Norma Portuguesa
NP ISO 31000 2013
Gestão do risco Princípios e linhas de orientação (ISO 31000:2009) Management du risque Principes et lignes directrices (ISO 31000:2009)
Im
ICS 03.100.01
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Risk management Principles and guidelines (ISO 31000:2009)
CORRESPONDÊNCIA Versão portuguesa da ISO 31000:2009
HOMOLOGAÇÃO Termo de Homologação n.º 47/2013, de 2013-02-20 A presente Norma resulta da revisão da NP ISO 31000:2012 (Ed. 1)
ELABORAÇÃO CT 180 (APQ) 2ª EDIÇÃO fevereiro de 2013 CÓDIGO DE PREÇO X008
IPQ reprodução proibida
Rua António Gião, 2 2829-513 CAPARICA Tel. + 351-212 948 100 E-mail:
[email protected]
PORTUGAL Fax + 351-212 948 101 Internet: www.ipq.pt
Preâmbulo nacional A presente Norma é idêntica à Norma ISO 31000:2009, “Risk management – Principles and guidelines”. Pode acontecer que alguns dos elementos do presente documento podem estar sujeitos a direitos de propriedade intelectual ou a direitos análogos. A ISO não deve ser considerada responsável por não ter identificado tais direitos de propriedade intelectual nem por não ter avisado da sua existência. A ISO 31000 foi elaborada pelo grupo de trabalho do gabinete da gestão técnica da ISO relativo à Gestão do risco. Esta Norma contém cor. A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta Norma. A presente Norma foi preparada pela Comissão Técnica de Normalização CT 180 “Gestão do risco”, cuja coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa para a Qualidade (ONS/APQ).
Im
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
A revisão da NP ISO 31000:2012 constante nesta Norma refere-se à formatação e às correções editorais.
NP ISO 31000 2013 p. 3 de 30
Sumário
Página
Preâmbulo nacional....................................................................................................................................
2
Introdução ...................................................................................................................................................
5
1 Objetivo e campo de aplicação ...............................................................................................................
8
2 Termos e definições .................................................................................................................................
8
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
3 Princípios.................................................................................................................................................. 13 4 Estrutura .................................................................................................................................................. 15 4.1 Generalidades ......................................................................................................................................... 15 4.2 Mandato e compromisso ........................................................................................................................ 16 4.3 Conceção da estrutura para gerir o risco ................................................................................................ 16 4.3.1 Compreensão da organização e do seu contexto ................................................................................. 16 4.3.2 Estabelecimento da política da gestão do risco ................................................................................... 17 4.3.3 Responsabilização ............................................................................................................................... 17 4.3.4 Integração nos processos organizacionais ........................................................................................... 17 4.3.5 Recursos .............................................................................................................................................. 18 4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos ............................................... 18 4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos .............................................. 18
Im
4.4 Implementação da gestão do risco.......................................................................................................... 19 4.4.1 Implementação da estrutura para gerir o risco..................................................................................... 19 4.4.2 Implementação do processo da gestão do risco ................................................................................... 19 4.5 Monitorização e revisão da estrutura ...................................................................................................... 19 4.6 Melhoria contínua da estrutura ............................................................................................................... 19 5 Processo .................................................................................................................................................... 20 5.1 Generalidades ......................................................................................................................................... 20 5.2 Comunicação e consulta ......................................................................................................................... 20 5.3 Estabelecimento do contexto .................................................................................................................. 21 5.3.1 Generalidades ...................................................................................................................................... 21 5.3.2 Estabelecimento do contexto externo .................................................................................................. 21
NP ISO 31000 2013 p. 4 de 30
5.3.3 Estabelecimento do contexto interno................................................................................................... 22 5.3.4 Estabelecimento do contexto do processo da gestão do risco ............................................................. 22 5.3.5 Definição dos critérios do risco ........................................................................................................... 23 5.4 Apreciação do risco ................................................................................................................................ 23 5.4.1 Generalidades ...................................................................................................................................... 23 5.4.2 Identificação do risco .......................................................................................................................... 23
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
5.4.3 Análise do risco ................................................................................................................................... 24 5.4.4 Avaliação do risco ............................................................................................................................... 25 5.5 Tratamento do risco ................................................................................................................................ 25 5.5.1 Generalidades ...................................................................................................................................... 25 5.5.2 Seleção de opções de tratamento do risco ........................................................................................... 25 5.5.3 Preparação e implementação dos planos de tratamento do risco......................................................... 26 5.6 Monitorização e revisão ......................................................................................................................... 26 5.7 Registo do processo da gestão do risco .................................................................................................. 27 Anexo A (informativo) Atributos da gestão do risco reforçada .............................................................. 28
Im
Bibliografia ................................................................................................................................................. 30
NP ISO 31000 2013 p. 5 de 30
Introdução As organizações de todos os tipos e dimensões enfrentam fatores e influências, internos e externos, que tornam incerto se, e quando, atingirão os seus objetivos. O efeito que esta incerteza tem nos objetivos de uma organização designa-se por “risco”.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Todas as atividades de uma organização envolvem risco. As organizações gerem o risco mediante a sua identificação e análise, após o que avaliam a necessidade da sua alteração, tratando-o de forma a satisfazer os seus critérios do risco. Ao longo deste processo comunicam e consultam com as partes interessadas, monitorizando e revendo o risco e meios de controlo que estão a alterá-lo, de forma a assegurarem que não é necessário um tratamento do risco suplementar. Esta Norma descreve detalhadamente este processo sistemático e lógico. Apesar de todas as organizações gerirem o risco de alguma forma, esta Norma estabelece um conjunto de princípios que deverão ser cumpridos de modo a tornar eficaz a gestão do risco. Esta Norma recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cujo objetivo é integrar o processo para gerir o risco na governação, estratégia e planeamento, gestão, processos de reporte, políticas, valores e cultura. A gestão do risco pode ser aplicada a uma organização na sua globalidade, nas suas diversas áreas e níveis, a qualquer momento, bem como a funções, projetos e atividades específicos. Se bem que a prática da gestão do risco tenha vindo a ser desenvolvida ao longo do tempo e em vários sectores de modo a responder a necessidades diversas, a adoção de processos consistentes numa estrutura abrangente pode contribuir para assegurar que o risco seja gerido de forma eficaz, eficiente e coerente em toda a organização. A abordagem genérica descrita nesta Norma fornece os princípios e as linhas de orientação para a gestão de qualquer tipo de risco de modo sistemático, transparente e credível, qualquer que seja o âmbito e o contexto.
Im
Cada setor específico ou aplicação particular da gestão do risco implicam necessidades, públicos, perceções e critérios próprios. Por esta razão uma característica essencial desta Norma é a inclusão do “estabelecimento do contexto” como a atividade inicial do processo genérico da gestão do risco. O estabelecimento do contexto vai permitir apreender os objetivos da organização, o ambiente em que procura atingi-los, as suas partes interessadas e a diversidade dos critérios do risco – que na sua globalidade ajudarão a identificar e apreciar a natureza e complexidade dos seus riscos. As relações entre os princípios para a gestão do risco, a estrutura onde esta ocorre e o processo da gestão do risco descritos nesta Norma estão representados na Figura 1. A implementação e manutenção da gestão do risco de acordo com esta Norma permitem a uma organização, por exemplo: − aumentar a verosimilhança de atingir os seus objetivos; − encorajar a gestão proativa; − estar ciente da necessidade de identificar e tratar o risco em toda a organização; − melhorar a identificação das oportunidades e ameaças; − cumprir as obrigações legais e regulamentares e normas internacionais aplicáveis; − melhorar os relatos obrigatórios e voluntários; − melhorar a governação; − aumentar a confiança das partes interessadas e a credibilidade da organização;
NP ISO 31000 2013 p. 6 de 30
− estabelecer uma base fiável para tomada de decisões e planeamento; − melhorar os controlos; − afetar e utilizar os recursos no tratamento do risco de forma eficaz; − melhorar a eficácia e a eficiência operacionais; − reforçar o desempenho no domínio da segurança e saúde, bem como na proteção ambiental; − melhorar a prevenção de perdas e a gestão de incidentes; − minimizar as perdas;
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− melhorar a aprendizagem organizacional; − melhorar a resiliência organizacional.
Esta Norma pretende responder às necessidades de uma grande diversidade de partes interessadas, incluindo: a) os responsáveis pela elaboração da política da gestão do risco dentro da sua organização; b) as pessoas encarregadas de assegurar que o risco é gerido eficazmente na organização como um todo, ou numa área, projeto ou atividade específicos; c) as pessoas que necessitam de avaliar a eficácia da organização para gerir o risco; d) os que elaboram normas, guias, procedimentos e regras de boas práticas, que definem, total ou parcialmente, como deverá ser gerido o risco no contexto específico destes documentos. As práticas e processos atuais da gestão de muitas organizações incluem componentes da gestão do risco, tendo muitas organizações já adotado um processo formal da gestão do risco, para determinados tipos de risco ou circunstâncias particulares. Nestes casos, uma organização pode decidir realizar uma revisão crítica dos seus processos e práticas existentes à luz desta Norma.
Im
Nesta Norma os termos ou expressões “gestão do risco” e “gerir o risco” são ambos utilizados. Em geral a “gestão do risco” refere-se à arquitetura (princípios, estrutura e processo) para gerir os riscos com eficácia, enquanto que “gerir o risco” se refere à aplicação dessa arquitetura a riscos particulares.
Princípios (secção 3)
k) Facilita a melhoria contínua e a melhoria da organização
j) Dinâmica, iterativa e reativa à mudança
i) Transparente e participada
h) Tem em conta fatores humanos e culturais
g) Feita à medida
f) Baseia-se na melhor informação disponível
e) Sistemática, estruturada e atempada
d) Considera explicitamente a incerteza
c) Parte da tomada de decisão
b) Parte integrante de todos os processos organizacionais
a) Cria valor
Melhoria contínua da estrutura (4.6)
Estrutura (secção 4)
Monitorização e revisão da estrutura (4.5)
Implementação da gestão do risco (4.4)
Conceção da estrutura para gerir o risco (4.3)
Processo (secção 5)
Tratamento do risco (5.5)
Avaliação do risco (5.4.4)
Análise do risco (5.4.3)
Identificação do risco (5.4.2)
Apreciação do risco (5.4)
Estabelecimento do contexto (5.3)
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Im
Mandato e compromisso (4.2)
NP ISO 31000 2013 p. 7 de 30
Monitorização e revisão (5.6)
Figura 1 – Relações entre os princípios, a estrutura e o processo da gestão do risco Monitorização e revisão (5.6)
Comunicação e consulta (5.2)
NP ISO 31000 2013 p. 8 de 30
1 Objetivo e campo de aplicação Esta Norma fornece princípios e linhas de orientação gerais sobre a gestão do risco. A presente Norma pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo. Por esta razão a presente Norma não é específica de qualquer indústria ou setor. NOTA:
Por conveniência, todos os utilizadores da presente Norma são referidos pelo termo genérico de “organização”.
A presente Norma pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e ativos.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
A presente Norma pode ser aplicada a qualquer tipo de risco, qualquer que seja a sua natureza, quer as consequências sejam positivas ou negativas. Apesar da presente Norma fornecer linhas de orientação gerais, não se destina a promover a uniformidade da gestão do risco nas organizações. A conceção e a implementação dos planos e estruturas da gestão do risco necessitarão de ter em conta as diversas necessidades de uma organização específica, dos seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ativos e práticas específicas utilizadas. Pretende-se que esta Norma seja utilizada na harmonização dos processos da gestão do risco em normas existentes e futuras. A presente Norma permite uma abordagem comum de apoio às normas relativas a riscos e/ou setores específicos, não as substituindo. A presente Norma não se destina a fins de certificação.
2 Termos e definições
Para os fins da presente Norma aplicam-se os seguintes termos e definições:
Im
2.1 risco Efeito da incerteza na consecução dos objetivos.
NOTA 1: Um efeito é um desvio, positivo ou negativo, relativamente ao esperado. NOTA 2: Os objetivos podem ter diferentes aspetos (financeiros, de saúde e segurança, ambientais, entre outros) e podem ser aplicados a diferentes níveis (estratégico, em toda a organização, de projeto, de produto e de processo). NOTA 3: O risco é frequentemente caracterizado pela referência aos eventos (2.17) potenciais e consequências (2.18), ou à combinação de ambos. NOTA 4: O risco é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das circunstâncias) e a respetiva probabilidade (2.19) de ocorrência. NOTA 5: A incerteza é o estado, ainda que parcial, de deficiência de informação relacionado com a compreensão ou conhecimento de um evento, sua consequência ou probabilidade.
[Guia ISO 73:2009, definição 1.1] 2.2 gestão do risco Atividades coordenadas para dirigir e controlar uma organização no que respeita ao risco (2.1). [Guia ISO 73:2009, definição 2.1]
NP ISO 31000 2013 p. 9 de 30
2.3 estrutura da gestão do risco Conjunto de elementos que fornecem os fundamentos e disposições organizacionais, para conceber, implementar, monitorizar (2.28), rever e melhorar continuamente a gestão do risco (2.2), em toda a organização. NOTA 1: Os fundamentos incluem a política, os objetivos, o mandato e o compromisso para gerir o risco (2.1). NOTA 2: As disposições organizacionais incluem os planos, as relações, a responsabilização, os recursos, os processos e as atividades. NOTA 3: A estrutura da gestão do risco é parte integrante das políticas estratégicas e operacionais globais e das práticas da organização.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
[Guia ISO 73:2009, definição 2.1.1]
2.4 política da gestão do risco Declaração das intenções gerais e da orientação de uma organização em relação à gestão do risco (2.2). [Guia ISO 73:2009, definição 2.1.2]
2.5 atitude face ao risco Abordagem da organização para apreciar e, segundo o caso, perseguir, reter, aceitar ou rejeitar o risco (2.1). [Guia ISO 73:2009, definição 3.7.1.1]
2.6 plano da gestão do risco Programa incluído na estrutura da gestão do risco (2.2) que especifica a abordagem, os componentes da gestão e os recursos a aplicar à gestão do risco (2.1). NOTA 1: Os elementos da gestão incluem tipicamente os procedimentos, as práticas, a atribuição de responsabilidades, a sequência e a calendarização das atividades. NOTA 2: O plano da gestão do risco poderá ser aplicado a um produto, processo ou projeto específicos, a parte ou à totalidade de uma organização.
Im
[Guia ISO 73:2009, definição 2.1.3]
2.7 dono do risco Pessoa ou entidade com a responsabilização e com a autoridade para gerir o risco (2.1). [Guia ISO 73:2009, definição 3.5.1.5] 2.8 processo da gestão do risco Aplicação sistemática de políticas, procedimentos e práticas da gestão às atividades de comunicação, consulta, estabelecimento do contexto e identificação, análise, avaliação, tratamento, monitorização (2.28) e revisão do risco (2.1). [Guia ISO 73:2009, definição 3.1] 2.9 estabelecimento do contexto Definição dos parâmetros externos e internos a ter em consideração quando se gere o risco e se define o âmbito e o critério do risco (2.22), para a política da gestão do risco (2.4). [Guia ISO 73:2009, definição 3.3.1]
NP ISO 31000 2013 p. 10 de 30
2.10 contexto externo Ambiente externo no qual a organização procura atingir os seus objetivos. NOTA: O contexto externo pode incluir: − o ambiente cultural, social, político, legal, regulamentar, financeiro, tecnológico, económico, natural e concorrencial, a nível internacional, nacional, regional ou local; − os fatores chave e tendências com impacto nos objetivos da organização; e − as relações com as partes interessadas (2.13) externas, as suas perceções e valores.
[Guia ISO 73:2009, definição 3.3.1.1]
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
2.11 contexto interno Ambiente interno no qual a organização procura atingir os seus objetivos. NOTA: O contexto interno pode incluir:
− a governação, a estrutura organizacional, as funções e a responsabilização; − as políticas, os objetivos e as estratégias implementadas para os atingir;
− as capacidades, em termos de recursos e conhecimento (por ex. capital, tempo, pessoal, processos, sistemas e tecnologias); − os sistemas de informação, os fluxos de informação e processos de tomada de decisão (formais e informais); − as relações com as partes interessadas internas, as suas perceções e valores; − a cultura da organização;
− as normas, linhas de orientação e modelos adotados pela organização; − a forma e extensão das relações contratuais.
[Guia ISO 73:2009, definição 3.3.1.2]
2.12 comunicação e consulta Processos contínuos e iterativos que uma organização conduz de forma a fornecer, partilhar ou obter informações, e para se envolver em diálogo com as partes interessadas (2.13), no que respeita à gestão do risco (2.1).
Im
NOTA 1: A informação pode estar relacionada com a existência, natureza, forma, verosimilhança (2.19), significância, avaliação, aceitabilidade, tratamento ou outros aspetos da gestão do risco. NOTA 2: A consulta é um processo de comunicação informada nos dois sentidos entre uma organização e as respetivas partes interessadas sobre determinado assunto, antes de ser tomada uma decisão ou ser definida uma orientação sobre esse assunto. A consulta é: − um processo que causa impacto na decisão mais pela influência do que pelo poder, e; − um contributo para a tomada de decisão, não uma tomada de decisão conjunta.
[Guia ISO 73:2009, definição 3.2.1] 2.13 partes interessadas Pessoa ou organização que pode afetar, ser afetada ou sentir-se afetada por uma decisão ou atividade. NOTA: Quem exerce o poder de decisão pode ser uma parte interessada.
[Guia ISO 73:2009, definição 3.2.1.1] 2.14 apreciação do risco Processo global de identificação do risco (2.15), de análise do risco (2.21) e de avaliação do risco (2.24). [Guia ISO 73:2009, definição 3.4.1]
NP ISO 31000 2013 p. 11 de 30
2.15 identificação do risco Processo de pesquisa, de reconhecimento e de descrição dos riscos (2.1). NOTA 1: A identificação do risco envolve a identificação das fontes do risco (2.16), dos eventos (2.17), respetivas causas e potenciais consequências (2.18). NOTA 2: A identificação do risco pode recorrer a dados históricos, a análises teóricas, a opiniões informadas e de especialistas e ter em consideração as necessidades das partes interessadas (2.13).
[Guia ISO 73:2009, definição 3.5.1]
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
2.16 fonte do risco O elemento que, por si só ou em combinação com outros, tem o potencial intrínseco de originar um risco (2.1). NOTA: Uma fonte do risco pode ser tangível ou intangível.
[Guia ISO 73:2009, definição 3.5.1.2]
2.17 evento Ocorrência ou alteração de um conjunto particular de circunstâncias.
NOTA 1: Um evento pode consistir numa ou mais ocorrências, e pode ter várias causas. NOTE 2: Um evento pode consistir em algo que não ocorra.
NOTE 3: Um evento pode algumas vezes ser referido como um “incidente” ou “acidente”. NOTE 4: Um evento sem consequências (2.18) pode também ser referido como “quase acidente”, “incidente” ou “quase sucesso”.
[Guia ISO 73:2009, definição 3.5.1.3]
2.18 consequência Resultado de um evento (2.17) que afeta objetivos.
NOTA 1: Um evento pode levar a um conjunto de consequências.
Im
NOTA 2: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos nos objetivos. NOTA 3: As consequências pode ser expressas qualitativa ou quantitativamente. NOTA 4: As consequências iniciais pode intensificar-se através de reações em cadeia.
[Guia ISO 73:2009, definição 3.6.1.3] 2.19 verosimilhança Possibilidade de algo ocorrer. NOTA 1: Na terminologia da gestão do risco, a palavra verosimilhança é utilizada para indicar a possibilidade de algo ocorrer, quer essa possibilidade seja definida, medida ou determinada de forma objetiva ou subjetiva, qualitativa ou quantitativamente, e descrita utilizando termos gerais ou matemáticos [como uma probabilidade (2.19) ou uma frequência num determinado período de tempo]. NOTA 2: O termo inglês “likelihood” (verosimilhança) não tem uma equivalência direta em algumas línguas; em vez disso, é frequentemente utilizado como termo equivalente “probability” (probabilidade). No entanto, em inglês, o termo “probability” está muitas vezes limitado à sua interpretação matemática. Por consequência, na terminologia da gestão do risco, o termo “likelihood” é utilizado com a finalidade de que deverá ter a mesma interpretação lata que o termo “probability” tem, em muitas outras línguas que não o inglês.
[Guia ISO 73:2009, definição 3.6.1.1]
NP ISO 31000 2013 p. 12 de 30
2.20 perfil do risco Descrição de um qualquer conjunto de riscos (2.1). NOTA: O conjunto de riscos pode incluir os riscos que digam respeito a toda a organização, a parte da organização ou ao que estiver definido.
[Guia ISO 73:2009, definição 3.8.2.5] 2.21 análise do risco Processo destinado a compreender a natureza do risco (2.1) e a determinar o nível do risco (2.23). NOTA 1: A análise do risco fornece a base para a avaliação do risco (2.24) e as decisões sobre o tratamento do risco (2.25).
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
NOTA 2: A análise do risco inclui a estimação do risco.
[Guia ISO 73:2009, definição 3.6.1]
2.22 critérios do risco Termos de referência em relação aos quais a significância de um risco (2.1) é avaliada. NOTA 1: Os critérios do risco são baseados nos objetivos da organização e nos contextos externo (2.10) e interno (2.11). NOTA 2: Os critérios do risco podem resultar de normas, leis, políticas e de outros requisitos.
[Guia ISO 73:2009, definição 3.3.1.3]
2.23 nível do risco Magnitude de um risco (2.1) ou combinação de riscos, expressa em termos da combinação de consequências (2.18) e respetivas verosimilhanças (2.19). [Guia ISO 73:2009, definição 3.6.1.8]
2.24 avaliação do risco Processo de comparação dos resultados da análise do risco (2.21) com os critérios do risco (2.22) para determinar se o risco (2.1) e/ou a respetiva magnitude é aceitável ou tolerável.
Im
NOTA: A avaliação do risco apoia a decisão sobre o tratamento do risco (2.25).
[Guia ISO 73:2009, definição 3.7.1] 2.25 tratamento do risco Processo para modificar o risco (2.1). NOTA 1: O tratamento do risco pode envolver o seguinte: − evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco; − assumir ou aumentar o risco de forma a perseguir uma oportunidade; − remover a fonte do risco (2.16); − alterar a verosimilhança (2.19); − alterar as consequências (2.18); − partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco]; − reter o risco com base em decisão informada. NOTA 2: Os tratamentos do risco que lidam com consequências negativas, são por vezes referidos como “mitigação do risco”, “eliminação do risco”, “prevenção do risco” e “redução do risco”.
NP ISO 31000 2013 p. 13 de 30
NOTA 3: O tratamento do risco pode originar novos riscos ou modificar os riscos existentes.
[Guia ISO 73:2009, definição 3.8.1] 2.26 controlo Medida que modifica o risco (2.1). NOTA 1: O controlo inclui qualquer processo, política, dispositivo, prática ou outra ação que modifique o risco. NOTA 2: O controlo poderá nem sempre produzir o efeito modificador pretendido ou assumido.
[Guia ISO 73:2009, definição 3.8.1.1]
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
2.27 risco residual Risco (2.1) que subsiste após o tratamento do risco (2.25). NOTA 1: Um risco residual pode incluir um risco não identificado.
NOTA 2: Um risco residual pode também ser designado como “risco retido”.
[Guia ISO 73:2009, definição 3.8.1.6]
2.28 monitorização Verificação, supervisão, observação crítica ou a determinação do estado, de modo a identificar continuadamente alterações do nível de desempenho requerido ou esperado. NOTA: A monitorização pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao risco (2.1) ou ao controlo (2.26) do risco.
[Guia ISO 73:2009, definição 3.8.2.1]
2.29 revisão Atividade levada a cabo para determinar a adaptação, adequação e a eficácia, da matéria visada para atingir os objetivos estabelecidos.
Im
NOTA: A revisão pode ser aplicável a uma estrutura da gestão do risco (2.3), a um processo da gestão do risco (2.8), ao risco ou ao controlo (2.26) de um risco.
[Guia ISO 73:2009, definição 3.8.2.2]
3 Princípios Para que a gestão do risco seja eficaz, uma organização deverá, a todos os níveis, atuar em conformidade com os princípios abaixo referidos. a) A gestão do risco cria e protege o valor. A gestão do risco contribui para a consecução demonstrável de objetivos e melhoria do desempenho, como por exemplo, na saúde e segurança, security*), na conformidade legal e regulamentar, na aceitação pública, na proteção ambiental, na qualidade dos produtos, na gestão dos projetos, na eficiência das operações, na governação e reputação.
*)
“security” no original em inglês, pode entender-se fundamentalmente como “proteção e preservação das pessoas, bens e informação quer tangível quer intangível” (nota nacional).
NP ISO 31000 2013 p. 14 de 30
b) A gestão do risco é parte integrante de todos os processos organizacionais. A gestão do risco não é uma atividade isolada, separada das atividades principais e dos processos da organização. A gestão do risco faz parte das responsabilidades da gestão e é uma parte integrante de todos os processos organizacionais, incluindo o planeamento estratégico e todos os processos da gestão de projetos e da gestão da mudança. c) A gestão do risco é parte da tomada de decisão. A gestão do risco apoia os decisores na escolha informada, na priorização das ações e na diferenciação entre linhas de ação alternativas.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
d) A gestão do risco considera explicitamente a incerteza. A gestão do risco tem em conta explicitamente a incerteza, a natureza dessa incerteza e a forma como pode ser considerada. e) A gestão do risco é sistemática, estruturada e atempada.
Uma abordagem sistemática, atempada e estruturada da gestão do risco contribui para a eficiência e para resultados consistentes, comparáveis e fiáveis. f) A gestão do risco baseia-se na melhor informação disponível.
As entradas do processo para gerir o risco baseiam-se em fontes de informação tais como dados históricos, experiência, retorno da informação das partes interessadas, observações, previsões e pareceres de especialistas. No entanto, os decisores deverão informar-se e ter em conta quaisquer limitações dos dados ou modelos utilizados ou a possibilidade de existência de divergências entre especialistas. g) A gestão do risco é feita à medida.
A gestão do risco é alinhada com os contextos externo e interno e com o perfil do risco da organização. h) A gestão do risco tem em conta fatores humanos e culturais.
i)
Im
A gestão do risco reconhece as competências, perceções e intenções de pessoas externas e internas à organização que possam facilitar ou impedir a consecução dos objetivos da organização. A gestão do risco é transparente e participada. O envolvimento adequado e atempado das partes interessadas e, em particular, dos decisores a todos os níveis da organização, assegura que a gestão do risco permanece pertinente e atualizada. O envolvimento permite também, que as partes interessadas sejam devidamente representadas e que os seus pontos de vista sejam tidos em conta na determinação dos critérios do risco. j)
A gestão do risco é dinâmica, iterativa e reativa à mudança. A gestão do risco deteta e responde, continuamente, à mudança. À medida que ocorrem eventos externos e internos, que o contexto e o conhecimento se alteram e que têm lugar a monitorização e a revisão, emergem novos riscos, alguns alteram-se e outros desaparecem.
k) A gestão do risco facilita a melhoria contínua da organização. As organizações deverão elaborar e implementar estratégias visando melhorar a maturidade da sua gestão do risco, assim como em todos os outros aspetos da organização. O Anexo A disponibiliza aconselhamento suplementar para as organizações que desejem gerir o risco de forma mais eficaz.
NP ISO 31000 2013 p. 15 de 30
4 Estrutura 4.1 Generalidades O sucesso da gestão do risco dependerá da eficácia da estrutura da gestão em fornecer os fundamentos e as disposições que permitem a sua integração em todos os níveis da organização. A estrutura apoia uma gestão eficaz dos riscos no decurso da aplicação do processo da gestão do risco (ver secção 5), em diferentes níveis e em contextos específicos da organização. A estrutura garante que a informação sobre o risco que decorre do processo da gestão do risco é corretamente reportada e serve de base à tomada de decisão e à responsabilização a todos os níveis da organização envolvidos.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Esta secção descreve as componentes necessárias da estrutura para gerir o risco e a forma como se interrelacionam de um modo iterativo, como mostra a Figura 2. Mandato e compromisso (4.2)
Conceção da estrutura para gerir o risco (4.3) Compreensão da organização e do seu contexto (4.3.1) Estabelecimento da política da gestão do risco (4.3.2) Responsabilização (4.3.3)
Integração nos processos organizacionais (4.3.4) Recursos (4.3.5)
Estabelecimento de mecanismos de comunicação e de relato internos (4.3.6)
Im
Estabelecimento de mecanismos de comunicação e de relato externos (4.3.7)
Melhoria contínua da estrutura (4.6)
Implementação da gestão do risco (4.4) Implementação da estrutura para gerir o risco (4.4.1) Implementação do processo da gestão do risco (4.4.2)
Monitorização e revisão da estrutura (4.5)
Figura 2 – Relações entre as componentes da estrutura para gerir o risco
NP ISO 31000 2013 p. 16 de 30
Esta estrutura não se destina a prescrever um sistema de gestão, mas sim a apoiar a organização, a integrar a gestão do risco na globalidade do seu sistema de gestão. As organizações deverão, portanto, adaptar as componentes da estrutura às suas necessidades específicas. Se as práticas e processos da gestão existentes numa organização incluem componentes da gestão do risco, ou se a organização já adotou um processo formal da gestão do risco para tipos de situações ou de riscos específicos, então estes deverão ser revistos de forma crítica e apreciados face à presente Norma, incluindo os atributos constantes do Anexo A, de forma a determinar a sua adequação e eficácia. 4.2 Mandato e compromisso
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
A introdução da gestão do risco e assegurar a sua contínua eficácia requerem um compromisso forte e sustentado por parte da gestão de topo da organização, bem como um planeamento estratégico e rigoroso para conduzir a um compromisso a todos os níveis. A gestão de topo deverá: − definir e aprovar a política da gestão do risco;
− assegurar que a cultura da organização e a sua política da gestão do risco estão alinhadas; − determinar indicadores de desempenho da gestão do risco coerentes com os indicadores de desempenho da organização; − alinhar os objetivos da gestão do risco com os objetivos e estratégias da organização; − assegurar a conformidade legal e regulamentar;
− atribuir responsabilizações e responsabilidades aos níveis apropriados da organização; − assegurar que os recursos necessários são alocados à gestão do risco;
− comunicar as vantagens da gestão do risco a todas as partes interessadas; − assegurar que a estrutura para gerir o risco se mantém apropriada.
Im
4.3 Conceção da estrutura para gerir o risco
4.3.1 Compreensão da organização e do seu contexto Antes de iniciar a conceção e implementação da estrutura para gerir o risco, é importante avaliar e compreender o contexto interno e externo da organização, dado que podem influenciar significativamente a conceção da estrutura. A avaliação do contexto externo de uma organização poderá incluir, nomeadamente: a) envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural e competitiva, quer ao nível internacional, nacional, regional ou local; b) fatores chave e tendências que tenham impacto sobre os objetivos da organização; c) relações com as partes interessadas externas, suas perceções e seus valores. A avaliação do contexto interno de uma organização poderá incluir, nomeadamente: − governação, estrutura organizacional, funções e responsabilizações; − políticas, objetivos e as estratégias implementadas para os alcançar;
NP ISO 31000 2013 p. 17 de 30
− capacidades, em termos de recursos e de conhecimentos (p. ex. capital, tempo, pessoas, processos, sistemas e tecnologias); − sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais); − relações com as partes interessadas internas, suas perceções e seus valores; − cultura da organização; − normas, linhas de orientação e modelos adotados pela organização;
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− forma e extensão das relações contratuais. 4.3.2 Estabelecimento da política da gestão do risco
A política da gestão do risco deverá estabelecer de forma clara os objetivos e o compromisso da organização, em matéria da gestão do risco e tipicamente aborda o seguinte: − a fundamentação da organização para gerir o risco;
− ligações entre os objetivos e as políticas da organização e a política da gestão do risco; − responsabilizações e responsabilidades para gerir o risco; − a forma como se lida com os conflitos de interesses;
− compromisso em disponibilizar os recursos necessários para apoiar as pessoas responsabilizáveis e responsáveis por gerir o risco; − a forma como o desempenho da gestão do risco será medido e relatado; − o compromisso para rever e melhorar a política e a estrutura da gestão do risco, periodicamente e em resposta a um evento ou alteração de circunstâncias. A política da gestão do risco deverá ser comunicada de forma apropriada.
Im
4.3.3 Responsabilização
A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para gerir o risco, incluindo implementar e manter o processo da gestão do risco e assegurar a adequação, a eficácia e a eficiência de quaisquer controlos. Isto, poderá ser facilitado: − identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos; − identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para gerir o risco; − identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da gestão do risco; − estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a um nível superior; − assegurando níveis de reconhecimento apropriados. 4.3.4 Integração nos processos organizacionais A gestão do risco deverá ser integrada em todos os processos e práticas da organização, de modo a ser pertinente, eficaz e eficiente. O processo da gestão do risco deverá tornar-se parte e não ser separado desses
NP ISO 31000 2013 p. 18 de 30
processos organizacionais. Em particular, a gestão do risco deverá ser integrada no desenvolvimento da política, no planeamento estratégico e do negócio e na sua revisão, e nos processos da gestão da mudança. Deverá existir um plano da gestão do risco para toda a organização de modo a assegurar que a política da gestão do risco é implementada e que a gestão do risco é integrada em todos os processos e práticas da organização. O plano da gestão do risco poderá ser integrado noutros planos organizacionais, como por exemplo o plano estratégico. 4.3.5 Recursos Deverá ser tido em conta:
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
A organização deverá afetar os recursos necessários à gestão do risco. − pessoas, aptidões, experiência e competências;
− recursos necessários a cada etapa do processo da gestão do risco;
− processos, métodos e ferramentas da organização a serem utilizados para gerir o risco; − processos e procedimentos documentados;
− sistemas da gestão da informação e do conhecimento; − programas de formação.
4.3.6 Estabelecimento de mecanismos de comunicação e de relato internos A organização deverá estabelecer e implementar mecanismos de comunicação e de relato internos para apoiar e encorajar a responsabilização e a apropriação do risco. Estes mecanismos deverão assegurar: a comunicação apropriada dos componentes chave da estrutura da gestão do risco e de qualquer modificação subsequente;
−
a existência de relatos internos adequados, relativos à estrutura da gestão do risco, à sua eficácia e aos seus resultados;
−
a disponibilidade de informação pertinente, resultante da aplicação da gestão do risco, nos níveis e no tempo apropriados;
−
a existência de processos de consulta das partes interessadas internas.
Im
−
Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações relativas ao risco, provenientes de diversas fontes, e poderão ter necessidade de considerar a sensibilidade da informação. 4.3.7 Estabelecimento de mecanismos de comunicação e de relato externos A organização deverá elaborar e implementar um plano, quanto ao modo como comunicará com as partes interessadas externas. Tal deverá ter em consideração: − o envolvimento das partes interessadas externas apropriadas e assegurar uma troca eficaz de informação; − os relatos externos para cumprimento dos requisitos legais, regulamentares e da governação; − providenciar o retorno e o relato da comunicação e consulta; − utilizar a comunicação para criar confiança na organização;
NP ISO 31000 2013 p. 19 de 30
− comunicar com as partes interessadas na ocorrência de uma crise ou contingência. Estes mecanismos deverão incluir, onde apropriado, processos que permitam consolidar as informações relativas ao risco, provenientes de diversas fontes, e poderão ter necessidade de considerar a sensibilidade da informação. 4.4 Implementação da gestão do risco 4.4.1 Implementação da estrutura para gerir o risco Para a implementação da estrutura para gerir o risco, a organização deverá:
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− definir um calendário apropriado e uma estratégia adequada para a implementação da estrutura; − aplicar a política e o processo da gestão do risco aos processos organizacionais; − cumprir os requisitos legais e regulamentares;
− assegurar que a tomada de decisão, incluindo o desenvolvimento e estabelecimento dos objetivos, está alinhada com os resultados dos processos da gestão do risco; − realizar sessões de informação e de formação;
− comunicar e consultar com as partes interessadas, de modo a assegurar que a sua estrutura da gestão do risco se mantém apropriada. 4.4.2 Implementação do processo da gestão do risco
A gestão do risco deverá ser implementada, assegurando que o processo da gestão do risco descrito na secção 5, é aplicado através de um plano da gestão do risco, a todos os níveis e funções da organização envolvidos, como parte das suas práticas e processos. 4.5 Monitorização e revisão da estrutura
Im
De modo a assegurar que a gestão do risco é eficaz e continua a apoiar o desempenho organizacional, a organização deverá: − medir o desempenho da gestão do risco face a indicadores revistos periodicamente, quanto à sua adequação; − medir periodicamente o progresso e os desvios em relação ao plano da gestão do risco; − rever periodicamente se a estrutura, a política e o plano da gestão do risco continuam apropriados face ao contexto interno e externo da organização; − elaborar relatórios sobre o risco, o progresso do plano da gestão do risco e como a política da gestão do risco é seguida; − rever a eficácia da estrutura da gestão do risco. 4.6 Melhoria contínua da estrutura As decisões sobre o modo como a estrutura, a política e o plano da gestão do risco deverão ser melhorados, podem ser tomadas com base nos resultados da monitorização e das revisões. Estas decisões deverão conduzir a melhorias da gestão do risco e da cultura da gestão do risco da organização.
NP ISO 31000 2013 p. 20 de 30
5 Processo 5.1 Generalidades O processo da gestão do risco deverá ser: − uma parte integrante da gestão; − integrado na cultura e práticas organizacionais;
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− feito à medida dos processos de negócio da organização. O processo da gestão do risco é ilustrado na Figura 3 e compreende as atividades descritas nas secções 5.2 a 5.6.
Estabelecimento do contexto (5.3) v
Apreciação do risco (5.4)
Identificação do risco (5.4.2)
Comunicação e consulta (5.2)
Monitorização e revisão (5.6)
Im
Análise do risco (5.4.3)
Avaliação do risco (5.4.4)
Tratamento do risco (5.5)
Figura 3 − Processo da gestão do risco
5.2 Comunicação e consulta A comunicação com e a consulta às partes interessadas, internas e externas, deverão ocorrer durante todas as fases do processo da gestão do risco. Desta forma, os planos para comunicação e consulta deverão ser desenvolvidos numa fase inicial do processo. Estes planos deverão abordar as questões relacionadas com o próprio risco, as suas causas, as suas consequências (se conhecidas) e as medidas que estão a ser tomadas para o tratar. Uma eficaz comunicação e consulta, interna e externa, deverá ter lugar de forma a assegurar que os responsáveis pela implementação
NP ISO 31000 2013 p. 21 de 30
do processo da gestão do risco e as partes interessadas compreendem os fundamentos das decisões tomadas, e as razões pelas quais são necessárias ações específicas. Uma abordagem da consulta em equipa poderá: − ajudar a estabelecer o contexto de forma apropriada; − assegurar que os interesses das partes interessadas são compreendidos e considerados; − ajudar a garantir que os riscos são identificados de forma adequada; − reunir diferentes áreas de especialização para analisar riscos;
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− assegurar que diferentes pontos de vista são considerados de forma apropriada na definição dos critérios do risco e na avaliação dos riscos; − garantir a adesão e o apoio a um plano de tratamento do risco;
− potenciar a gestão apropriada da mudança durante o processo da gestão do risco; − desenvolver um plano adequado de comunicação e consulta interna e externa. A comunicação e consulta com as partes interessadas são importantes, uma vez que estas produzem juízos sobre risco baseados nas suas perceções do risco. Estas perceções do risco podem variar devido a diferenças nos valores, necessidades, pressupostos, conceitos e preocupações das partes interessadas. Dado que os seus pontos de vista podem ter um impacto significativo nas decisões tomadas, as perceções das partes interessadas deverão ser identificadas, registadas e tidas em consideração no processo de tomada de decisão. A comunicação e a consulta deverão facilitar trocas de informação verdadeira, pertinente, precisa e compreensível, respeitando os aspetos de confidencialidade e de integridade pessoal. 5.3 Estabelecimento do contexto
Im
5.3.1 Generalidades
Através do estabelecimento do contexto, a organização enuncia os seus objetivos, define os parâmetros internos e externos a ter em consideração quando se gere o risco, bem como o âmbito e os critérios do risco para as restantes partes do processo. Se bem que muitos destes parâmetros sejam similares aos considerados na conceção da estrutura da gestão do risco (ver 4.3.1), estes, no estabelecimento do contexto do processo da gestão do risco, necessitam de ser considerados com maior detalhe, especialmente na forma como se relacionam com o âmbito do processo específico da gestão do risco. 5.3.2 Estabelecimento do contexto externo O contexto externo é o ambiente externo no qual a organização procura atingir os seus objetivos. A compreensão do contexto externo é importante para assegurar que os objetivos e preocupações das partes interessadas externas, são tidos em consideração aquando do desenvolvimento dos critérios do risco. O contexto externo é baseado no contexto global da organização, mas com detalhes específicos dos exigências legais e requisitos regulamentares, das perceções das partes interessadas e de outros aspetos específicos do risco inerentes ao âmbito do processo da gestão do risco.
NP ISO 31000 2013 p. 22 de 30
O contexto externo pode incluir, mas não se limita: − às envolventes social e cultural, política, legal, regulamentar, financeira, tecnológica, económica, natural e competitiva, seja ao nível internacional, nacional, regional ou local; − aos fatores chave e tendências com impacto nos objetivos da organização; − às relações com as partes interessadas externas, suas perceções e valores. 5.3.3 Estabelecimento do contexto interno O contexto interno é o ambiente interno no qual a organização procura atingir os seus objetivos.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
O processo da gestão do risco deverá estar alinhado com a cultura, os processos, a estrutura e a estratégia da organização. O contexto interno é tudo aquilo que no seio da organização pode influenciar a forma como a organização irá gerir o risco. O contexto interno deverá ser estabelecido, porque: a) a gestão do risco ocorre no contexto dos objetivos da organização;
b) os objetivos e os critérios de um projeto, processo ou atividade específicos deverão ser considerados à luz dos objetivos da organização como um todo; c) algumas organizações falham no reconhecimento de oportunidades para atingir os seus objetivos estratégicos, de um projeto ou negócio e tal afeta a continuidade do compromisso, da credibilidade, da confiança e do valor da organização. É necessário compreender o contexto interno, o que, sem limitar, pode incluir: − a governação, estrutura organizacional, funções e responsabilizações; − as políticas, objetivos e as estratégias implementadas para os atingir;
− as capacidades, compreendidas em termos de recursos e conhecimento (p. ex. capital, tempo, pessoas, processos, sistemas e tecnologias); − as relações com as partes interessadas internas, suas perceções e valores;
Im
− a cultura da organização;
− os sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais); − as normas, linhas de orientação e modelos adotados pela organização; − a forma e extensão das relações contratuais. 5.3.4 Estabelecimento do contexto do processo da gestão do risco Deverão ser estabelecidos os objetivos, as estratégias, o âmbito e os parâmetros das atividades da organização, ou das partes da organização, onde o processo da gestão do risco está a ser aplicado. A gestão do risco deverá ser desenvolvida com absoluta necessidade de justificar os recursos utilizados na sua implementação. Deverão ser também especificados os recursos requeridos, as responsabilidades e autoridades e os registos a manter. O contexto do processo da gestão do risco irá variar de acordo com as necessidades da organização. Pode, nomeadamente, incluir: − a definição das metas e objetivos das atividades da gestão do risco; − a definição das responsabilidades relativas ao processo da gestão do risco;
NP ISO 31000 2013 p. 23 de 30
− a definição do âmbito, bem como, a profundidade e a amplitude das atividades da gestão do risco a serem desenvolvidas, compreendendo inclusões e exclusões específicas; − a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e local; − a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos ou atividades da organização; − a definição das metodologias da apreciação do risco; − a definição da forma como o desempenho e eficácia são avaliados na gestão do risco; − a identificação e a especificação das decisões que têm que ser tomadas;
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
− a identificação, âmbito ou enquadramento dos estudos necessários, a sua extensão e objetivos, bem como os recursos necessários para tais estudos. A consideração destes e de outros fatores pertinentes, deverá assegurar que a abordagem da gestão do risco adotada seja apropriada às circunstâncias, à organização e aos riscos que estão a afetar a consecução dos seus objetivos. 5.3.5 Definição dos critérios do risco
A organização deverá definir os critérios a serem utilizados para avaliar a significância do risco. Os critérios deverão refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser impostos por, ou derivar de, exigências legais e requisitos regulamentares e outros requisitos subscritos pela organização. Os critérios do risco deverão ser consistentes com a política da gestão do risco da organização (ver 4.3.2), ser definidos no início de qualquer processo da gestão do risco e continuamente revistos. Na definição dos critérios do risco, os fatores a considerar deverão incluir o seguinte: a natureza e tipos de causas e consequências que podem ocorrer e como são medidas;
−
o modo como será definida a verosimilhança;
−
o intervalo de tempo associado à verosimilhança e/ou à(s) consequência(s);
−
o modo como é determinado o nível do risco;
−
os pontos de vista das partes interessadas;
−
o nível a partir do qual o risco se torna aceitável ou tolerável;
−
a consideração ou não de combinações de múltiplos riscos e, em caso afirmativo, como e quais as combinações que deverão ser consideradas.
Im
−
5.4 Apreciação do risco 5.4.1 Generalidades A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco. NOTA: A ISO/IEC 31010 fornece orientação sobre técnicas de apreciação do risco.
5.4.2 Identificação do risco A organização deverá identificar fontes do risco, áreas de impacto, eventos (incluindo alterações das circunstâncias), respetivas causas e potenciais consequências. O objetivo desta etapa é gerar uma lista abrangente dos riscos baseada nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou
NP ISO 31000 2013 p. 24 de 30
retardar a consecução dos objetivos. É importante identificar os riscos associados ao facto de não se perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta fase não será incluído em análise posterior.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
A identificação deverá incluir os riscos cuja fonte esteja ou não sob controlo da organização, ainda que a fonte ou causa do risco poderão não ser evidentes. A identificação do risco deverá incluir o exame das reações em cadeia, incluindo os efeitos em cascata e cumulativos, de consequências particulares. Deverá ainda considerar um domínio alargado de consequências, ainda que a fonte ou a causa do risco poderão não ser evidentes. Assim como se identifica o que possa acontecer, é também necessário considerar possíveis causas e cenários que mostrem quais as consequências que podem ocorrer. Todas as causas e consequências significativas deverão ser consideradas. A organização deverá utilizar técnicas e ferramentas de identificação de riscos que sejam adequadas aos seus objetivos e às suas capacidades, assim como aos riscos que enfrenta. Na identificação dos riscos é importante dispor de informação pertinente e atualizada. Sempre que possível deverá ser considerada informação de base apropriada. Na identificação dos riscos deverão ser envolvidas as pessoas com o conhecimento adequado. 5.4.3 Análise do risco
A análise do risco implica desenvolver uma compreensão do risco. A análise do risco fornece uma entrada para a avaliação do risco e para as decisões quanto à necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais apropriados para o tratamento do risco. A análise do risco pode também fornecer uma entrada para a tomada de decisões, onde as escolhas tenham que ser feitas e as opções envolvam diferentes tipos e níveis do risco.
Im
A análise do risco implica considerar as causas e fontes do risco, as suas consequências positivas e negativas e a verosimilhança dessas consequências ocorrerem. Deverão ser identificados os fatores que afetam as consequências e a verosimilhança. O risco é analisado, determinando as consequências e as suas verosimilhanças e outros atributos do risco. Um evento pode ter múltiplas consequências e pode afetar múltiplos objetivos. Os controlos existentes e a sua eficácia e eficiência, também deverão ser tidos em consideração. O modo como as consequências e a verosimilhança são expressas e o modo como são combinadas para determinar um nível de risco, deverão refletir o tipo de risco, a informação disponível e o propósito para o qual a saída da apreciação do risco é para ser utilizada. Tudo isto deverá ser consistente com os critérios do risco. Também é importante considerar a interdependência dos diferentes riscos e suas fontes. A confiança na determinação do nível do risco e a sua sensibilidade a condições prévias e pressupostos deverão ser consideradas na análise e comunicadas eficazmente aos decisores e, se apropriado, a outras partes interessadas. Fatores tais como, divergência de opinião entre especialistas, incerteza, disponibilidade, qualidade, quantidade e da continuada pertinência da informação ou limitações na modelação, deverão ser declarados e podem ser realçados. A análise do risco pode ser efetuada com graus de detalhe variáveis, dependendo do risco, da finalidade da análise e da informação, dos dados e recursos disponíveis. A análise pode ser qualitativa, semi-quantitativa ou quantitativa, ou uma combinação destas, dependendo das circunstâncias. As consequências e a sua verosimilhança podem ser determinadas pela modelação dos resultados de um evento ou conjunto de eventos, por extrapolação a partir de estudos experimentais ou a partir de dados disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Nalguns casos é requerido mais do que um valor numérico ou descritor para especificar as consequências e a sua verosimilhança para diferentes tempos, locais, grupos ou situações.
NP ISO 31000 2013 p. 25 de 30
5.4.4 Avaliação do risco A finalidade da avaliação do risco é apoiar a tomada de decisões, tendo por base os resultados da análise do risco, sobre quais os riscos que necessitam de tratamento e a prioridade na implementação do tratamento. A avaliação do risco envolve a comparação do nível do risco identificado no decorrer do processo de análise com os critérios do risco, aquando da consideração do contexto. Com base nesta comparação a necessidade de tratamento pode ser considerada.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
As decisões deverão ter em conta o contexto alargado do risco e incluir considerações sobre a tolerância dos riscos suportados pelas partes, que não a organização que beneficia do risco. As decisões deverão ser tomadas de acordo com as exigências legais, regulamentares e outros requisitos. Em determinadas circunstâncias a avaliação do risco pode levar a uma decisão de efetuar análises adicionais. A avaliação do risco pode também levar à decisão de não efetuar o tratamento do risco, para além de manter os controlos existentes. Esta decisão será influenciada pela atitude da organização face ao risco e pelos critérios do risco que foram estabelecidos. 5.5 Tratamento do risco 5.5.1 Generalidades
O tratamento do risco implica a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementados, os tratamentos proporcionam ou modificam controlos. O tratamento do risco implica um processo cíclico que inclui: −
apreciar um tratamento do risco;
−
decidir se os níveis do risco residual são toleráveis;
−
se não forem toleráveis, gerar um novo tratamento do risco;
−
apreciar a eficácia desse tratamento.
Im
As opções de tratamento do risco não têm que ser mutuamente exclusivas ou apropriadas em todas as circunstâncias. As opções podem incluir o seguinte: a) evitar o risco mediante decisão de não iniciar ou continuar a atividade portadora do risco; b) assumir ou aumentar o risco de forma a perseguir uma oportunidade; c) remover a fonte do risco; d) alterar a verosimilhança; e) alterar as consequências; f)
partilhar o risco com outra(s) parte(s) [incluindo contratos e financiamento do risco];
g) reter o risco com base em decisão informada. 5.5.2 Seleção de opções de tratamento do risco A seleção da opção de tratamento do risco mais apropriada implica comparar os custos e os esforços da sua implementação com os benefícios resultantes, tendo em conta os requisitos legais, regulamentares e outros tais como a responsabilidade social e a proteção do ambiente natural. As decisões deverão também ter em conta os riscos cujo tratamento não é facilmente justificável por motivos económicos, por exemplo, riscos graves (elevada consequência negativa) mas raros (baixa verosimilhança).
NP ISO 31000 2013 p. 26 de 30
Diversas opções de tratamento podem ser consideradas e aplicadas individualmente ou de forma combinada. A organização normalmente pode beneficiar da adoção de uma combinação de opções de tratamento. Ao selecionar as opções de tratamento do risco, a organização deverá considerar os valores e perceções das partes interessadas assim como a forma mais adequada de comunicar com estas. Nos casos em que as opções de tratamento do risco possam ter impacto no risco de outras áreas da organização ou das partes interessadas, todas deverão ser envolvidas na decisão. Embora igualmente eficazes, alguns tratamentos do risco podem ser mais aceitáveis para algumas partes interessadas do que para outras.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
O plano de tratamento deverá claramente identificar a ordem de prioridade de implementação dos tratamentos individuais do risco. O tratamento do risco pode por si só introduzir riscos. A falha ou a ineficácia das medidas de tratamento do risco pode constituir um risco significativo. A monitorização deverá ser uma parte integrante do plano de tratamento do risco, de forma a garantir que as medidas permaneçam eficazes. O tratamento do risco pode também introduzir riscos secundários que precisam de ser apreciados, tratados, monitorizados e revistos. Estes riscos secundários deverão ser incorporados no mesmo plano de tratamento do risco original e não tratados como novos riscos. A ligação entre os dois riscos deverá ser identificada e mantida. 5.5.3 Preparação e implementação dos planos de tratamento do risco O objetivo dos planos de tratamento do risco é documentar a forma como as opções de tratamento escolhidas serão implementadas. A informação fornecida nos planos de tratamento deverá incluir: as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;
−
os que são responsabilizados pela aprovação do plano e os responsáveis pela implementação do plano;
−
as ações propostas;
−
os requisitos de recursos incluindo contingências;
−
as medidas do desempenho e constrangimentos;
−
os requisitos de relato e monitorização;
−
a calendarização e o cronograma.
Im
−
Os planos de tratamento deverão ser integrados com os processos de gestão da organização e discutidos com as partes interessadas apropriadas. Os decisores e outras partes interessadas deverão estar cientes da natureza e dimensão do risco residual após o tratamento do risco. O risco residual deverá ser documentado e sujeito a monitorização, revisão e, onde apropriado, tratamento posterior. 5.6 Monitorização e revisão A monitorização e a revisão deverão ser uma parte planeada do processo da gestão do risco e envolver verificação ou vigilância regular. Pode ser periódica ou ad hoc. As responsabilidades pela monitorização e revisão deverão estar claramente definidas. Os processos de monitorização e revisão da organização deverão abranger todos os aspetos do processo da gestão do risco com o objetivo de:
NP ISO 31000 2013 p. 27 de 30
−
assegurar que os controlos são eficazes e eficientes, quer na conceção, quer na operação;
−
obter informação adicional para melhorar a apreciação do risco;
−
analisar e aprender com os eventos (incluindo os quase-acidentes), mudanças, tendências, sucessos e falhas;
−
detetar alterações no contexto externo e interno, incluindo alterações aos critérios do risco e ao próprio risco, que podem requerer a revisão dos tratamentos do risco e das prioridades;
−
identificar os riscos emergentes.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
O progresso na implementação dos planos de tratamento do risco fornece uma medida do desempenho. Os resultados podem ser incorporados na gestão global do desempenho da organização, na sua medição e nas atividades de reporte externo e interno. Os resultados da monitorização e revisão deverão ser registados e reportados externa e internamente conforme apropriado, e deverão ser usados também, como uma entrada para a revisão da estrutura da gestão do risco (ver 4.5). 5.7 Registo do processo da gestão do risco
As atividades da gestão do risco deverão ser rastreáveis. No processo da gestão do risco, os registos fornecem a base para melhoria dos métodos e das ferramentas, bem como do processo na sua globalidade. As decisões relativas à criação de registos deverão ter em conta: as necessidades de aprendizagem contínua da organização;
−
os benefícios da reutilização da informação para efeitos de gestão;
−
os custos e os esforços envolvidos na criação e manutenção dos registos;
−
as necessidades legais, regulamentares e operacionais de registos;
−
o método de acesso, a facilidade de consulta e os meios de armazenamento;
−
o período de retenção;
−
a sensibilidade da informação.
Im
−
NP ISO 31000 2013 p. 28 de 30
Anexo A (informativo) Atributos da gestão do risco reforçada A.1 Generalidades
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Todas as organizações deverão procurar atingir um nível apropriado do desempenho da sua estrutura da gestão do risco em linha com a criticidade das decisões que terão de ser tomadas. A lista dos atributos abaixo apresentada, representa um alto nível de desempenho ao gerir o risco. Para apoiar as organizações na medição do seu próprio desempenho relativamente a estes critérios, são fornecidos alguns indicadores tangíveis para cada atributo.
A.2 Resultados chave
A.2.1 A organização tem uma compreensão atual, correta e abrangente dos seus riscos. A.2.2 Os riscos da organização estão dentro dos seus critérios do risco.
A.3 Atributos A.3.1 Melhoria contínua
A ênfase é colocada na melhoria contínua da gestão do risco através do estabelecimento de objetivos do desempenho organizacional, da medição, da revisão e da subsequente modificação dos processos, sistemas, recursos, capacidades e competências.
Im
Isto pode ser indicado pela existência de objetivos de desempenho explícitos, relativamente aos quais são medidos os desempenhos da organização e do gestor. O desempenho da organização pode ser publicado e comunicado. Habitualmente, existirá pelo menos uma revisão anual do desempenho e a subsequente revisão dos processos e o estabelecimento de objetivos do desempenho, revistos para o período seguinte. A avaliação de desempenho da gestão do risco é uma parte integrante da avaliação do desempenho global da organização e do sistema de avaliação para departamentos e indivíduos. A.3.2 Responsabilização total pelos riscos A gestão do risco reforçada inclui uma responsabilização abrangente, completamente definida e integralmente aceite do risco, do controlo e das tarefas de tratamento do risco. Os indivíduos designados aceitam integralmente a responsabilização, possuem competências apropriadas e dispõem dos recursos adequados para verificar os controlos, monitorizar os riscos, melhorar os controlos e comunicar eficazmente acerca dos riscos e respetiva gestão às partes interessadas externas e internas. Tal pode ser indicado pelo facto de todos os membros de uma organização estarem totalmente cientes dos riscos, controlos e tarefas pelos quais são responsáveis. Usualmente, tal estará registado nas descrições de função/cargo, bases de dados ou sistemas de informação. A definição das funções na gestão do risco, responsabilização e responsabilidades deverão fazer parte de todos os programas de acolhimento e integração de uma organização.
NP ISO 31000 2013 p. 29 de 30
A organização assegura que aqueles que são responsabilizados estão aptos para cumprir a sua função atribuindo-lhes autoridade, tempo, formação e treino, recursos e competências suficientes para assumirem a sua responsabilização. A.3.3 Aplicação da gestão do risco em todas as tomadas de decisão Todas as tomadas de decisão no seio da organização, qualquer que seja o respetivo nível de importância e significância, envolvem considerações explícitas do risco e a aplicação da gestão do risco a um nível adequado.
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
Tal pode ser indicado pelos registos das reuniões e decisões, evidenciando que tiveram lugar discussões explícitas sobre o risco. Adicionalmente, deverá ser possível ver que todas as componentes da gestão do risco estão representadas nos processos chave de tomada de decisão na organização, por exemplo, em decisões para atribuição de capital, para projetos importantes e para a reestruturação ou mudanças da organização. Por estas razões, uma gestão do risco consistente é vista dentro da organização como a base para a governação eficaz. A.3.4 Comunicações continuadas
A gestão do risco reforçada inclui comunicações continuadas com as partes interessadas, quer externas quer internas, incluindo reporte exaustivo e frequente do desempenho da gestão do risco, como parte da boa governação. Isto pode ser indicado pela comunicação com as partes interessadas como uma componente integrante e essencial da gestão do risco. A comunicação é corretamente vista como um processo de dois sentidos, de tal modo que decisões adequadamente informadas, possam ser tomadas quanto ao nível do risco e à necessidade de tratamento do risco face a critérios do risco adequadamente estabelecidos e abrangentes. O reporte exaustivo e frequente, externo e interno, quer sobre riscos significativos quer sobre o desempenho da gestão do risco, contribui substancialmente para uma governação eficaz no seio da organização. A.3.5 Integração total na estrutura de governação da organização
Im
A gestão do risco é vista como central nos processos da gestão da organização, de tal forma que os riscos são considerados em termos do efeito da incerteza na consecução dos objetivos. A estrutura e o processo de governação são baseados na gestão do risco. A gestão do risco eficaz é considerada pelos gestores, como sendo essencial para a consecução dos objetivos da organização. Isto é indicado através da linguagem dos gestores e dos documentos relevantes da organização usando o termo “incerteza” associado aos riscos. Este atributo é também normalmente refletido nas declarações de política da organização, particularmente nas relacionadas com a gestão do risco. Normalmente, este atributo será verificado através de entrevistas com os gestores e através da evidência das suas ações e declarações.
NP ISO 31000 2013 p. 30 de 30
Bibliografia Guia ISO 73:2009
Risk management – Vocabulary
[2]
ISO/IEC 31010
Risk management – Risk assessment techniques
Im
pr es © sã o IP de Q re doc pr u m od uç ent ão o e pr lec oib tró ida nic o
[1]
