You are on page 1of 118

ABNT NBR ISO 31000 –

Gestão de Riscos –
Princípios e Diretrizes

Norma Técnica

Documento estabelecido por consenso e
aprovado por um organismo reconhecido,
que fornece, para uso e comum e
repetitivo, regras, diretrizes ou
características para atividades ou seus
resultados, visando à obtenção de um
grau ótimo de ordenação em um dado
contexto.

Consenso

Acordo geral, caracterizado pela ausência de
oposição fundamentada a aspectos significativos por
qualquer parte importante dos interesses envolvidos,
através de um processo que busca levar em conta as
posições de todas as partes interessadas e a
conciliação das opiniões conflitantes.

ABNT

  Fundada em 1940;
  Organização Privada, sem fins lucrativos;
  Único Fórum Nacional de Normalização;
  Membro fundador da ISO, COPANT e AMN;
  Membro da IEC,
  Signatária do Código de Boas Práticas em Normalização.

Níveis de normalização

ISO ITU IEC
INTERNACIONAL
AMN CEN ETSI CENELEC COPANT
REGIONAL

NACIONAL ABNT DIN VDE BSI

ASSOCIATIVO IEEE ASME NEMA ABTCP

EMPRESARIAL PETROBRÁS

O que é a ISO?

Organização Internacional para Normalização

É o fórum mundial onde se busca o consenso na
elaboração de normas internacionais, através da
conciliação dos interesses dos fornecedores,
consumidores, governo, comunidade científica e
demais representantes da sociedade civil
organizada.

fundada em 1947 •  Seus membros são ONN de mais de 150 países •  Um único ONN membro por país (Entidade mais representativa da normalização no país) www.iso.org . Quem é a ISO? •  Federação Mundial de Organismos Nacionais de Normalização (ONN) •  Organização privada. sem fins lucrativos.

etc. PRODUTOR Institutos de pesquisas. Comissões de Estudo NEUTRO (Universidades.) CONSUMIDOR .

Processo de Elaboração de Normas DEMANDA PROGRAMA DE NORMALIZAÇÃO ELABORAÇÃO DO PROJETO DE NORMA CONSULTA NACIONAL ANÁLISE DE VOTOS NÃO OK SIM NORMA .

foram sendo desenvolvidos e aperfeiçoados. não apenas à gravidade do dano." ) •  em 1950 foi usado o termo “Gerente de Risco” (Risk Manager) na Harvard Business Review . mas também à probabilidade do evento. desde o séc. Breve Histórico da Gestão de Riscos Antecedentes •  conceitos de risco. XVII ("O medo do dano deveria ser proporcional. probabilidade. etc.

Breve Histórico da Gestão de Riscos Antecedentes O uso da gestão de riscos. análise de riscos surgiu de maneira mais ou menos independente em diversas áreas:   Indústria Nuclear   Seguros   Indústria do Petróleo   Segurança (safety) no Trabalho   Segurança (security) Corporativa   Sistema Financeiro   Segurança (security) da Informação   Segurança (safety) dos Produtos e Processos . avaliação de riscos.

..   Baía da Guanabara (Brasil) – 2000   Eron (EUA) – 2001   11/09 (EUA) – 2001   Crise financeira mundial – 2008/.   Terremoto (Chile e Haiti) – 2010 . Breve Histórico da Gestão de Riscos Antecedentes Fatos passados e recentes deixam a SOCIEDADE cada vez mais preocupada e insegura   Seveso (Itália) – 1976   Bhopal (Índia) – 1984   Chernobyl (Ucrânia) – 1986   Exxon Valdez (EUA) – 1989   Mal da Vaca Louca (Europa) – 1992/1993/.....

Breve Histórico da Gestão de Riscos Contexto   Economia cada vez mais baseada em recursos tecnológicos. .   As empresas deixam de ser “salões de produção” para se tornarem uma espécie de “cassino tecnológico”.   Mercados e empresas cada vez mais volúveis e “voláteis”.   Tomar decisões sem considerar os riscos envolvidos não é viável – nem sensato.

P. Contudo. em latim. empresários abrem seus negócios e políticos concorrem a cargos eletivos. o risco é um parceiro inevitável. cirurgiões realizam operações. que significa ousar. engenheiros projetam pontes.) . “Quando investidores compram ações. Risco O termo risco é proveniente da palavra risicu ou riscu. suas ações revelam que o risco não precisa ser hoje tão temido: administrá-lo tornou- se sinônimo de desafio e oportunidade”. (Bernstein.

Risco Mudança (evolução ??) do Conceito de Risco o  Incerteza mensurável – Universidade de Chicago (1921) o  Combinação da probabilidade de ocorrência de um dano e severidade deste dano – ISO/IEC Guide 51:1999 o  Combinação da probabilidade de um evento e da sua conseqüência – ABNT NBR ISO Guia 73:2002 o  Mudança de alguma coisa que terá impacto nos objetivos – AS/NZS 4360:2004 .

ou de eventos externos. pessoas e sistemas. sejam eles inerentes ou não a atividade fim das empresas.   Indica que a estrutura deve ser compatível com a natureza e a complexidade dos produtos. .380 (29 de junho de 2006) – Banco Central – Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.   Define a estrutura mínima para o gerenciamento do risco operacional.   Define como risco operacional a possibilidade de ocorrência de perdas resultantes de falha. atividades. deficiência ou inadequação de processos internos. processos e sistemas da instituição.   Determina que as instituições financeiras e demais instituições autorizadas a funcionar implementem uma estrutura de gerenciamento do risco operacional.   Define a necessidade de uma Política de Gerenciamento do Risco Operacional. Lei Sarbanes-Oxley – EUA/2002 (SOX) – seção 404   regular controles internos e garantir a eficácia na gestão dos riscos corporativos. Gestão de Riscos regulamentada RESOLUÇÃO 3. serviços.

ALARM. IRM:2002 – Reino Unido . Breve Histórico da Norma 
 ABNT NBR ISO 31000 o  AS/NZS4360 95/99/04 – Austrália o  FERMA: 2004 – Europa o  COSO 2 (ERM): 2004 – Estados Unidos o  JIS Q: 2001 – Japão o  CAN/CSAQ850: 1997 – Canadá o  ONR 49000: 2008 – Áustria (Alemanha/Suíça) o  BS 6079-3 – Reino Unido o  BSI PAS 56:2003 – Reino Unido o  AIRMIC.

Breve Histórico da Norma 
 ABNT NBR ISO 31000 Primeiros documentos na ISO/IEC o  ISO/IEC Guide 51 – Safety aspects – Guidelines for their inclusion in standards (1999) o  IEC 62198 Project Risk Management – Application guidelines (2001) o  ISO/IEC Guide 73 Risk management – vocabulary – guidelines for use in standards (2002) .

Breve Histórico da Norma 
 ABNT NBR ISO 31000   Junho 2004: solicitação de fast track da norma AS/NZS 4360 – recusada   Março 2005: solicitação da proposta de elaboração da norma – Japão   Junho 2005: aceitação da proposta de elaboração da norma   Setembro 2005: decisão por uma norma de Princípios e Diretrizes   Fevereiro 2006. Dezembro 2007: Elaboração   Abril 2008: Redação DIS e enquete   Dezembro 2008: FDIS e votação da comissão   Outubro 2009: Votação dos membros e publicação . Setembro 2006. Maio 2007.

Características Princípios e Diretrizes genéricas NÃO é específica para qualquer indústria ou setor NÃO pretende promover a uniformidade da gestão de riscos NÃO é destinada para fins de certificação .

Características ABNT NBR ISO 31000 Harmonizar os processos de gestão de riscos tanto em normas técnicas atuais como em futuras. e não substituí-las. . fornecendo uma abordagem comum para apoiar normas técnicas que tratem de riscos e/ou setores específicos.

Normas “com risco” ABNT NBR ISO 31000 .

Ciclo da Gestão de riscos Identificar Analisar Analisar criticamente Riscos Monitorar Avaliar Tratar .

Benefícios da gestão de riscos Redução das Aproveitamento surpresas das oportunidades Melhoria do Melhoria das planejamento. Economia e relações com as desempenho e eficiência partes interessadas eficácia Melhoria das Melhorar a Melhorar a informações para a governança prevenção de tomada de decisão corporativa perdas Aumentar a Atender aos resiliência da documentos organização normativos .

A norma ABNT NBR ISO 31000 Prefácio Nacional Introdução 1 Escopo 2 Termos e definições 3 Princípios 4 Estrutura 5 Processo Anexo A (infomativo) Atributos de uma gestão de riscos avançada .

Estrutura e Processo Termos e Definições (Seção 2) . Princípios.

. Termos e Definições 2. . . . .28 – 2. . . .2 . .29 . . . .1 – 2. . . . 2.

Princípios 3 .

3.6 4.4.3.1 4.4.1 4.3 4.2 4.7 4.3.3.3.6 4. Estrutura 5.3.5 4.4 .6 5.3.5 4.7 4.2 4.2 4.

4.5.5 5.4 5.2 5.2 5. Processo 5.4.2 5.4 5.3 5.3 5.5.3 .3.3.2 5.3.4.3.

2 5.4 5.4. Princípios.3. Estrutura e Processo 5.5 4.3.3.3 4.4.3.2 4.3.4 3 2.5. .5 5.4. .29 . .3 5. .2 4.6 4.2 5.2 5. .6 4.4.1 – 2. .2 4.4 5.2 5. 2.5.3 5. .5 4. .3.1 4.3.3. .6 5. .3.3 5.7 4. .1 4. .28 – 2. .4.2 .3. .3.7 4.

Termos e Definições
 (ABNT NBR ISO 31000:2009)   Risco
   Gestão de riscos
   Plano de gestão de risco   Processo da gestão de riscos   Avaliação de risco   Contexto interno   Análise de risco   Contexto externo   Fonte de risco   Identificação de risco   Critério de risco   Tratamento de risco   Perfil de risco   Evento   Conseqüência   Probabilidade .

contendo normalmente quatro elementos: fontes. causas e conseqüências Perigo fonte de potencial dano Nota . +Termos e Definições 
 (ABNT NBR ISO Guia 73:2009) Descrição dos riscos declaração estruturada de riscos. eventos.O perigo pode ser uma fonte de risco Exposição grau em que uma organização e/ou parte interessada está sujeita a um evento .

++Termos e Definições 
 (ABNT NBR ISO Guia 73:2009) Freqüência número de eventos ou resultados por unidade de tempo definida NOTA .Freqüência pode ser aplicada a eventos passados ou a potenciais eventos futuros. onde eles podem ser usados como uma medida de probabilidade Vulnerabilidade propriedades intrínsecas de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma conseqüência Matriz de risco ferramenta para classificar e apresentar riscos definindo faixas para conseqüência e probabilidade .

+++Termos e Definições 
 (ISO Guia 51:1999) Segurança ausência de riscos inaceitáveis Dano prejuízo físico ou dano à saúde das pessoas. Uso esperado uso de um produto. processo ou serviço de acordo com as informações disponibilizadas pelo fornecedor Uso indevido previsível uso de um produto. ou dano à propriedade ou dano ao ambiente. processo ou serviço. porém resultante de um comportamento humano previsível. em desacordo com o fornecedor. .

Outros Termos e Definições Responsabilização (do inglês “accountability”) condição de responsabilidade por decisões e atividades e prestação de contas destas decisões e atividades aos órgãos de governança de uma organização e. produtos e serviços de uma organização. (Por exemplo: aspecto ambiental do processo de lavagem de carros. atividades. resultante de um aspecto. às partes interessadas da organização (adaptado da ABNT NBR ISO 26000). de modo mais amplo. aspecto da responsabilidade social da implantação de uma nova indústria. processos. adversa ou benéfica. Aspecto Elemento das atividades ou produtos e serviços de uma organização. nas relações. .) Impacto Qualquer modificação.

Base da Gestão de Riscos A gestão de riscos.......envolve tanto ameaças quanto oportunidades ... .requer olhar para frente ..requer comunicação ..requer um raciocínio equilibrado ....requer responsabilidade na tomada de decisões ...requer uma reflexão aprofundada .......

Processo de Gestão de Risco .

Processo de Gestão de Risco Parte integrante da gestão Incorporado na cultura e nas práticas Adaptado aos processos de negócios .

Estrutura para gerenciar riscos .

Estrutura para Gestão de Riscos .

Estrutura para Gestão de Riscos Não pretende prescrever um sistema de gestão Auxiliar a organização a integrar a gestão de riscos em seu sistema de gestão .

Estrutura para Gestão de Riscos Antes de tudo….estabelecer o CONTEXTO para entender a organização Contexto externo ..

regulatório. tecnológico. regional ou local   fatores–chave e tendências que tenham impacto sobre os objetivos da organização   relações com partes interessadas externas e suas percepções e valores . econômico. social. legal. Contexto Externo   ambientes cultural. financeiro. nacional. natural e competitivo. quer seja internacional. político.

. objetivos e estratégias implementadas para atingi-los   capacidades. funções e responsabilidades   políticas. Contexto Interno   governança. fluxos de informação e processos de tomada de decisão (formais e informais)   etc. estrutura organizacional. entendidas em termos de recursos e conhecimento   sistemas de informação.

. Partes Interessadas   Acionistas   Órgãos reguladores   Colaboradores   Sindicatos   Famílias dos colaboradores   Usuários   Fornecedores   Mídia   etc.

  alinhar os objetivos da gestão de riscos com os objetivos e estratégias da organização.   definir indicadores de desempenho para a gestão de riscos que estejam alinhados com os indicadores 
 de desempenho da organização.   assegurar que a cultura da organização e a política de gestão de riscos estejam alinhadas. . Mandato e comprometimento Comprometimento forte e sustentado a ser assumido pela alta administração   definir e aprovar a política de gestão de riscos.

e   assegurar que a estrutura para gerenciar riscos continue a ser apropriada. Mandato e comprometimento   assegurar a conformidade legal e regulatória. .   atribuir responsabilidades nos níveis apropriados dentro da organização.   comunicar os benefícios da gestão de riscos a todas as partes interessadas.   assegurar que os recursos necessários sejam alocados para a gestão de riscos.

Política de Gestão de Riscos É importante que a Política fale sobre:   a justificativa da organização para gerenciar riscos   as ligações entre os objetivos e políticas da organização com a política de gestão de riscos   as responsabilidades para gerenciar riscos   a forma com que são tratados conflitos de interesses   o comprometimento de tornar disponíveis os recursos necessários   a forma com que o desempenho da gestão de riscos será medido e reportado   o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias .

enquanto é mantida uma flexibilidade de negócio. sistemática e integrada.
 Isto significa que iremos: •  Identificar e estabelecer os riscos materiais associados ao negócio. •  Utilizar uma gestão de risco comum. Exemplos de Políticas (?) Política de gestão de risco Na Novo Nordisk faremos a gestão do risco de forma a permitir o crescimento contínuo do nosso negócio e a proteger os nossos colaboradores. . de forma a maximizar os benefícios de negócio. bens. •  Monitorizar e atenuar os riscos. lucros e reputação contra perdas materiais.

Exemplos de Políticas (?)

Política de Gestão de Riscos Corporativos


Para a RGE, o gerenciamento de riscos é uma
responsabilidade de todos os colaboradores, que devem
assegurar controles internos adequados para o
monitoramento dos riscos dos processos e comunicar,
sistemática e formalmente, fatos que possam afetar
negativamente os resultados da Empresa.


Responsabilização
  identificar os proprietários dos riscos que têm a
responsabilidade e a autoridade para gerenciar riscos;

  identificar os responsáveis pelo desenvolvimento,
implementação e manutenção da estrutura para gerenciar
riscos;

  identificar outras responsabilidades das pessoas, em
todos os níveis da organização no processo de gestão de
riscos;

  estabelecer medição de desempenho e processos de
reporte internos ou externos e relação com os devidos
escalões; e

  assegurar níveis apropriados de reconhecimento.

Integração nos processos organizacionais

o  gestão de riscos incorporada em todas
as práticas e processos da organização

o  gestão de riscos parte integrante
desses processos organizacionais

Recursos Alocar recursos apropriados para a gestão de riscos: o  pessoas. experiências e competências o  recursos necessários para o processo o  processos. métodos e ferramentas o  processos e procedimentos documentados o  sistemas de gestão da informação e do conhecimento o  programas de treinamento . habilidades.

pertinentes. Comunicação e consulta A comunicação e a consulta devem facilitar a troca de informações verdadeiras. exatas e compreensíveis. . levando em consideração os aspectos de confidencialidade e integridade das pessoas.

  reunir diferentes áreas de especialização em conjunto para análise dos riscos.   aprimorar a gestão de mudanças. . Comunicação e consulta
 OBJETIVOS   auxiliar a estabelecer o contexto apropriadamente.   garantir o aval e o apoio para um plano de tratamento.   assegurar que os interesses das partes interessadas sejam compreendidos e considerados.   auxiliar a assegurar que os riscos sejam identificados adequadamente.   assegurar que diferentes pontos de vista sejam devidamente considerados quando da definição dos critérios de risco e na avaliação dos riscos.

PLANO DE COMUNICAÇÃO e CONSULTA interno e externo . Comunicação e consulta Convém que a comunicação e a consulta às partes interessadas internas e externas aconteçam durante todas as fases do processo de gestão de riscos.

Plano de Comunicação e Consulta Elementos essenciais   O que?   Para quem?   Como?   Quando? .

sobre o progresso do plano de gestão de riscos e como a política de gestão de riscos está sendo seguida . o plano e a estrutura da gestão de riscos ainda são apropriados? o  a eficácia da estrutura da gestão de riscos o  reporte sobre os riscos. análise crítica e melhoria contínua da estrutura Use indicadores e faça analises críticas periodicamente: o  o desempenho o  o progresso obtido o  os desvios o  a política. Monitoramento.

Chair.Grant Purdy . Standards Australia and New Zealand Estrutura para gerenciar riscos Joint Technical Committee on Risk Management . Fonte: HOW TO BRING YOUR ERM FRAMEWORK INTO LINE WITH ISO 31000 .

  do escopo. produto. Contexto do Processo de Gestão de Riscos   das metas e objetivos das atividades de gestão de riscos. englobando inclusões e exclusões específicas. bem como da profundidade e da amplitude das atividades da gestão de riscos a serem realizadas. . função. serviço ou ativo em termos de tempo e localização. projeto. processo. processos ou atividades da organização.   das relações entre um projeto. processo ou atividade específicos e outros projetos.   das responsabilidades pelo processo e dentro da gestão de riscos.   da atividade.

.   da forma como são avaliados o desempenho e a eficácia na gestão dos riscos. Contexto do Processo de Gestão de Riscos (cont. de sua extensão e objetivos. definição ou elaboração dos estudos necessários.   identificação e especificação das decisões que têm que ser tomadas.)   das metodologias de processo de avaliação de riscos. e dos recursos requeridos para tais estudos. e   identificação.

  impostos ou derivados dos requisitos legais e regulatórios (por exemplo.   requisitos contratuais (oriundos de clientes.)   critérios geralmente aceitos no setor (por exemplo. etc. . Critérios de riscos   apetite de risco da organização (reflete os valores. objetivos e recursos da organização). seguros. Normas Regulamentadoras do MTE). critérios de segurança para Turismo de Aventura).

  como a probabilidade será definida.   a evolução no tempo da probabilidade e/ou conseqüência(s).   como o nível de risco deve ser determinado. Critérios de riscos Aspectos a serem considerados:   a natureza e os tipos de causas e de conseqüências que podem ocorrer e como elas serão medidas. .   os pontos de vista das partes interessadas.   o nível em que o risco se torna aceitável ou tolerável.

Processo de 
 Avaliação de Riscos Estabelecer contexto Identificar riscos Analisar riscos Avaliar riscos Tratar riscos .

é necessário considerar possíveis causas e cenários que mostrem quais conseqüências podem ocorrer. . Identificação de riscos Causas Eventos Conseqüências A identificação abrangente é crítica. pois um risco que não é identificado nesta fase não será incluído em análises posteriores Além de identificar o que pode acontecer.

Identificação de riscos Perguntas a fazer   quais seriam os efeitos nos objetivos?   quando. onde. por quê. qual a probabilidade desses riscos ocorrerem?   quem/o quê poderia sofrer o impacto?   quais os controles existentes para tratar esse risco?   o que fazer se o controle não é eficiente? .

Identificação de riscos Após o processo…   qual é a confiabilidade das informações?   a lista de riscos é abrangente?   há necessidade de pesquisa adicional sobre riscos específicos?   os objetivos e o escopo foram abrangidos de forma adequada?   a identificação de riscos envolveu as pessoas certas? .

  relatórios pós-eventos. Fontes para a Identificação de Riscos   experiência local ou internacional.   etc.   resultados de auditorias.   discussões dirigidas em grupo.   dados de incidentes e acidentes.   registros históricos. .   experiência pessoal.   opinião de um perito.

e a probabilidade de que essas conseqüências possam ocorrer. . suas conseqüências positivas e negativas. Análise de riscos A análise de riscos envolve a apreciação das causas e das fontes de risco.

  o risco seja analisado determinando–se as conseqüências e sua probabilidade (um evento pode ter várias conseqüências e pode afetar vários objetivos)   os controles existentes e sua eficácia e eficiência também sejam levados em consideração. . Análise de riscos Convém que:   os fatores que afetam as conseqüências e a probabilidade sejam identificados.

dados e recursos disponíveis.   As conseqüências podem ser expressas em termos de impactos tangíveis e intangíveis.   A análise pode ser qualitativa. ou uma combinação destas. semi-quantitativa ou quantitativa. dependendo do risco.   As conseqüências e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento ou conjunto de eventos. Análise de riscos   A análise de riscos pode ser realizada com diversos graus de detalhe. da finalidade da análise e das informações. ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis. .

os controles funcionam da forma pretendida e suas eficácias podem ser demonstradas quando necessário? . Análise de riscos Avaliação dos Controles Existentes O nível de risco dependerá da adequação e eficácia dos controles existentes. Questões a serem abordadas o  Quais são os controles existentes a um risco particular? o  Os controles são capazes de tratar adequadamente o risco para que ele seja controlado a um nível que é tolerável? o  Na prática.

Na maioria dos casos. ou conjunto de controles relacionados. quantitativo ou semi-quantitativo. definir e registrar uma medida de eficácia do controle de risco para que as decisões possam ser feitas: É melhor o esforço despendido na manutenção/ melhoria de um controle ou em um tratamento de risco? . um elevado nível de
 exatidão não é garantido. Análise de riscos Avaliação dos Controles Existentes O nível de eficácia de um controle particular. No entanto. pode ser qualitativo.

  Considerar as conseqüências imediatas e aquelas que podem surgir depois de um certo tempo. como a repercussão em outros processos. sistemas e organizações. atividades. Análise de riscos Avaliação das Conseqüências   Levar em consideração todos os controles existentes para tratar as conseqüências.   Considerar as conseqüências secundárias. .

. a necessidade do tratamento pode ser considerada. Com base nesta comparação. Avaliação de riscos A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado.

5 Catastrófica Perda financeira irreparável. Critérios para Avaliação de Riscos - exemplo Escala qualitativa de conseqüências . 2 Baixa Pequena perda financeira. 4 Alta Grande perda financeira. . 3 Moderada Perda financeira significativa.risco negativo Índice Descritor Descrição 1 Insignificante Sem perda financeira.

risco positivo Índice Descritor Descrição 1 Insignificante Poucos benefícios à imagem da organização 2 Baixa Melhoria pequena na imagem da organização 3 Moderada Alguma melhoria na imagem da organização 4 Alta Melhoria na imagem da organização 5 Excelente Melhoria significativa na imagem da organização . Critérios para Avaliação de Riscos - exemplo Escala qualitativa de conseqüências .

000 – US$ Possível 3 1M processo Incapaci- Repercus- dade 2 temporá- são na mídia ria Efeitos Impacto na menores na população 1 biologia do local meio recuperável ambiente . Critérios para Avaliação de Riscos - exemplo Classificação das Conseqüências ÍNDICE Meio Redução dos Lucros Segurança Sociocultural Reputação Legal ambiente DESCRITORES 5 > US$ 10M Dano ambiental Uma Litígio 4 muito grave morte maior US$ 100.

Critérios para Avaliação de Riscos - exemplo Escala qualitativa de probabilidade Nível Descrição Exemplo de descrição Quase 1 Poderá ocorrer somente em circunstâncias excepcionais impossível 2 Improvável Poderá ocorrer alguma vez 3 Possível Deverá ocorrer alguma vez 4 Provável Provavelmente ocorrerá na maioria das vezes 5 Quase certo Espera-se que ocorra na maioria das vezes .

000 anos Tecnicamente é possível. Critérios para Avaliação de Riscos - exemplo Escala qualitativa de probabilidade FREQUÊNCIA INDICATIVA ÍNDICE DESCRITOR DESCRIÇÃO (expectativa de ocorrência) A Quase certo O evento ocorrerá anualmente Uma vez ao ano ou mais B Provável O evento ocorreu diversas vezes Uma vez a cada três anos C Possível O evento poderá ocorrer uma vez Uma vez a cada dez anos Uma vez a cada trinta D Improvável O evento ocorre de vez em quando anos E Raro Sabe-se que algo semelhante ocorreu Uma vez a cada 100 anos F Muito raro Sua ocorrência é desconhecida Uma em 1.000 anos espera que ocorrerá . mas não se G Quase impossível Uma em 10.

mas altamente improvável Improvável Poucas chances de ocorrer durante o projeto . Critérios para Avaliação de Riscos - exemplo Escala qualitativa de probabilidade DESCRITOR DESCRIÇÃO DESCRITOR ALTERNATIVO Espera-se que possa ocorrer durante o Provável Boas chances projeto Não se espera que ocorra durante o Possível Baixas/médias chances projeto Concebível.

. b)  Uma faixa intermediária ou “zona cinzenta”. c)  Uma faixa inferior na qual os riscos são “insignificantes”. Critérios para Avaliação de Riscos - exemplo Nível do Risco = índice P x índice C Abordagem comum a)  Uma faixa superior na qual os riscos são intoleráveis.

Critérios para Avaliação de Riscos - exemplo Nível do Risco = índice P x índice C Nível do Risco Descritor NR < 6 Baixo 8 < NR < 12 Moderado NR ≥ 15 Crítico .

Critérios para Avaliação de Riscos - exemplo 5 5 10 15 20 25 Probabilidade 4 4 8 12 16 20 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 índice 1 2 3 4 5 Conseqüência .

Critérios para Avaliação de Riscos - exemplo Fonte: Gere/APQ .Portugal .

B: risco baixo . M: risco moderado. Critérios para Avaliação de Riscos - exemplo Conseqüências Probabilidades Insignificante Menor Moderada Maior Catastrófica quase certo A A E E E provável M A A E E possível B M A E E improvável B B M A E raro B B M A A Legenda: E: risco extremo. A: risco alto.

Verde: monitorar somente . Critérios para Avaliação de Riscos - exemplo Conseqüências Probabilidades Maior Moderada Menor provável vermelho vermelho amarelo possível vermelho amarelo verde improvável amarelo verde verde Legenda: Vermelho: ação imediata. Amarelo: ação intensificada.

adaptado deTorben Rahbek/EMARS . Processo de Gestão de Riscos .exemplo - Passo 1 – Definir o produto Martelo de metal com cabo revestido de borracha.

Processo de Gestão de Riscos . Mas crianças podem querer imitar os adultos e utilizar o martelo como brinquedo.exemplo - Passo 2 – Definir o contexto O produto é normalmente utilizado por adultos. adaptado deTorben Rahbek/EMARS .

exemplo - Passo 3 – Critérios CONSEQÜÊNCIA DESCRIÇÃO Insignificante Sem lesões Tratamento com Menor primeiros socorros Moderada Tratamento médico PROBABILIDADE DESCRIÇÃO necessário Maior Graves lesões P <= 20% raro Catastrófica Morte 20% < P <= 40% improvável 40% < P <= 60% possível 60% < P <= 80% provável 80% < P <= 100% quase certo . Processo de Gestão de Riscos .

Processo de Gestão de Riscos . A: risco alto. M: risco moderado.exemplo - Passo 4 – Critérios Conseqüências Probabilidades Insignificante Menor Moderada Maior Catastrófica quase certo A A E E E provável M A A E E possível B M A E E improvável B B M A E raro B B M A A Legenda: E: risco extremo. B: risco baixo .

adaptado deTorben Rahbek/EMARS . Processo de Avaliação de Riscos .exemplo Passo 5 – Identificar os riscos (somente um risco será considerado no exemplo) O revestimento de borracha se descola quando o usuário atinge freqüentemente uma superfície dura.

adaptado deTorben Rahbek/EMARS . Isto pode causar contusões no braço.exemplo Passo 6 – Possíveis Conseqüências A parte superior do martelo pode saltar para trás e bater no braço do usuário. Processo de Avaliação de Riscos .

exemplo - Passo 7 – Conseqüência CONSEQÜÊNCIA DESCRIÇÃO Insignificante Sem lesões Tratamento com primeiros Contusões Menor socorros superficiais no Moderada Tratamento médico necessário braço. Avaliação de Riscos . Maior Graves lesões Catastrófica Morte .

Probabilidade = 0.10 = 10% .   aparte superior do martelo acerta o braço (probabilidade estimada em 20%).5 x 0.exemplo - Passo 8 – Probabilidade   cabosoltar/descolar (probabilidade estimada em 50%).2 = 0. Avaliação de Riscos .

exemplo - Passo 9 – Probabilidade PROBABILIDADE DESCRIÇÃO P <= 20% raro 20% < P <= 40% improvável 40% < P <= 60% possível 60% < P <= 80% provável 80% < P <= 100% quase certo . Avaliação de Riscos .

exemplo - Passo 10 – Nível do Risco Conseqüências Probabilidades Insignificante Menor Moderada Maior Catastrófica quase certo A A E E E provável M A A E E possível B M A E E improvável B B M A E raro B B M A A Legenda: E: risco extremo. B: risco baixo . M: risco moderado. A: risco alto. Avaliação de Riscos .

  deve fornecer resultados de uma forma que aumenta a compreensão da natureza do risco e como ela pode ser tratada. Processo de Avaliação de Riscos o  A avaliação de riscos pode ser realizada em diferentes graus de profundidade e detalhe. com um ou muitos métodos. que vão do simples ao complexo. a técnica deve apresentar as seguintes características:   deve ser justificável e apropriada para a situação ou organização em questão. repetível e verificável. o  Em termos gerais. o  A forma de avaliação e seu resultado devem ser coerentes com os critérios de risco desenvolvidos no âmbito da criação do contexto. .   deve ser utilizada de uma forma que permita ser rastreável.

A norma ABNT NBR ISO/IEC 31010 .

Tratamento de riscos O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. . Uma vez implementado. o tratamento fornece novos controles ou modifica os existentes.

Ciclo do Tratamento de Riscos avaliação do tratamento de riscos já realizado decisão se os níveis de avaliação da eficácia risco residual são desse tratamento toleráveis se não forem toleráveis. a definição e implementação de um novo tratamento para os riscos .

e   retenção do risco por uma decisão consciente e bem embasada.   alteração das consequências. .   tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade.   compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco). Tratamento de riscos   ação de evitar o risco ao se decidir não iniciar ou descontinuar a atividade que dá origem ao risco.   alteração da probabilidade.   remoção da fonte de risco.

Tratamento de riscos Seleção das opções o  várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas o  convém que a organização considere os valores e as percepções das partes interessadas o  convém que o plano de tratamento identifique claramente a ordem de prioridade em que cada tratamento deva ser implementado .

Tratamento de riscos Seleção das opções – algumas questões   A opção será aceita pelas partes interessadas?   A opção será de fácil/difícil implementação?   A opção será compatível com as demais opções a serem adotadas?   Quais serão os impactos sociais e econômicos gerados pela implementação da opção?   A opção infringirá algum requisito legal?   A opção gerará novos riscos?   Quais serão os riscos residuais? .

incluindo os benefícios que se espera obter. Tratamento de riscos Plano de tratamento de riscos o  as razões para a seleção das opções de tratamento. o  medidas de desempenho e restrições. o  os responsáveis pela aprovação do plano e os responsáveis pela implementação do plano. o  ações propostas. incluindo contingências. o  cronograma e programação. o  os recursos requeridos. A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão implementadas . o  requisitos para a apresentação de informações e de monitoramento.

o  identificar os riscos emergentes. Monitoramento e análise crítica Finalidades o  garantir que os controles sejam eficazes e eficientes no projeto e na operação. mudanças. o  analisar os eventos (incluindo os “quase incidentes”). sucessos e fracassos e aprender com eles. o  detectar mudanças no contexto externo e interno. tendências. o  obter informações adicionais para melhorar o processo de avaliação dos riscos. incluindo alterações nos critérios de risco e no próprio risco. . as quais podem requerer revisão dos tratamentos dos riscos e suas prioridades.

os registros fornecem os fundamentos para a melhoria dos métodos e ferramentas. bem como de todo o processo. Registros do processo Convém que as atividades de gestão de riscos sejam rastreáveis. No processo de gestão de riscos. .

  atender a requisitos regulatórios.   gerar uma ferramenta para prestação de contas.   fornecer evidências de uma abordagem sistemática.   compartilhar e comunicar informações. . Registros do processo   demonstrar às partes interessadas a adequação do processo.   possibilitar a análise crítica do processo.   fundamentar a tomada de decisões.   gerar uma base de dados para a organização.

Contingência.   ações imediatas   plano de emergência   plano de contingência   gestão de crises   ações subseqüentes   plano de continuidade dos negócios . Crise e Continuidade NÃO FAZ PARTE DA GESTÃO DE RISCOS PROPRIAMENTE DITA.

Gestão de Riscos Positivos e Negativos A tendência do foco no risco negativo Argumentos de natureza humana •  ameaças X oportunidades •  perda ocorrida X ganho não aproveitado •  medidas mais drásticas com as possibilidades de perdas X ganhos “O temor da perda freqüentemente é mais poderoso que a esperança da vitória” Vantagem Competitiva das Nações – Michel Porter .

ou seja. Gestão de Riscos Positivos e Negativos O valor da gestão de riscos positivos   Diversas organizações vêm perseguido de forma pouca estruturada as oportunidades.   O “apetite ao risco (negativo)” é substituído pela “indução ao risco (positivo)”. grandes investimentos em apostas intuitivas e otimistas. .   Tudo depende do foco da organização de como o evento será entendido e abordado.

Gestão de Riscos Positivos e Negativos FONTE: ELOGROUP .

.   Realizar auditorias e análises críticas é vital para o sucesso contínuo do programa de gestão de risco. Fatores Críticos de Sucesso   Obter o apoio total da alta direção (sem isso.   E s t a b e l e c e r u m m é t o d o q u e t o d o s o s colaboradores possam acessar e usar de forma regular. o processo será falho e os colaboradores não apoiarão a execução de qualquer coisa). mas é algo que pode ajudar todos os colaboradores e gestores a serem mais eficazes.   Passar a mensagem de que a gestão de risco não é apenas outro modismo.   Incorporar a gestão do risco no desenvolvimento e revisão dos planos corporativos de negócio.

Em resumo. devendo ser incorporado em um sistema estruturado. orientado por princípios de gestão e baseado em um vocabulário comum. .. um processo tem que ser realizado. A fim de gerir o risco..

.Para relaxar.. .

Você tem a liberdade de: Compartilhar Copiar. transformar ou criar em cima desta obra. ou sob uma licença similar à presente. . você poderá distribuir a obra resultante apenas sob a mesma licença. Compartilhamento pela mesma licença Se você alterar.   Uso não comercial Você não pode usar esta obra para fins comerciais.   Sob as seguintes condições: Atribuição Você deve creditar a obra da forma especificada pelo autor ou licenciante (mas não de maneira que sugira que estes concedem qualquer aval a você ou ao seu uso da obra). Remixar Criar obras derivadas. distribuir e transmitir a obra.   Renúncia Qualquer das condições acima pode ser renunciada se você obtiver permissão do titular dos direitos autorais.

net.Witte Cruz Machado guilherme@sextante.Guilherme A.br +11 9 8442-0153 +11 2935-7655 .