizao;


6/30

NPISO 310002013

p. 6de 30

estabelecer uma base fivel para tomada de decises e planeamento;

melhorar os controlos;

afetar e utilizar os recursos no tratamento do risco de forma eficaz;

melhorar a eficcia e a eficincia operacionais;

reforar o desempenho no domnio da segurana e sade, bem como na proteo ambiental;

melhorar a preveno de perdas e a gesto de incidentes;

minimizar as perdas;

melhorar a aprendizagem organizacional; melhorar a resilincia organizacional.

Esta Norma pretende responder s necessidades de uma grande diversidade de partes interessadas,incluindo:

a) os responsveis pela elaborao da poltica da gesto do risco dentro da sua organizao;

b) as pessoas encarregadas de assegurar que o risco gerido eficazmente na organizao como um todo, ounuma rea, projeto ou atividade especficos;

c) as pessoas que necessitam de avaliar a eficcia da organizao para gerir o risco;

d) os que elaboram normas, guias, procedimentos e regras de boas prticas, que definem, total ou

parcialmente, como dever ser gerido o risco no contexto especfico destes documentos.As prticas e processos atuais da gesto de muitas organizaes incluem componentes da gesto do risco,tendo muitas organizaes j adotado um processo formal da gesto do risco, para determinados tipos derisco ou circunstncias particulares. Nestes casos, uma organizao pode decidir realizar uma reviso crticados seus processos e prticas existentes luz desta Norma.

Nesta Norma os termos ou expresses gesto do risco e gerir o risco so ambos utilizados. Em geral agesto do risco refere-se arquitetura (princpios, estrutura e processo) para gerir os riscos com eficcia,enquanto que gerir o risco se refere aplicao dessa arquitetura a riscos particulares.


7/30

NPISO 310002013

p. 7de 30

Monitorizao e reviso (5.6)

Estabelecimentodocontexto

(5.3)

Apreciaodorisco(5.4

)

Identificaodo

risco(5.4.2

)

Anlisedorisco(5.4.3

)

Avaliaodorisco(5.4.4

)

Tratamentodo

risco(5.5

)

Processo

(seco5)

Mandatoe

compromisso

(4.2

)

Conceodaestrutura

paragerirorisco

(4.3

)

Impleme

ntao

dagestodorisco

(4.4

)

Monitorizao

erevisoda

estrutura(4.5

)

Melhoria

contnuada

estrutura

(4.6

)

Estrutura

(seco4)

Figura 1 Relaes entre os princpios, a estrutura e o processo da gesto do risco

a)Criavalor

b)Parteintegrantedetodosos

processosorganizacionais

c)Partedatomadadedeciso

d)Consideraexplicitamentea

incerteza

e)Sistemtica,estruturadae

atempada

f)Baseia-senamelhor

informaodisponvel

g)Feitamedida

h)Tememcontafatores

humanoseculturais

i)Transparenteeparticipada

j)Dinmica,iterativaereativa

mudana

k)Facilitaamelhoriacontnua

eamelhoriadaorganizao

Princpios

(seco3)

Comunicaoeconsulta(5.2)

Monitorizaoereviso(5.6)


8/30

NPISO 310002013

p. 8de 30

1 Objetivo e campo de aplicaoEsta Norma fornece princpios e linhas de orientao gerais sobre a gesto do risco.

A presente Norma pode ser utilizada por qualquer empresa pblica, privada ou comunitria, associao,grupo ou indivduo. Por esta razo a presente Norma no especfica de qualquer indstria ou setor.

NOTA: Por convenincia, todos os utilizadores da presente Norma so referidos pelo termo genrico de organizao.

A presente Norma pode ser aplicada ao longo da vida de uma organizao e a uma ampla gama deatividades, incluindo estratgias e decises, operaes, processos, funes, projetos, produtos, servios eativos.

A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer asconsequncias sejam positivas ou negativas.

Apesar da presente Norma fornecer linhas de orientao gerais, no se destina a promover a uniformidadeda gesto do risco nas organizaes. A conceo e a implementao dos planos e estruturas da gesto dorisco necessitaro de ter em conta as diversas necessidades de uma organizao especfica, dos seusobjetivos, contexto, estrutura, operaes, processos, funes, projetos, produtos, servios, ativos e prticasespecficas utilizadas.

Pretende-se que esta Norma seja utilizada na harmonizao dos processos da gesto do risco em normasexistentes e futuras. A presente Norma permite uma abordagem comum de apoio s normas relativas ariscos e/ou setores especficos, no as substituindo.

A presente Norma no se destina a fins de certificao.

2 Termos e definies

Para os fins da presente Norma aplicam-se os seguintes termos e definies:

2.1 riscoEfeito da incerteza na consecuo dos objetivos.

NOTA 1: Um efeito um desvio, positivo ou negativo, relativamente ao esperado.

NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de sade e segurana, ambientais, entre outros) e podem seraplicados a diferentes nveis (estratgico, em toda a organizao, de projeto, de produto e de processo).

NOTA 3: O risco frequentemente caracterizado pela referncia aos eventos (2.17) potenciais e consequncias (2.18), ou

combinao de ambos.

NOTA 4: O risco frequentemente expresso como a combinao das consequncias de um dado evento (incluindo alterao dascircunstncias) e a respetivaprobabilidade(2.19) de ocorrncia.

NOTA 5: A incerteza o estado, ainda que parcial, de deficincia de informao relacionado com a compreenso ou

conhecimento de um evento, sua consequncia ou probabilidade.

[Guia ISO 73:2009, definio 1.1]

2.2 gesto do riscoAtividades coordenadas para dirigir e controlar uma organizao no que respeita ao risco(2.1).



9/30

NPISO 310002013

p. 9de 30

2.3 estrutura da gesto do riscoConjunto de elementos que fornecem os fundamentos e disposies organizacionais, para conceber,implementar, monitorizar (2.28), rever e melhorar continuamente a gesto do risco (2.2), em toda aorganizao.

NOTA 1:Os fundamentos incluem a poltica, os objetivos, o mandato e o compromisso para gerir orisco(2.1).

NOTA 2: As disposies organizacionais incluem os planos, as relaes, a responsabilizao, os recursos, os processos e as

atividades.

NOTA 3:A estrutura da gesto do risco parte integrante das polticas estratgicas e operacionais globais e das prticas da

organizao.

[Guia ISO 73:2009, definio 2.1.1]

2.4 poltica da gesto do riscoDeclarao das intenes gerais e da orientao de uma organizao em relao gesto do risco(2.2).


2.5 atitude face ao riscoAbordagem da organizao para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco(2.1).

[Guia ISO 73:2009, definio 3.7.1.1]

2.6 plano da gesto do riscoPrograma includo na estrutura da gesto do risco(2.2) que especifica a abordagem, os componentes da

gesto e os recursos a aplicar gesto do risco(2.1).NOTA 1: Os elementos da gesto incluem tipicamente os procedimentos, as prticas, a atribuio de responsabilidades, asequncia e a calendarizao das atividades.

NOTA 2:O plano da gesto do risco poder ser aplicado a um produto, processo ou projeto especficos, a parte ou totalidade de

uma organizao.


2.7 dono do riscoPessoa ou entidade com a responsabilizao e com a autoridade para gerir o risco(2.1).


2.8 processo da gesto do riscoAplicao sistemtica de polticas, procedimentos e prticas da gesto s atividades de comunicao,consulta, estabelecimento do contexto e identificao, anlise, avaliao, tratamento, monitorizao(2.28)e reviso do risco(2.1).


2.9 estabelecimento do contextoDefinio dos parmetros externos e internos a ter em considerao quando se gere o risco e se define ombito e o critrio do risco(2.22), para a poltica da gesto do risco(2.4).



10/30

NPISO 310002013

p. 10de 30

2.10 contexto externoAmbiente externo no qual a organizao procura atingir os seus objetivos.

NOTA:O contexto externo pode incluir:

o ambiente cultural, social, poltico, legal, regulamentar, financeiro, tecnolgico, econmico, natural e concorrencial, a nvel

internacional, nacional, regional ou local;

os fatores chave e tendncias com impacto nos objetivos da organizao; e

as relaes com aspartes interessadas(2.13) externas, as suas percees e valores.


2.11 contexto interno

Ambiente interno no qual a organizao procura atingir os seus objetivos.NOTA:O contexto interno pode incluir:

a governao, a estrutura organizacional, as funes e a responsabilizao;

as polticas, os objetivos e as estratgias implementadas para os atingir;

as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias);

os sistemas de informao, os fluxos de informao e processos de tomada de deciso (formais e informais);

as relaes com as partes interessadas internas, as suas percees e valores;

a cultura da organizao;

as normas, linhas de orientao e modelos adotados pela organizao;

a forma e extenso das relaes contratuais.


2.12 comunicao e consultaProcessos contnuos e iterativos que uma organizao conduz de forma a fornecer, partilhar ou obterinformaes, e para se envolver em dilogo com as partes interessadas(2.13), no que respeita gesto dorisco(2.1).

NOTA 1:A informao pode estar relacionada com a existncia, natureza, forma, verosimilhana(2.19), significncia, avaliao,aceitabilidade, tratamento ou outros aspetos da gesto do risco.

NOTA 2:A consulta um processo de comunicao informada nos dois sentidos entre uma organizao e as respetivas partesinteressadas sobre determinado assunto, antes de ser tomada uma deciso ou ser definida uma orientao sobre esse assunto. A

consulta :

um processo que causa impacto na deciso mais pela influncia do que pelo poder, e;

um contributo para a tomada de deciso, no uma tomada de deciso conjunta.


2.13 partes interessadasPessoa ou organizao que pode afetar, ser afetada ou sentir-se afetada por uma deciso ou atividade.

NOTA:Quem exerce o poder de deciso pode ser uma parte interessada.


2.14 apreciao do risco

Processo global de identificao do risco(2.15), de anlise do risco(2.21) e de avaliao do risco(2.24).[Guia ISO 73:2009, definio 3.4.1]


11/30

NPISO 310002013

p. 11de 30

2.15 identificao do riscoProcesso de pesquisa, de reconhecimento e de descrio dos riscos(2.1).

NOTA 1: A identificao do risco envolve a identificao das fontes do risco (2.16), dos eventos (2.17), respetivas causas epotenciaisconsequncias (2.18).

NOTA 2: A identificao do risco pode recorrer a dados histricos, a anlises tericas, a opinies informadas e de especialistas eter em considerao as necessidades daspartes interessadas (2.13).


2.16 fonte do riscoO elemento que, por si s ou em combinao com outros, tem o potencial intrnseco de originar um risco

(2.1).NOTA:Uma fonte do risco pode ser tangvel ou intangvel.


2.17 eventoOcorrncia ou alterao de um conjunto particular de circunstncias.

NOTA 1: Um evento pode consistir numa ou mais ocorrncias, e pode ter vrias causas.

NOTE 2:Um evento pode consistir em algo que no ocorra.

NOTE 3: Um evento pode algumas vezes ser referido como um incidente ou acidente.

NOTE 4: Um evento sem consequncias (2.18) pode tambm ser referido como quase acidente, incidente ou quase

sucesso.


2.18 consequnciaResultado de um evento(2.17) que afeta objetivos.

NOTA 1: Um evento pode levar a um conjunto de consequncias.

NOTA 2:Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos.

NOTA 3:As consequncias pode ser expressas qualitativa ou quantitativamente.

NOTA 4:As consequncias iniciais pode intensificar-se atravs de reaes em cadeia.


2.19 verosimilhanaPossibilidade de algo ocorrer.

NOTA 1: Na terminologia da gesto do risco, a palavra verosimilhana utilizada para indicar a possibilidade de algo ocorrer,

quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e

descrita utilizando termos gerais ou matemticos [como umaprobabilidade(2.19) ou uma frequncia num determinado perodo detempo].

NOTA 2: O termo ingls likelihood (verosimilhana) no tem uma equivalncia direta em algumas lnguas; em vez disso,

frequentemente utilizado como termo equivalente probability (probabilidade). No entanto, em ingls, o termo probability est

muitas vezes limitado sua interpretao matemtica. Por consequncia, na terminologia da gesto do risco, o termo likelihood

utilizado com a finalidade de que dever ter a mesma interpretao lata que o termo probability tem, em muitas outras lnguas

que no o ingls.



12/30

NPISO 310002013

p. 12de 30

2.20 perfil do riscoDescrio de um qualquer conjunto de riscos(2.1).

NOTA:O conjunto de riscos pode incluir os riscos que digam respeito a toda a organizao, a parte da organizao ou ao queestiver definido.


2.21 anlise do riscoProcesso destinado a compreender a natureza do risco(2.1) e a determinar o nvel do risco(2.23).

NOTA 1:A anlise do risco fornece a base para aavaliao do risco(2.24) e as decises sobre otratamento do risco(2.25).

NOTA 2:A anlise do risco inclui a estimao do risco.


2.22 critrios do riscoTermos de referncia em relao aos quais a significncia de um risco(2.1) avaliada.

NOTA 1:Os critrios do risco so baseados nos objetivos da organizao e nos contextos externo(2.10) e interno (2.11).

NOTA 2:Os critrios do risco podem resultar de normas, leis, polticas e de outros requisitos.


2.23 nvel do riscoMagnitude de um risco (2.1) ou combinao de riscos, expressa em termos da combinao de

consequncias(2.18) e respetivas verosimilhanas(2.19).[Guia ISO 73:2009, definio 3.6.1.8]

2.24 avaliao do riscoProcesso de comparao dos resultados da anlise do risco(2.21) com os critrios do risco(2.22) paradeterminar se o risco(2.1) e/ou a respetiva magnitude aceitvel ou tolervel.

NOTA:A avaliao do risco apoia a deciso sobre otratamento do risco(2.25).


2.25 tratamento do riscoProcesso para modificar o risco(2.1).

NOTA 1: O tratamento do risco pode envolver o seguinte:

evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;

assumir ou aumentar o risco de forma a perseguir uma oportunidade;

remover afonte do risco(2.16);

alterar a verosimilhana(2.19);

alterar asconsequncias(2.18);

partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];

reter o risco com base em deciso informada.

NOTA 2:Os tratamentos do risco que lidam com consequncias negativas, so por vezes referidos como mitigao do risco,eliminao do risco, preveno do risco e reduo do risco.


13/30

NPISO 310002013

p. 13de 30

NOTA 3:O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.


2.26 controloMedida que modifica o risco (2.1).

NOTA 1:O controlo inclui qualquer processo, poltica, dispositivo, prtica ou outra ao que modifique o risco.

NOTA 2:O controlo poder nem sempre produzir o efeito modificador pretendido ou assumido.


2.27 risco residual

Risco(2.1) que subsiste aps o tratamento do risco(2.25).NOTA 1:Um risco residual pode incluir um risco no identificado.

NOTA 2:Um risco residual pode tambm ser designado como risco retido.


2.28 monitorizaoVerificao, superviso, observao crtica ou a determinao do estado, de modo a identificarcontinuadamente alteraes do nvel de desempenho requerido ou esperado.

NOTA:A monitorizao pode ser aplicvel a uma estrutura dagesto do risco(2.3), a umprocesso da gesto do risco(2.8), aorisco(2.1) ou aocontrolo(2.26) do risco.


2.29 revisoAtividade levada a cabo para determinar a adaptao, adequao e a eficcia, da matria visada para atingiros objetivos estabelecidos.

NOTA:A reviso pode ser aplicvel a uma estrutura da gesto do risco(2.3), a umprocesso da gesto do risco(2.8), aoriscoou

aocontrolo(2.26) de um risco.


3 Princpios

Para que a gesto do risco seja eficaz, uma organizao dever, a todos os nveis, atuar em conformidadecom os princpios abaixo referidos.

a) A gesto do risco cria e protege o valor.

A gesto do risco contribui para a consecuo demonstrvel de objetivos e melhoria do desempenho,como por exemplo, na sade e segurana, security*), na conformidade legal e regulamentar, na aceitaopblica, na proteo ambiental, na qualidade dos produtos, na gesto dos projetos, na eficincia dasoperaes, na governao e reputao.

*) security no original em ingls, pode entender-se fundamentalmente como proteo e preservao das pessoas, bens e

informao quer tangvel quer intangvel (nota nacional).


14/30

NPISO 310002013

p. 14de 30

b) A gesto do risco parte integrante de todos os processos organizacionais.

A gesto do risco no uma atividade isolada, separada das atividades principais e dos processos daorganizao. A gesto do risco faz parte das responsabilidades da gesto e uma parte integrante detodos os processos organizacionais, incluindo o planeamento estratgico e todos os processos da gestode projetos e da gesto da mudana.

c) A gesto do risco parte da tomada de deciso.

A gesto do risco apoia os decisores na escolha informada, na priorizao das aes e na diferenciaoentre linhas de ao alternativas.

d) A gesto do risco considera explicitamente a incerteza.

A gesto do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma comopode ser considerada.

e) A gesto do risco sistemtica, estruturada e atempada.

Uma abordagem sistemtica, atempada e estruturada da gesto do risco contribui para a eficincia epara resultados consistentes, comparveis e fiveis.

f) A gesto do risco baseia-se na melhor informao disponvel.

As entradas do processo para gerir o risco baseiam-se em fontes de informao tais como dadoshistricos, experincia, retorno da informao das partes interessadas, observaes, previses epareceres de especialistas. No entanto, os decisores devero informar-se e ter em conta quaisquerlimitaes dos dados ou modelos utilizados ou a possibilidade de existncia de divergncias entreespecialistas.

g) A gesto do risco feita medida.

A gesto do risco alinhada com os contextos externo e interno e com o perfil do risco da organizao.

h) A gesto do risco tem em conta fatores humanos e culturais.

A gesto do risco reconhece as competncias, percees e intenes de pessoas externas e internas organizao que possam facilitar ou impedir a consecuo dos objetivos da organizao.

i) A gesto do risco transparente e participada.

O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os

nveis da organizao, assegura que a gesto do risco permanece pertinente e atualizada. Oenvolvimento permite tambm, que as partes interessadas sejam devidamente representadas e que osseus pontos de vista sejam tidos em conta na determinao dos critrios do risco.

j) A gesto do risco dinmica, iterativa e reativa mudana.

A gesto do risco deteta e responde, continuamente, mudana. medida que ocorrem eventosexternos e internos, que o contexto e o conhecimento se alteram e que tm lugar a monitorizao e areviso, emergem novos riscos, alguns alteram-se e outros desaparecem.

k) A gesto do risco facilita a melhoria contnua da organizao.

As organizaes devero elaborar e implementar estratgias visando melhorar a maturidade da suagesto do risco, assim como em todos os outros aspetos da organizao.

O Anexo A disponibiliza aconselhamento suplementar para as organizaes que desejem gerir o riscode forma mais eficaz.


15/30

NPISO 310002013

p. 15de 30

4 Estrutura

4.1 Generalidades

O sucesso da gesto do risco depender da eficcia da estrutura da gesto em fornecer os fundamentos e asdisposies que permitem a sua integrao em todos os nveis da organizao. A estrutura apoia uma gestoeficaz dos riscos no decurso da aplicao do processo da gesto do risco (ver seco 5), em diferentes nveise em contextos especficos da organizao. A estrutura garante que a informao sobre o risco que decorredo processo da gesto do risco corretamente reportada e serve de base tomada de deciso e responsabilizao a todos os nveis da organizao envolvidos.

Esta seco descreve as componentes necessrias da estrutura para gerir o risco e a forma como seinterrelacionam de um modo iterativo, como mostra a Figura 2.

Figura 2 Relaes entre as componentes da estrutura para gerir o risco

Mandato e compromisso (4.2)

Conceo da estrutura para gerir o risco (4.3)

Compreenso da organizao e do seu contexto (4.3.1)

Estabelecimento da poltica da gesto do risco (4.3.2)

Responsabilizao (4.3.3)

Integrao nos processos organizacionais (4.3.4)

Recursos (4.3.5)

Estabelecimento de mecanismos de comunicao e de relato

internos (4.3.6)

Estabelecimento de mecanismos de comunicao e de relato

externos (4.3.7)

Implementao da gesto do risco (4.4)

Implementao da estrutura para gerir o

risco (4.4.1)

Implementao do processo da gestodo risco 4.4.2

Monitorizao e reviso da estrutura (4.5)

Melhoria contnua daestrutura (4.6)


16/30

NPISO 310002013

p. 16de 30

Esta estrutura no se destina a prescrever um sistema de gesto, mas sim a apoiar a organizao, a integrar agesto do risco na globalidade do seu sistema de gesto. As organizaes devero, portanto, adaptar ascomponentes da estrutura s suas necessidades especficas.

Se as prticas e processos da gesto existentes numa organizao incluem componentes da gesto do risco,ou se a organizao j adotou um processo formal da gesto do risco para tipos de situaes ou de riscosespecficos, ento estes devero ser revistos de forma crtica e apreciados face presente Norma, incluindoos atributos constantes do Anexo A, de forma a determinar a sua adequao e eficcia.

4.2 Mandato e compromisso

A introduo da gesto do risco e assegurar a sua contnua eficcia requerem um compromisso forte e

sustentado por parte da gesto de topo da organizao, bem como um planeamento estratgico e rigorosopara conduzir a um compromisso a todos os nveis. A gesto de topo dever:

definir e aprovar a poltica da gesto do risco;

assegurar que a cultura da organizao e a sua poltica da gesto do risco esto alinhadas;

determinar indicadores de desempenho da gesto do risco coerentes com os indicadores de desempenhoda organizao;

alinhar os objetivos da gesto do risco com os objetivos e estratgias da organizao;

assegurar a conformidade legal e regulamentar;

atribuir responsabilizaes e responsabilidades aos nveis apropriados da organizao;

assegurar que os recursos necessrios so alocados gesto do risco;

comunicar as vantagens da gesto do risco a todas as partes interessadas;

assegurar que a estrutura para gerir o risco se mantm apropriada.

4.3 Conceo da estrutura para gerir o risco

4.3.1 Compreenso da organizao e do seu contexto

Antes de iniciar a conceo e implementao da estrutura para gerir o risco, importante avaliar ecompreender o contexto interno e externo da organizao, dado que podem influenciar significativamente a

conceo da estrutura.A avaliao do contexto externo de uma organizao poder incluir, nomeadamente:

a) envolventes social e cultural, poltica, legal, regulamentar, financeira, tecnolgica, econmica, natural ecompetitiva, quer ao nvel internacional, nacional, regional ou local;

b) fatores chave e tendncias que tenham impacto sobre os objetivos da organizao;

c) relaes com as partes interessadas externas, suas percees e seus valores.

A avaliao do contexto interno de uma organizao poder incluir, nomeadamente:

governao, estrutura organizacional, funes e responsabilizaes;

polticas, objetivos e as estratgias implementadas para os alcanar;


17/30

NPISO 310002013

p. 17de 30

capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos,sistemas e tecnologias);

sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);

relaes com as partes interessadas internas, suas percees e seus valores;

cultura da organizao;

normas, linhas de orientao e modelos adotados pela organizao;

forma e extenso das relaes contratuais.

4.3.2 Estabelecimento da poltica da gesto do riscoA poltica da gesto do risco dever estabelecer de forma clara os objetivos e o compromisso daorganizao, em matria da gesto do risco e tipicamente aborda o seguinte:

a fundamentao da organizao para gerir o risco;

ligaes entre os objetivos e as polticas da organizao e a poltica da gesto do risco;

responsabilizaes e responsabilidades para gerir o risco;

a forma como se lida com os conflitos de interesses;

compromisso em disponibilizar os recursos necessrios para apoiar as pessoas responsabilizveis eresponsveis por gerir o risco;

a forma como o desempenho da gesto do risco ser medido e relatado;

o compromisso para rever e melhorar a poltica e a estrutura da gesto do risco, periodicamente e emresposta a um evento ou alterao de circunstncias.

A poltica da gesto do risco dever ser comunicada de forma apropriada.

4.3.3 Responsabilizao

A organizao dever assegurar que existe responsabilizao, autoridade e competncia apropriada paragerir o risco, incluindo implementar e manter o processo da gesto do risco e assegurar a adequao, aeficcia e a eficincia de quaisquer controlos. Isto, poder ser facilitado:

identificando os donos do risco que tm a responsabilizao e a autoridade para gerir riscos; identificando quem responsabilizvel pela definio, implementao e manuteno da estrutura para

gerir o risco;

identificando outras responsabilidades de pessoas a todos os nveis da organizao no processo dagesto do risco;

estabelecendo a medio do desempenho e processos de reporte interno e/ou externo e de transmisso aum nvel superior;

assegurando nveis de reconhecimento apropriados.

4.3.4 Integrao nos processos organizacionais

A gesto do risco dever ser integrada em todos os processos e prticas da organizao, de modo a serpertinente, eficaz e eficiente. O processo da gesto do risco dever tornar-se parte e no ser separado desses


18/30

NPISO 310002013

p. 18de 30

processos organizacionais. Em particular, a gesto do risco dever ser integrada no desenvolvimento dapoltica, no planeamento estratgico e do negcio e na sua reviso, e nos processos da gesto da mudana.

Dever existir um plano da gesto do risco para toda a organizao de modo a assegurar que a poltica dagesto do risco implementada e que a gesto do risco integrada em todos os processos e prticas daorganizao. O plano da gesto do risco poder ser integrado noutros planos organizacionais, como porexemplo o plano estratgico.

4.3.5 Recursos

A organizao dever afetar os recursos necessrios gesto do risco.

Dever ser tido em conta:

pessoas, aptides, experincia e competncias;

recursos necessrios a cada etapa do processo da gesto do risco;

processos, mtodos e ferramentas da organizao a serem utilizados para gerir o risco;

processos e procedimentos documentados;

sistemas da gesto da informao e do conhecimento;

programas de formao.

4.3.6 Estabelecimento de mecanismos de comunicao e de relato internos

A organizao dever estabelecer e implementar mecanismos de comunicao e de relato internos paraapoiar e encorajar a responsabilizao e a apropriao do risco. Estes mecanismos devero assegurar:

a comunicao apropriada dos componentes chave da estrutura da gesto do risco e de qualquermodificao subsequente;

a existncia de relatos internos adequados, relativos estrutura da gesto do risco, sua eficcia e aosseus resultados;

a disponibilidade de informao pertinente, resultante da aplicao da gesto do risco, nos nveis e notempo apropriados;

a existncia de processos de consulta das partes interessadas internas.

Estes mecanismos devero incluir, onde apropriado, processos que permitam consolidar as informaesrelativas ao risco, provenientes de diversas fontes, e podero ter necessidade de considerar a sensibilidadeda informao.

4.3.7 Estabelecimento de mecanismos de comunicao e de relato externos

A organizao dever elaborar e implementar um plano, quanto ao modo como comunicar com as partesinteressadas externas. Tal dever ter em considerao:

o envolvimento das partes interessadas externas apropriadas e assegurar uma troca eficaz deinformao;

os relatos externos para cumprimento dos requisitos legais, regulamentares e da governao;

providenciar o retorno e o relato da comunicao e consulta;

utilizar a comunicao para criar confiana na organizao;


19/30


20/30

NPISO 310002013

p. 20de 30

5 Processo

5.1 Generalidades

O processo da gesto do risco dever ser:

uma parte integrante da gesto;

integrado na cultura e prticas organizacionais;

feito medida dos processos de negcio da organizao.

O processo da gesto do risco ilustrado na Figura 3 e compreende as atividades descritas nas seces 5.2 a5.6.

v

Figura 3 Processo da gesto do risco

5.2 Comunicao e consulta

A comunicao com e a consulta s partes interessadas, internas e externas, devero ocorrer durante todasas fases do processo da gesto do risco.

Desta forma, os planos para comunicao e consulta devero ser desenvolvidos numa fase inicial do

processo. Estes planos devero abordar as questes relacionadas com o prprio risco, as suas causas, as suasconsequncias (se conhecidas) e as medidas que esto a ser tomadas para o tratar. Uma eficaz comunicaoe consulta, interna e externa, dever ter lugar de forma a assegurar que os responsveis pela implementao

Monitorizao ereviso (5.6)

Estabelecimento do contexto (5.3)

Apreciao do risco (5.4)

Tratamento do risco (5.5)

Avaliao do risco (5.4.4)

Anlise do risco (5.4.3)

Identificao do risco (5.4.2)

Comunicao econsulta (5.2)


21/30

NPISO 310002013

p. 21de 30

do processo da gesto do risco e as partes interessadas compreendem os fundamentos das decises tomadas,e as razes pelas quais so necessrias aes especficas.

Uma abordagem da consulta em equipa poder:

ajudar a estabelecer o contexto de forma apropriada;

assegurar que os interesses das partes interessadas so compreendidos e considerados;

ajudar a garantir que os riscos so identificados de forma adequada;

reunir diferentes reas de especializao para analisar riscos;

assegurar que diferentes pontos de vista so considerados de forma apropriada na definio dos critrios

do risco e na avaliao dos riscos; garantir a adeso e o apoio a um plano de tratamento do risco;

potenciar a gesto apropriada da mudana durante o processo da gesto do risco;

desenvolver um plano adequado de comunicao e consulta interna e externa.

A comunicao e consulta com as partes interessadas so importantes, uma vez que estas produzem juzossobre risco baseados nas suas percees do risco. Estas percees do risco podem variar devido a diferenasnos valores, necessidades, pressupostos, conceitos e preocupaes das partes interessadas. Dado que os seuspontos de vista podem ter um impacto significativo nas decises tomadas, as percees das partesinteressadas devero ser identificadas, registadas e tidas em considerao no processo de tomada dedeciso.

A comunicao e a consulta devero facilitar trocas de informao verdadeira, pertinente, precisa ecompreensvel, respeitando os aspetos de confidencialidade e de integridade pessoal.

5.3 Estabelecimento do contexto

5.3.1 Generalidades

Atravs do estabelecimento do contexto, a organizao enuncia os seus objetivos, define os parmetrosinternos e externos a ter em considerao quando se gere o risco, bem como o mbito e os critrios do riscopara as restantes partes do processo. Se bem que muitos destes parmetros sejam similares aos consideradosna conceo da estrutura da gesto do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo

da gesto do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como serelacionam com o mbito do processo especfico da gesto do risco.

5.3.2 Estabelecimento do contexto externo

O contexto externo o ambiente externo no qual a organizao procura atingir os seus objetivos.

A compreenso do contexto externo importante para assegurar que os objetivos e preocupaes das partesinteressadas externas, so tidos em considerao aquando do desenvolvimento dos critrios do risco. Ocontexto externo baseado no contexto global da organizao, mas com detalhes especficos dos exignciaslegais e requisitos regulamentares, das percees das partes interessadas e de outros aspetos especficos dorisco inerentes ao mbito do processo da gesto do risco.


22/30


23/30

NPISO 310002013

p. 23de 30

a definio do mbito, bem como, a profundidade e a amplitude das atividades da gesto do risco aserem desenvolvidas, compreendendo incluses e excluses especficas;

a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e local;

a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processosou atividades da organizao;

a definio das metodologias da apreciao do risco;

a definio da forma como o desempenho e eficcia so avaliados na gesto do risco;

a identificao e a especificao das decises que tm que ser tomadas;

a identificao, mbito ou enquadramento dos estudos necessrios, a sua extenso e objetivos, bem comoos recursos necessrios para tais estudos.

A considerao destes e de outros fatores pertinentes, dever assegurar que a abordagem da gesto do riscoadotada seja apropriada s circunstncias, organizao e aos riscos que esto a afetar a consecuo dosseus objetivos.

5.3.5 Definio dos critrios do risco

A organizao dever definir os critrios a serem utilizados para avaliar a significncia do risco. Oscritrios devero refletir os valores, objetivos e recursos da organizao. Alguns critrios podem serimpostos por, ou derivar de, exigncias legais e requisitos regulamentares e outros requisitos subscritos pelaorganizao. Os critrios do risco devero ser consistentes com a poltica da gesto do risco da organizao

(ver 4.3.2), ser definidos no incio de qualquer processo da gesto do risco e continuamente revistos.Na definio dos critrios do risco, os fatores a considerar devero incluir o seguinte:

a natureza e tipos de causas e consequncias que podem ocorrer e como so medidas;

o modo como ser definida a verosimilhana;

o intervalo de tempo associado verosimilhana e/ou (s) consequncia(s);

o modo como determinado o nvel do risco;

os pontos de vista das partes interessadas;

o nvel a partir do qual o risco se torna aceitvel ou tolervel;

a considerao ou no de combinaes de mltiplos riscos e, em caso afirmativo, como e quais ascombinaes que devero ser consideradas.

5.4 Apreciao do risco

5.4.1 Generalidades

A apreciao do risco o processo global de identificao do risco, anlise do risco e avaliao do risco.

NOTA:A ISO/IEC 31010 fornece orientao sobre tcnicas de apreciao do risco.

5.4.2 Identificao do risco

A organizao dever identificar fontes do risco, reas de impacto, eventos (incluindo alteraes dascircunstncias), respetivas causas e potenciais consequncias. O objetivo desta etapa gerar uma listaabrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou


24/30

NPISO 310002013

p. 24de 30

retardar a consecuo dos objetivos. importante identificar os riscos associados ao facto de no seperseguir uma oportunidade. A identificao abrangente crtica, pois um risco que no identificado nestafase no ser includo em anlise posterior.

A identificao dever incluir os riscos cuja fonte esteja ou no sob controlo da organizao, ainda que afonte ou causa do risco podero no ser evidentes. A identificao do risco dever incluir o exame dasreaes em cadeia, incluindo os efeitos em cascata e cumulativos, de consequncias particulares. Deverainda considerar um domnio alargado de consequncias, ainda que a fonte ou a causa do risco podero noser evidentes. Assim como se identifica o que possa acontecer, tambm necessrio considerar possveiscausas e cenrios que mostrem quais as consequncias que podem ocorrer. Todas as causas e consequnciassignificativas devero ser consideradas.

A organizao dever utilizar tcnicas e ferramentas de identificao de riscos que sejam adequadas aosseus objetivos e s suas capacidades, assim como aos riscos que enfrenta. Na identificao dos riscos importante dispor de informao pertinente e atualizada. Sempre que possvel dever ser consideradainformao de base apropriada. Na identificao dos riscos devero ser envolvidas as pessoas com oconhecimento adequado.

5.4.3 Anlise do risco

A anlise do risco implica desenvolver uma compreenso do risco. A anlise do risco fornece uma entradapara a avaliao do risco e para as decises quanto necessidade dos riscos serem tratados, e sobre asestratgias e mtodos mais apropriados para o tratamento do risco. A anlise do risco pode tambm forneceruma entrada para a tomada de decises, onde as escolhas tenham que ser feitas e as opes envolvam

diferentes tipos e nveis do risco.A anlise do risco implica considerar as causas e fontes do risco, as suas consequncias positivas enegativas e a verosimilhana dessas consequncias ocorrerem. Devero ser identificados os fatores queafetam as consequncias e a verosimilhana. O risco analisado, determinando as consequncias e as suasverosimilhanas e outros atributos do risco. Um evento pode ter mltiplas consequncias e pode afetarmltiplos objetivos. Os controlos existentes e a sua eficcia e eficincia, tambm devero ser tidos emconsiderao.

O modo como as consequncias e a verosimilhana so expressas e o modo como so combinadas paradeterminar um nvel de risco, devero refletir o tipo de risco, a informao disponvel e o propsito para oqual a sada da apreciao do risco para ser utilizada. Tudo isto dever ser consistente com os critrios dorisco. Tambm importante considerar a interdependncia dos diferentes riscos e suas fontes.

A confiana na determinao do nvel do risco e a sua sensibilidade a condies prvias e pressupostosdevero ser consideradas na anlise e comunicadas eficazmente aos decisores e, se apropriado, a outraspartes interessadas. Fatores tais como, divergncia de opinio entre especialistas, incerteza, disponibilidade,qualidade, quantidade e da continuada pertinncia da informao ou limitaes na modelao, devero serdeclarados e podem ser realados.

A anlise do risco pode ser efetuada com graus de detalhe variveis, dependendo do risco, da finalidade daanlise e da informao, dos dados e recursos disponveis. A anlise pode ser qualitativa, semi-quantitativaou quantitativa, ou uma combinao destas, dependendo das circunstncias.

As consequncias e a sua verosimilhana podem ser determinadas pela modelao dos resultados de umevento ou conjunto de eventos, por extrapolao a partir de estudos experimentais ou a partir de dadosdisponveis. As consequncias podem ser expressas em termos de impactos tangveis e intangveis. Nalgunscasos requerido mais do que um valor numrico ou descritor para especificar as consequncias e a suaverosimilhana para diferentes tempos, locais, grupos ou situaes.


25/30

NPISO 310002013

p. 25de 30

5.4.4 Avaliao do risco

A finalidade da avaliao do risco apoiar a tomada de decises, tendo por base os resultados da anlise dorisco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementao do tratamento.

A avaliao do risco envolve a comparao do nvel do risco identificado no decorrer do processo deanlise com os critrios do risco, aquando da considerao do contexto. Com base nesta comparao anecessidade de tratamento pode ser considerada.

As decises devero ter em conta o contexto alargado do risco e incluir consideraes sobre a tolerncia dosriscos suportados pelas partes, que no a organizao que beneficia do risco. As decises devero sertomadas de acordo com as exigncias legais, regulamentares e outros requisitos.

Em determinadas circunstncias a avaliao do risco pode levar a uma deciso de efetuar anlisesadicionais. A avaliao do risco pode tambm levar deciso de no efetuar o tratamento do risco, paraalm de manter os controlos existentes. Esta deciso ser influenciada pela atitude da organizao face aorisco e pelos critrios do risco que foram estabelecidos.

5.5 Tratamento do risco

5.5.1 Generalidades

O tratamento do risco implica a seleo de uma ou mais opes para modificar os riscos e a implementaodessas opes. Uma vez implementados, os tratamentos proporcionam ou modificam controlos.

O tratamento do risco implica um processo cclico que inclui:

apreciar um tratamento do risco;

decidir se os nveis do risco residual so tolerveis;

se no forem tolerveis, gerar um novo tratamento do risco;

apreciar a eficcia desse tratamento.

As opes de tratamento do risco no tm que ser mutuamente exclusivas ou apropriadas em todas ascircunstncias. As opes podem incluir o seguinte:

a) evitar o risco mediante deciso de no iniciar ou continuar a atividade portadora do risco;

b) assumir ou aumentar o risco de forma a perseguir uma oportunidade;

c)

remover a fonte do risco;

d) alterar a verosimilhana;

e) alterar as consequncias;

f) partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];

g) reter o risco com base em deciso informada.

5.5.2 Seleo de opes de tratamento do risco

A seleo da opo de tratamento do risco mais apropriada implica comparar os custos e os esforos da suaimplementao com os benefcios resultantes, tendo em conta os requisitos legais, regulamentares e outros

tais como a responsabilidade social e a proteo do ambiente natural. As decises devero tambm ter emconta os riscos cujo tratamento no facilmente justificvel por motivos econmicos, por exemplo, riscosgraves (elevada consequncia negativa) mas raros (baixa verosimilhana).


26/30

NPISO 310002013

p. 26de 30

Diversas opes de tratamento podem ser consideradas e aplicadas individualmente ou de formacombinada. A organizao normalmente pode beneficiar da adoo de uma combinao de opes detratamento.

Ao selecionar as opes de tratamento do risco, a organizao dever considerar os valores e percees daspartes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que asopes de tratamento do risco possam ter impacto no risco de outras reas da organizao ou das partesinteressadas, todas devero ser envolvidas na deciso. Embora igualmente eficazes, alguns tratamentos dorisco podem ser mais aceitveis para algumas partes interessadas do que para outras.

O plano de tratamento dever claramente identificar a ordem de prioridade de implementao dostratamentos individuais do risco.

O tratamento do risco pode por si s introduzir riscos. A falha ou a ineficcia das medidas de tratamento dorisco pode constituir um risco significativo. A monitorizao dever ser uma parte integrante do plano detratamento do risco, de forma a garantir que as medidas permaneam eficazes.

O tratamento do risco pode tambm introduzir riscos secundrios que precisam de ser apreciados, tratados,monitorizados e revistos. Estes riscos secundrios devero ser incorporados no mesmo plano de tratamentodo risco original e no tratados como novos riscos. A ligao entre os dois riscos dever ser identificada emantida.

5.5.3 Preparao e implementao dos planos de tratamento do risco

O objetivo dos planos de tratamento do risco documentar a forma como as opes de tratamento

escolhidas sero implementadas. A informao fornecida nos planos de tratamento dever incluir: as razes para a seleo das opes de tratamento, incluindo os benefcios que se espera obter;

os que so responsabilizados pela aprovao do plano e os responsveis pela implementao do plano;

as aes propostas;

os requisitos de recursos incluindo contingncias;

as medidas do desempenho e constrangimentos;

os requisitos de relato e monitorizao;

a calendarizao e o cronograma.

Os planos de tratamento devero ser integrados com os processos de gesto da organizao e discutidoscom as partes interessadas apropriadas.

Os decisores e outras partes interessadas devero estar cientes da natureza e dimenso do risco residualaps o tratamento do risco. O risco residual dever ser documentado e sujeito a monitorizao, reviso e,onde apropriado, tratamento posterior.

5.6 Monitorizao e reviso

A monitorizao e a reviso devero ser uma parte planeada do processo da gesto do risco e envolververificao ou vigilncia regular. Pode ser peridica ou ad hoc.

As responsabilidades pela monitorizao e reviso devero estar claramente definidas.

Os processos de monitorizao e reviso da organizao devero abranger todos os aspetos do processo dagesto do risco com o objetivo de:


27/30

NPISO 310002013

p. 27de 30

assegurar que os controlos so eficazes e eficientes, quer na conceo, quer na operao;

obter informao adicional para melhorar a apreciao do risco;

analisar e aprender com os eventos (incluindo os quase-acidentes), mudanas, tendncias, sucessos efalhas;

detetar alteraes no contexto externo e interno, incluindo alteraes aos critrios do risco e ao prpriorisco, que podem requerer a reviso dos tratamentos do risco e das prioridades;

identificar os riscos emergentes.

O progresso na implementao dos planos de tratamento do risco fornece uma medida do desempenho. Os

resultados podem ser incorporados na gesto global do desempenho da organizao, na sua medio e nasatividades de reporte externo e interno.

Os resultados da monitorizao e reviso devero ser registados e reportados externa e internamenteconforme apropriado, e devero ser usados tambm, como uma entrada para a reviso da estrutura da gestodo risco (ver 4.5).

5.7 Registo do processo da gesto do risco

As atividades da gesto do risco devero ser rastreveis. No processo da gesto do risco, os registosfornecem a base para melhoria dos mtodos e das ferramentas, bem como do processo na sua globalidade.

As decises relativas criao de registos devero ter em conta:

as necessidades de aprendizagem contnua da organizao;

os benefcios da reutilizao da informao para efeitos de gesto;

os custos e os esforos envolvidos na criao e manuteno dos registos;

as necessidades legais, regulamentares e operacionais de registos;

o mtodo de acesso, a facilidade de consulta e os meios de armazenamento;

o perodo de reteno;

a sensibilidade da informao.


28/30

NPISO 310002013

p. 28de 30

Anexo A(informativo)

Atributos da gesto do risco reforada

A.1 GeneralidadesTodas as organizaes devero procurar atingir um nvel apropriado do desempenho da sua estrutura dagesto do risco em linha com a criticidade das decises que tero de ser tomadas. A lista dos atributos

abaixo apresentada, representa um alto nvel de desempenho ao gerir o risco. Para apoiar as organizaes namedio do seu prprio desempenho relativamente a estes critrios, so fornecidos alguns indicadorestangveis para cada atributo.

A.2 Resultados chave

A.2.1 A organizao tem uma compreenso atual, correta e abrangente dos seus riscos.

A.2.2Os riscos da organizao esto dentro dos seus critrios do risco.

A.3 Atributos

A.3.1 Melhoria contnua

A nfase colocada na melhoria contnua da gesto do risco atravs do estabelecimento de objetivos dodesempenho organizacional, da medio, da reviso e da subsequente modificao dos processos, sistemas,recursos, capacidades e competncias.

Isto pode ser indicado pela existncia de objetivos de desempenho explcitos, relativamente aos quais somedidos os desempenhos da organizao e do gestor. O desempenho da organizao pode ser publicado ecomunicado. Habitualmente, existir pelo menos uma reviso anual do desempenho e a subsequente revisodos processos e o estabelecimento de objetivos do desempenho, revistos para o perodo seguinte.

A avaliao de desempenho da gesto do risco uma parte integrante da avaliao do desempenho globalda organizao e do sistema de avaliao para departamentos e indivduos.

A.3.2 Responsabilizao total pelos riscos

A gesto do risco reforada inclui uma responsabilizao abrangente, completamente definida eintegralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivduos designadosaceitam integralmente a responsabilizao, possuem competncias apropriadas e dispem dos recursosadequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmenteacerca dos riscos e respetiva gesto s partes interessadas externas e internas.

Tal pode ser indicado pelo facto de todos os membros de uma organizao estarem totalmente cientes dosriscos, controlos e tarefas pelos quais so responsveis. Usualmente, tal estar registado nas descries defuno/cargo, bases de dados ou sistemas de informao. A definio das funes na gesto do risco,responsabilizao e responsabilidades devero fazer parte de todos os programas de acolhimento eintegrao de uma organizao.


29/30

NPISO 310002013

p. 29de 30

A organizao assegura que aqueles que so responsabilizados esto aptos para cumprir a sua funoatribuindo-lhes autoridade, tempo, formao e treino, recursos e competncias suficientes para assumirem asua responsabilizao.

A.3.3 Aplicao da gesto do risco em todas as tomadas de deciso

Todas as tomadas de deciso no seio da organizao, qualquer que seja o respetivo nvel de importncia esignificncia, envolvem consideraes explcitas do risco e a aplicao da gesto do risco a um nveladequado.

Tal pode ser indicado pelos registos das reunies e decises, evidenciando que tiveram lugar discussesexplcitas sobre o risco. Adicionalmente, dever ser possvel ver que todas as componentes da gesto do

risco esto representadas nos processos chave de tomada de deciso na organizao, por exemplo, emdecises para atribuio de capital, para projetos importantes e para a reestruturao ou mudanas daorganizao. Por estas razes, uma gesto do risco consistente vista dentro da organizao como a basepara a governao eficaz.

A.3.4 Comunicaes continuadas

A gesto do risco reforada inclui comunicaes continuadas com as partes interessadas, quer externas querinternas, incluindo reporte exaustivo e frequente do desempenho da gesto do risco, como parte da boagovernao.

Isto pode ser indicado pela comunicao com as partes interessadas como uma componente integrante eessencial da gesto do risco. A comunicao corretamente vista como um processo de dois sentidos, de tal

modo que decises adequadamente informadas, possam ser tomadas quanto ao nvel do risco e necessidade de tratamento do risco face a critrios do risco adequadamente estabelecidos e abrangentes.

O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenhoda gesto do risco, contribui substancialmente para uma governao eficaz no seio da organizao.

A.3.5 Integrao total na estrutura de governao da organizao

A gesto do risco vista como central nos processos da gesto da organizao, de tal forma que os riscosso considerados em termos do efeito da incerteza na consecuo dos objetivos. A estrutura e o processo degovernao so baseados na gesto do risco. A gesto do risco eficaz considerada pelos gestores, comosendo essencial para a consecuo dos objetivos da organizao.

Isto indicado atravs da linguagem dos gestores e dos documentos relevantes da organizao usando otermo incerteza associado aos riscos. Este atributo tambm normalmente refletido nas declaraes depoltica da organizao, particularmente nas relacionadas com a gesto do risco. Normalmente, este atributoser verificado atravs de entrevistas com os gestores e atravs da evidncia das suas aes e declaraes.


30/30

NPISO 310002013

p. 30de 30

Bibliografia

[1] Guia ISO 73:2009 Risk management Vocabulary

[2] ISO/IEC 31010 Risk management Risk assessment techniques

npiso031000 2013 gestão risco

Documents