RELATORIO ABNT TECNICO ISO/TR 31004 Primeica edigao 05.10.2015 Valida @ partir de 05.11.2015 Gestao de riscos — Guia para implementacao da ABNT NBR ISO 31000 Risk management — Guide to the implementation of ABNT NBR ISO 31000 ICS 03.100.01 ISBN 978-85-07-05808-3, aseocEN Numero de referéncia BRASILEiRA ABNT ISO/TR 31004:2015 TECNICAS ‘sS.peonee: (©1S0.2013- @ABNT 2015 FuABNT ISO/TR 31004:2015 180 2013 Todos os dritos reservados. A menos que especficado de outro modo, nenhuma parte desta publiagéo pode ser reproduzida ou utiizada por qualquer meio, eletrnico ou mecdnico, incluind fotocdpia © microfime, sem permisso por ‘escrito da ABNT, Unico representante da ISO no tertéro brasio. ‘© ARNT 2015 Todos 0s direitos reservados. A menos que especicado de outro modo, nenhuma parte desta publiagdo pode ser reproduzida ou liizada por qualquer meio, eletrnico ou mecdnico, incluind fotocépia @ mirofime, sem permisso por ‘escrito da ABNT. ASNT ‘Av Treze de Maio, 13 - 28° andar 2003-901 - Rio de Janeio - RJ Tol: + 85 21 3974-2300 Fax: +55 21 3074-2348 abnt@abnt org.br werwabntorg br i (©180 2019 -© ABNT 2018 - Todos odes reservadosABNT ISO/TR 31004:2015 Sumario Pagina Prefacio Nacional 02 Conceitos e principios basicos .. Escopo Implementacao da ABNT NBR ISO 31000... Generalidade Como implementar a ABNT NBR ISO 31000.. Integragao da ABNT NBR ISO 31000 nos processos de gestao da organizacao.. Generalidades... Mandato e comprometimento Concebendo a estrutura. Implementagao da gestio de riscos.. Monitoramento e anélise critica. Melhoria continua BeoeS AA Generalidades.. A2 ——Objetivos A3 _Incerteza. A4 Controle e tratamento de risco .. AS —_— Estrutura para gerenciar riscos... AG ——_Critérios de risco. 7 AT _ Gestéo, gosto de riscos e gerenciar riscos. ‘Anexo B (informative) Aplicagao des principios da ABNT NBR ISO 31000 . Generalidades. Os principios Agestio de riscos cria e protege val PFINCIPIO nn Como aplicar o principio A.gestio de riscos 6 parte integrante de todos os processos organizacionais . Principio Como aplicar 0 principio Agestio de riscos 6 parte da tomada de decisé: Principi Como aplicar 0 principio eennn saa A.gostio de riscos aborda explicitamente a incerteza Principio Como aplicar o principio. Agestio de riscos 6 sistematica, estruturada e oportuna Principio (©180 2013 -@ ABNT 2015 - Tos os detos reservaios Wi Aa.Como aplicar o principio .. A gestio de riscos baseia-se nas melhores informagées disponiveis Principio Como aplicar o principio .. A gestio de riscos é feita sob medida Principio Como aplicar o principio .. ‘A gestio de riscos considera fatores humanos e culturais Principio Como aplicar o principio ..... ‘A gestio de riscos é transparente e inclusi Principio Como aplicar o principio .. Como aplicar o principio a a" A gestdo de riscos facilita a melhoria continua da organiza¢&0 wnrnmmnmnnmnenn D2 Principio Como aplicar o principio .. Anexo C (informativo) Como expressar mandato ¢ comprometimento. C1 Generalidades. 2 Métodos para expressar 0 mandato e o comprometiment0 .r.rnnmnnm C24 — Caracteristicas-chave €.2.2 _Estabelecendoe comunicando a politica de gestdo de riscos eo comprometimento.. 623 — Reforco. C3 _Diretrizes para o desenvolvimento do mandato e do comprometimento. ‘Anexo D (informative) Monitoramento e andlise critic Antecedent: Goneralidades. Responsabilizacao pelo monitoramento ¢ analise critica. Anélises criticas independentes. Obtencao de informacao adequada .. Reporte do processo de anilise critica ‘Acao corretiva e methoria continua .. Monitoramento e anélise critica da estrutura. Avaliar se as caracteristicas e o contexto da organizacao sofreram modificages 34 Anélise critica da estrutura.. 35 Monitoramento e andlise critica do proceso Generalidades..... f (©180 2019 -@ABNT 2015 - Todos 08s reservadosD.32 —_ Responsabilizagao.. D.33 Aprendendo com a experiénci D.3.4 — Monitoramento -ennewnnrennnnnnnnirminnninen D.35 — Anilise critica.. ‘Anexo E (informativo) Integrando a gestao de riscos em um sistema de gestao... EA Generalidades 52 ‘© que é um sistema de gestdo? 40 E3 Sistema de gesto integrado e gestio de riscos At 54 Aimplementacao da gestio de riscos na estrutura de um sistema de gestao da qualidade......... E41 Generalidades. E42 _ |dentificagao e conscientizagao da tomada de decisces.. E43 Proceso de avaliagao de risco.. E44 — modificagao na politica de gestdo de riscos da organizagao;, Bibliografia...nnnnme Tabela ‘Tabela D.1 ~ Exemplo de uma tabela que lista os componentes de uma estrutura (©180 2019 -@ ABNT 2015 Todos os irtos reservados ¥ABNT ISO/TR 31004:2015 Prefacio Nacional AAssociaco Brasileira de Normas Técnicas (ABNT) é 0 Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contedido é de responsabilidade dos Comité Brasileiros (ABNT/CB), dos Organismos. de Normalizagéo Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais (ABNT/CEE), so elaboradas por Comissdes de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalizagao. (Os Documentos Técnicos ABNT so elaborados conforme as regras da Direliva ABNT, Parte 2. AABNT chama a atengo para que, apesar de ter sido solicitada manifestagao sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados & ABNT a qualquer momento (Lei n® 9.279, de 14 de maio de 1996). Ressalta-se que Normas Brasileiras podem ser objeto de citagaio em Regulamentos Técnicos. Nestes casos, os Orgaos responsaveis pelos Regulamentos Técnicos podem determinar outras datas para exigéncia dos requisitos desta Norma, independentemente de sua data de entrada em vigor. © ABNT ISO/TR 31004 foi elaborado pela Comissdo de Estudo Especial de Gestao de Riscos (ABNTICEE-063). Projeto circulou em Consulta Nacional conforme Edital n° 08, de 26.08.2015 a 24.09.2015. Este Relatério Técnico 6 uma adogdo idéntica, em conteudo técnico, estrutura e redagdo, 20 ISO/TR 31004:2013, que foi elaborada pelo Technical Committee Risk management (ISO/TC 262), conforme ISO/IEC Guide 21-1:2005. © Escopo em inglés deste Relatério Técnico 6 o seguinte: Scope This Technical Report provides guidance for organizations on managing risks effectively by implementing ABNT NBR ISO 31000:2009. It provides: — a structured approach for organizations to transition their risk management arrangements in order to be consistent with ISO 31000, in a manner tailored to the characteristics of the organization; — an explanation of the underlying concepts of ABNT NBR ISO 31000; — guidance on aspects of the principles and risk management framework that are described jin ABNT NBR ISO 31000, This Technical Report can be used by any public, private or community enterprise, association, group or individual. NOTE — Forconvenience, all the different users ofthis Technical Report are referred to by the general term “organization”. This Technical Report is not specific to any industry or sector, or to any particular type of risk, and can be applied to all activities and to all parts of organizations. vw (0180 2013 -@ABNT2015 - Todos 0 dios eserradosABNT ISO/TR 31004:2015 Introdugao 0.1. Generalidades COrganizagoes usam varios métodos para gerenciar o efeito da incerteza nos seus objetivos, isto é, para gerenciar riscos, pela detec¢ao e compreensao do risco, e modificando-o onde necessério. Este Relatério Técnico destina-se a assistir as organizagbes a aumentar a eficacia dos seus esforcos de gestao de riscos, pelo alinhamento com a ABNT NBR ISO 31000:2009. A ABNT NBR ISO 31000 fornece uma abordagem de gestao de riscos genérica que pode ser aplicada a todas as organizagées para ajudar a atingir os seus objetivos. Este Relatério Técnico destina-se a ser utilizado por aqueles que, dentro das organizagoes, tomam ‘decisdes que impactam no alcance de seus objetivos, incluindo aqueles responsdveis pela governanga ‘e aqueles que fornecem as organizagées, servicos de aconselhamento e suporte em gestao de riscos. Este Relatério Técnico também se destina a ser utiizado por qualquer pessoa interessada em riscos ‘@ em sua gestdo, incluindo professores, estudantes, legisladores reguladores. Este Relatério Técnico destina-se a ser lido em conjunto com a ABNT NBR ISO 31000 e é aplicavel a todos os tipos e tamanhos de organizagao. Os conceitos centrais e definigSes que s4o fundamentais para a compreenséo da ABNT NBR ISO 31000 sao explicados no Anexo A. ‘ASegao 3 fornece uma metodologia genérica para ajudar a transigao dos arranjos de gestao de riscos, existentes nas organizagées para alinhamento com 2 ABNT NBR ISO 31000, de forma planejada © estruturada. Ela também fornece ajustes dindmicos @ medida que mudancas ocorrem no ambiente interno e extemno da organizacao. ‘Anexos adicionais fornecem aconselhamento, exemplos @ explicagbes relacionadas & implementago de determinados aspectos da ABNT NBR ISO 31000, a fim de auxiliar os leitores de acordo com ‘0s seus conhecimentos e necessidades individuais. Exemplos fomecidos neste Relatério Técnico podem ou nao ser diretamente aplicaveis a situagbes 0u organizagées especificas, e s40 apenas para fins ilustrativos. 0.2 Conceitos e principios basicos Determinadas palavras e conceitos s8o fundamentals para a compreenso tanto da ABNT NBR ISO 31000 quanto deste Relatério Técnico, e sdo explicados na Seco 2 da ABNT NBR ISO 31000:2009 e no Anexo A. ‘AABNT NBR ISO 31000 lista onze principios para a gestio de riscos eficaz. O papel dos principios 6 informar e orientar sobre todos os aspectos da abordagem da organizacao para gesto de riscos. Os principios descrevem as caracteristicas de uma gestao de riscos eficaz. Em vez de simplesmente implementar 0s principios, é importante que a organizacao os reflta em todos os aspectos da gestzo. Estes principios servem como indicadores de desempenho da gestéo de riscos e reforgam 0 valor para a organizago de gerenciar riscos eficazmente. Eles também influenciam todos os elementos do processo de transicdo descritos neste Relatério Técnico, e as quest6es técnicas que so tratadas nos anexos. Mais informagoes 880 dadas no Anexo B. Neste Relatério Técnico, as expressdes “Alta Direcao" ¢ “organismo de superviséo" sao ambas uti- lizadas: “Alta Direc" refere-se & pessoa ou grupo de pessoas que dirige controla uma organizacao no mais alto nivel, enquanto “organismo de superviséo” refere-se & pessoa ou grupo de pessoas que governa uma organizacao, define diregdes, ¢ a quem a Alta Direcao presta contas. NOTA Em muitas organizagdes, 0 organismo de superviso pode ser chamado de conselho diretor, ‘conselho de curadores, conselho de supervisdo etc. (©180 2019 -@ABNT 2015 Todos os datos reservados vil Fu.RELATORIO TECNICO ABNT ISO/TR 31004:2015 Gestio de riscos — Guia para implementagéo da ABNT NBR ISO 31000 1 Escopo Este Relatério Técnico fornece orientagdes para que as organizagdes gerenciem riscos de forma eficaz por meio da implementagao da ABNT NBR ISO 31000:2009, Este Relatério Técnico fornece: — uma abordagem estruturada para as organizagées na transi¢So de seus arranjos de gestéo de riscos de forma a serem consistentes com a ABNT NBR ISO 31000, de uma maneira ajustada 8s caracteristicas da organizacao; — uma explicagao sobre os conceitos basicos da ABNT NBR ISO 31000; — ientagdes sobre os aspectos dos principios e da estrutura para gerenciar riscos descritos na ABNT NBR ISO 31000. Este Relatério Técnico pode ser usado por qualquer empresa piblica, privada ou comunitaria, associagao, grupo ou individuo. NOTA Por convenién ‘geral “organizagao" todos os diferentes usuarios deste Relatério Técnico so referidos pelo termo Este Relatorio Técnico no é especifico para qualquer indiistria ou setor, ou para qualquer tipo de risco especifico, @ pode ser aplicado a todas as atividades e a todas as partes das organizacoes. 2. Referéncia normativa (© documento relacionado a seguir é indispensével a aplicagao deste documento. Para referéncias datadas, aplicam-se somente as edigdes citadas, Para referéncias ndo datadas, aplicam-se as edigoes mais recentes do referido documento (inciuindo emendas). ABNT NBR ISO 31000:2009, Gestéo de riscos ~ Principios e diretrizes 3 Implementagao da ABNT NBR ISO 31000 3.1. Generalidades Esta Segao fornece orientagdes para organizagdes que buscam alinhar sua abordagem e praticas de ‘gestio de riscos com a ABNT NBR ISO 31000 e manter essas praticas alinhadas de forma continua. Fomnece uma metodologia geral que ¢ adequada para aplicago, de maneira planejada, por qualquer organizagao, independente da natureza de seus atuais arranjos de gestao de riscos, Esta metodologia envolve 6 seguinte: — comparar a prética atual com a descrita na ABNT NBR ISO 31000; —_identificar 0 que necessita ser mudado e preparar e implementar um plano para tal; — manter o monitoramento e analise critica permanentes para assegurar a atualizacao e melhoria continua. (©180 2013 © ABNT 2015 Todos os diotos reservados 1ABNT ISO/TR 31004:2015 Isto habiltara a organizagao a obter uma compreensao atualizada e abrangente de seus riscos, @ assegurar que esses riscos sejam consistentes com a sua atitude perante 0 risco e os seus crité- rios de risco. Independentemente do motivo para a implementagao da ABNT NBR ISO 31000, ao faz8-la, espera-se possibiitar a uma organizaco gerenciar melhor seus riscos, em apoio aos seus objetivos. Todas as organizages gerenciam riscos em alguma extensao. Convém que a estratégia para a implementagao da ABNT NBR ISO 31000 reconhega como uma organizacao jé esta gerenciando riscos. O processo de implementagao, conforme descrito em 3.2, ird avaliar os arranjos existentes e, se necessario, ‘adapté-los e modificé-los para alinhd-los com @ ABNT NBR ISO 31000. A ABNT NBR ISO 31000 identifica varios elementos de uma estrutura para gerenciar riscos. Ha diversas vantagens que podem surgir quando os elementos desta estrutura sao integrados na governanga, fungdes @ processos de uma organizagao. Estas relacionam-se com a eficacia organizacional, sdlida tomada de decisées e eficiéncia. a) Convém que a estrutura para gerenciar riscos seja realizada pela integracdo de seus componen- tes dentro do sistema global de gestéo e tomada de decisdes da organiza¢ao, nao importando se 0 sistema ¢ formal ou informal; os processos de geslao existentes podem ser melhorados pela referéncia 4 ABNT NBR ISO 31000. b) A compreensdo e a gestdo da incerteza tornam-se um componente integral no(s) sistema(s) de gesido, estabelecendo uma abordagem comum para a organizagao. ©) A implementagao do processo de gesto de riscos pode ser proporcionalmente ajustada ‘ao tamanho € aos requisitos da organizacao. 4) Agovernanca (isto , diregao e supervisao) da politica, estrutura e processo(s) de gestio de riscos podem ser integrados nos atuais arranjos da governanga organizacional. e) O reporte da gestao de riscos ¢ integrado com outros reportes de gestéo. f)_O desempenho da gestdo de riscos toma-se uma parte integral da abordagem de desempenho geral. 9) Ainteragao e a conexao entre os frequentemente separados campos da gestao de riscos de uma ‘organizacao (por exemplo, gestdo de riscos corporativos, gestéio de riscos financeiros, gestao de riscos em projetos, gestdo da seguranca, gestdo da continuidade de negécios, esto de seguros) podem ser asseguradas ou melhoradas, jd que a atengdo sera agora priortariamente focada na definigdo e no atingimento dos objetivos da organizagao, levando-se em conta os riscos, h) A comunicagao sobre incerteza @ risco entre as equipes de gestéo © os niveis gerenciais & melhorada. i) Silos de atividades de gestao de riscos dentro da organizacao centram-se em atingir 0s objetivos, ‘organizacionais como um foco comum. Pode haver beneficios indiretos a sociedade, uma vez ‘que as partes interessadas externas organizago podem estar motivadas a melhorar suas respectivas atividades de gestao de riscos. i) Otratamento de riscos e os controles podem tomar-se parte integral das operagdes didrias. 3.2. Como implementar a ABNT NBR ISO 31000 Embora a ABNT NBR ISO 31000 explique como gerenciar riscos de forma eficaz, ela nao explica como integrar a gestdo de riscos nos processos de gestdo da organizaco. Mesmo que as orga- nizagées sejam diferentes ¢ os seus pontos de partida possam ser diferentes, uma abordagem de implementaco genérica e sistematica é aplicavel em todos os casos. 2 (0180 219 -@ABNT 2015 - Todos os dite reservados Fo.ABNT ISO/TR 31004:2015 Convém que a organizagao determine se sao necessérias mudancas na estrutura existente para gerenciar riscos antes de planejar € implementar essas mudangas, € ento monitorar a eficécia Continua da estrutura alterada. Isso permitiré & organizacai — alinhar suas atividades de gestio de riscos com os principios para gestio de riscos eficaz descritos na ABNT NBR ISO 31000:2009, Secdo 3; —_aplicar o processo de gesto de riscos descrito na ABNT NBR ISO 31000:2009, Segao 5; — satistazer aos atributos de uma gestdo de riscos avancada na ABNT NBR ISO 31000:2009, SegdoA.3; — assim, atingir os resultados-chave da ABNT NBR ISO 31000:2009, Segdo A.2. Essa_abordagem também 6 aplicvel a organizagées que j4 sdo consistentes com a ABNT NBR ISO 31000, mas que desejam melhorar continuamente sua estrutura e 0 processo para {gerenciar riscos, como recomendado na ABNT NBR ISO 31000:2009, 4.6 @ 5.6 ‘Todos os aspectos da transi¢ao podem ser auxiliados pelo uso da experiéncia de outras organizagoes que gerenciam tipos semelhantes de riscos ou que tenham passado por um processo semelhante 3.3. Integrago da ABNT NBR ISO 31000 nos processos de gestio da organizagao 3.3.4 Generalidades ‘AABNT NBR ISO 31000 fornece uma estrutura e um processo genérrico para gerenciar riscos em toda ou em parte de qualquer tipo de organizagao. Esta Subsegao fornece diretrizes para integrar ‘08 elementos da ABNT NBR ISO 31000 na abordagem gerencial de uma organizacao, inciuindo suas atividades, processos e fungdes. As organizagbes podem escolher integrar os conceitos da ABNT NBR ISO 31000 aos seus processos existentes ou podem escolher conceber e estabelecer uma nova abordagem baseada na ABNT NBR ISO 31000. Esta Subsegao descreve os elementos centrais para a estrutura e processo, e as ages necessarias para uma integragao bem-sucedida destes elementos de modo a atender aos objetivos organizacionais. Existem varias maneiras de integrar a ‘ABNT NBR ISO 31000 em uma organizagao. Convém que a escolha e a ordem dos elementos sejam ajustadas as necessidades da organizagao e suas partes interessadas. Convém que se tome cuidado 20 aplicar estas diretrizes para assegurar que a integrago suporte a estratégia global de gestao do negécio. Isto direciona o esforco para que se atenda aos objetivos da organizacao de proteger e criar valor, A abordagem também precisa considerar a cultura da organizago, bem como as metodologias de gestao de projeto e de mudanca. Esta Subsecdo descreve os elementos centrais da estrutura e processo, ¢ as agbes necessarias para uma integracao bem-sucedida destes elementos de modo a atender aos objetivos organizacionais. ‘Aimplementagao da ABNT NBR ISO 31000 é um processo continuo, dinamico e iterativo. Além disso, a implementagéo da estrutura ¢ interconectada com o processo de gestéo de riscos descrito na ABNT NBR ISO 31000:2009, Sego 5. O sucesso é medido tanto em termos da integragao da estrutura, quanto em termos da melhoria continua da gestdo de riscos ao longo de toda organizacao. ‘Aintegracao ocorre em um contexto dinamico. Convém que a organiza¢o monitore tanto as mudan- G28 que So causadas pelo processo de implementacao quanto as mudancas nos seus contextos intemo e extemo. Isto pode incluir a necessidade de mudanga dos seus critérios de risco. (©180 2013 -@ABNT 2015 - Tos os dretos reservados 2ABNT ISO/TR 31004:2015 3.3.2. Mandato e comprometimento Quaiquer atividade de gestéo de negécio se inicia com uma andlise da fundamentagao e etapas dos processos e uma andlise de custo-beneficio. Isto ¢ seguido por uma decisao da Alta Diregdo e do organismo de superviséo para implementar e fornecer o comprometimento @ os recursos necessérios, Tipicamente, 0 processo de implementagao inclui o seguinte: a) estabelecimento de mandato e comprometimento, se necessario; b) _andlise de deficiéncias (gap analysis); ©) adaptagao e escalonamento baseados nas necessidades organizacionais, cultura e criagdo e protecao de valor; 4d) _avaliagio dos riscos associada a transigao; ) desenvolvimento de um plano de negécios: — estabelecendo objetivos, prioridades e métricas; — estabelecendo 0 caso de negécios, incluindo o alinhamento aos objetivos organizacionais; — determinando 0 escopo, responsabilizagdes, prazo e recursos; ) _identificago do contexto da implementagao, incluindo comunicagao com as partes interessadas. 3.3.3. Concebendo aestrutura 3.3.3.1. Convém que as abordagens existentes para a gesto de riscos na organizagao sejam ava- liadas incluindo contexto e cultura, a) _E importante considerar quaisquer obrigagées legais, regulatérias ou de clientes e requisitos de ccertficagdo que surjam de quaisquer sistemas de gesto ¢ normas que a organizagéo escolheu adotar. A finalidade desta etapa é permitir uma adaptagao cuidadosa da concepeao da estrutura para gerenciar riscos e do proprio plano de implementagao, e permit o alinhamento com a estru- tura, a cultura e o sistema geral de gestao da organizacao. b)_& importante considerar tanto 0 processo para gerenciarriscos quanto os aspectos da estrutura ‘existente para gerenciarriscos, que possiblitam que esse processo seja aplicado, ©) Convém que 08 crtérios de risco apropriados sejam estabelecidos. Os critérios de risco precisam ser consistentes com os objetivos da organizagao e alinhados a sua atitude perante o risco. Se os ‘objetivos mudam, os critérios de risoo precisam ser ajustados de acordo.€ importante para uma _gestio de riscos eficaz que os critérios de risco sejam desenvolvidos de modo a refletir a atitude erante 0 risco e os objetivos da organizacao. Convém que, ao conceber a nova estrutura, especificamente, seja avaliado 0 seguinte: — _principios e atributos, como descrito na ABNT NBR ISO 31000; — aestrutura anterior, em cuja avaliagao convém que se compare em particular as praticas corren- tes com 0s requisitos das seguintes subsegdes da ABNT NBR ISO 31000:2008: — 4.3.2 (politica de gestao de riscos); — 4.3.3 (responsabilizagao); 4 (0180 2013 -© ABNT 2015 - Todos 0 ios reservadosABNT ISO/TR 31004:2015 — 4.3.4 (integrago aos processos organizacionais); — 4.3.5 (recursos); — 4.3.6 e 4.3.7 (comunicacao interna e externa e mecanismos de reporte) — 0 proceso, em cuje avaliagao convém que se comparem os elementos dos processos existentes com aqueles da ABNT NBR ISO 31000:2009, Secao 5, assim como os principios subjacentes que direcionam e fomecem a fundamentagao do processo com os principios estabelecidos na ABNT NBR ISO 31000:2009, Seco 3 (por exemplo, se este processo é de fato aplicado a tomada de decisdes em todos os niveis): — avaliar se 0 proceso corrente fornece aos tomadores de decisao a informagao de risco de que eles necessitam para tomar decisdes de qualidade e atender ou superar os objetivos; — avaliar se as abordagens existentes para gerenciar 0 risco abrangem suficientemente 08 riscos inter-relacionados e os riscos que ocorrem em miltiplos lugares. 3.3.3.2 Convém que os requisitos de concepgao da estrutura sejam identificados. Com base nas avaliagées descritas em 3.3.3.1, convém que a organizagao decida quais aspectos da abordagem de gestao de riscos corrente: a) poderiam continuar a ser usados no futuro (possivelmente os estendendo para outros tipos de tomada de decisdes); b)__precisam de correcao ou aperfeigoamento; ) no mais agregam valor e convém que sejam descontinuados. CConvém que a organizacao desenvolva, documente e comunique como ird gerenciaros riscos. Convém ‘que 0 conteddo e escala das normas internas, diretrizes e modelos da organizagao relacionados a gestao de riscos refltam a cultura e o contexto organizacional. (Os documentos podem especificar qui — _tiscos sao gerenciados por toda a organizagao usando abordagens consistentes; —_existem diferentes niveis de responsabilizagAo para a gestao de riscos; — as competéncias @ deveres de todas as pessoas com responsabilizago na gestio de riscos 0 claramente definidos; — tanto as partes interessadas internas quanto externas sao envolvidas, como apropriado, por meio de uma comunicago e consulta abrangentes; — _alinformagao sobre risoos e a saida de todas as aplicagdes do proceso de gestio de risoos so registradas de maneira consistente e segura, com acesso apropriado, Convem que também seja feita proviso para analise critica periddica dos requisitos organizacionais, ferramentas, treinamento e recursos para gerenciar riscos, se houver mudangas subsequentes na ‘organizagao e no seu contexto ou se 0 monitoramento e a andlise critica continuos identificarem fraquezas ou ineficiéncias. (©180 2013 -© ABNT 2015 Tos os dretos reservados 5 FuABNT ISO/TR 31004:2015 3.3.3.3 Convém que o escopo, os objetivos, as metas, 08 recursos, as medidas para 0 sucesso e os critérios para o monitoramento e analise critica na fase de implementacao sejam definidos. 3.3.3.4 Convém que a comunicacao intema e externa e os mecanismos de reporte sejam estabelecidos. 3.3.4 Implementagao da gestdo de riscos Um plano detalhado de implementagao & necessério para assegurar que as alteragdes necessarias ‘ocorram em uma ordem coerente e que os recursos necessarios possam ser fomecidos e aplicados. Convém que o plano seja suportado pelos recursos necessdrios para sua implementagdo, 0 que pode demander alocagées orgamentarias especificas, cujo desenvolvimento conviria que fosse parte do processo de planejamento. Convém que 0 proprio plano seja submetido a uma avaliacao de riscos de acordo com a ABNT NBR ISO 31000:2009, 5.4, e quaisquer agbes necessdrias de tratamento de riscos, implementadas. Convém que 0 plano tanto requeira quanto permita que o progresso seja rastreado e reportado para a Alta Diregaio e 0 organismo de superviséo, € convém que sejam feitas provisées para analises criticas periédicas do plano. Convem, portanto, que o plano: — detalhe agdes especificas a serem tomadas, sua sequéncia, por quem e 0 prazo para sua Concluséo: isso incluiré alteragao de guias. @ normas internas, explicagao e treinamento para construir compet€ncia e realizar ajustes nas responsabilizagdes; — identiique quaisquer acées que serdo implementadas como parte de algumas ages mais amplas, associadas a0 desenvolvimento organizacional, ou que estejam de outra forma ligadas 2 ele (Por exemplo, desenvolvimento de material de treinamento e engajamento de instrutores): — defina as responsabilidades pela implementagao; —_incorpore um mecanismo para reportar a concluséo, progresso e problemas; —_identifique e registre quaisquer critérios que disparardo a anélise critica do plano. ‘A implementago pode levar algum tempo para ser concluida ¢ pode ser feita em estdgios. Convém que se adote a pratica comum de dar prioridade sempre que possivel 8s mudangas que tenham o ‘maior impacto no atingimento do propésito final. Essa implementacao pode ocorrer em varios estagios da maturidade e estrutura organizacionais. Também pode ser mais eficaz integrar a implementagao com outros programas de mudanca. Convém que 0 progresso em relagio ao plano seja identificado, analisado e reportado para a Alta Diregao periodicamente (mensalmente, trimestralmente etc.) Convém que sejam validados periodicamente os reportes de progresso, em relago ao plano, e de desempenho, em rela¢ao aos indicadores, por meio de um processo de analise critica objetivo e imparcial. Convém que as analises criticas incluam 0 exame da estrutura, processos e os proprios riscos assim como mudangas no ambiente. 6 180 2019 -@ABNT2015- Todos oats reservados rueABNT ISO/TR 31004:2015 Convém que haja uma andlise critica periddica da estratégia de implementagao, e medi¢ao de progresso, da consisténcia e desvio em relagdo ao plano de gestio de riscos. Andlises criticas também podem ocorrer se os critérios para a andlise critica estabelecidos no plano forem atendidos. Convém que o desempenho seja avaliado com relacdo a eficacia da mudanca @ gestéo de riscos, bem ‘como para identificar licbes aprendidas e oportunidades de melhoria, Convém que as questdes significativas resultantes do monitoramento sejam reportadas para aqueles que sao responsabilizaveis. Os resultados desta etapa serdo retroalimentados no contexto em outras fungbes, de forma que novos riscos possam ser identificados, mudangas em riscos existentes possam ser descobertas e que © estado da estrutura possa ser registrado para melhoria (ver ABNT NBR ISO 31000:2009, 4.6 @ 5.7). 3.4 Melhoria continua Convém que tanto a estrutura para gerenciar riscos e o processo de gestae de riscos sejam analisados criticamente para avaliar s¢ a sua concep¢ao est apropriada e se sua implementacdo esta agregando ‘valor para a organizago conforme pretendido. Se os resultados do monitoramento e da andlise critica demonstrarem que as melhorias podem ser feitas, convém que estas sejam implementadas to logo quanto possivel. Para as organizages que tenham migrado para a ABNT NBR ISO 31000, convém que haja atengao Constante e aproveitamento da oportunidade para melhoria. As mesmas etapas utilizadas no processo de transigo também sao dteis para fazer verificagdes periddicas para identificar se tem havido desvios neste processo. Hé varios disparadores para a melhoria continua, inoluindo os seguintes: — monitoramento de rotina e andlise critica da estrutura para gerenciar riscos e do processo de gestao de riscos, que identifiquem oportunidades para melhoria; — novos conhecimentos se tomarem disponiveis — uma mudanga substancial nos contextos interno e externo da organizagao. (©180 2013 -@ ABNT 2015 - Tos os detos reservaios 7 rus.ABNT ISO/TR 31004:2015 Anexo A (informativo) Conceitos e principios subjacentes A. Generalidades Este anexo explica determinados conceitos e palavras (por exemplo, “risco") que so de uso cotidiano e podem ter varios significados, mas que tm um significado particular na ABNT NBR ISO 31000 e neste Relatorio Técnico. AABNT NBR ISO 31000 define risco como 0 “efeito da incerteza nos objetivos’. NOTA E recomendavel que os leitores se familiarizem com os termos e definicdes neste anexo. A.2 Objetivos e riscos Organizagées de todos os tipos enfrentam fatores e influéncias internos e externos que tornam incerto se, quando e em que extensdo elas atingiro ou excederao 0s seus objetivos. O efeito que essa incerteza tem nos objetivos da organizacao 6 o risco. Os objetivos referidos na ABNT NBR ISO 31000 e neste Relalério Técnico sao os resultados que a organizago busca. Tipicamente, esses so a mais elevada expresso da intencao e propésito, @ tipicamente refletem os seus valores, metas e imperativos implicitos e explicitos, incluindo a consideracao de obrigagbes sociais e requisitos legais e regulatérios. Em geral, a gestio de riscos 6 facilitada se os objetivos $30 expressos em termos mensurdveis. Ha frequentemente miltiplos objetivos, entretanto, uma inconsisténcia entre objetivos pode ser uma fonte de risco. Probabilidade (likelihood), neste contexto, no é somente aquela da ocorréncia de um evento, mas a probabilidade global de se experimentar as consequéncias que advém de um evento, € a magnitude da consequéncia, tanto em temos positivos quanto negatives, Tipicamente, pode existir uma gama de consequéncias possiveis que advém de um evento, e cada uma teré a sua propria probabilidade. O nivel de risco_pode ser expresso como a probabilidade de que consequéncias especificas sejam experimentadas (inciuindo magnitude). Consequéncias relacionam-se diretamente a objetivos e surgem quando alguma coisa acontece ou nao acontece. Risco 6 0 efeito da incerteza nos objetivos, independentemente do dominio ou circunstancias, portanto convém que um evento ou um perigo (ou qualquer outra fonte de risco) no seja descrito como um risco. Convém que risco seja descrito como a combinago da probabilidade de um evento (ou perigo ou fonte de isco) e a sua consequéncia. CO entendimento de que risco pode ter consequéncias positivas ou negativas 6 um conceito central e vital a ser compreendido pela direcdo. O risco pode expor a organizagao tanto a uma oportunidade quanto a uma ameaga ou a ambos. 0 risco & criado ou alterado quando decisées 880 tomadas. Porque hd quase sempre alguma incer- teza associada a decisées e na tomada de decisbes existe quase sempre risco. Aqueles responsa- veis por atingir objetivos precisam compreender que o risco & uma parte inevitavel das atividades dda organizagao que ¢ tipicamente criado ou alterado quando decisdes sao tomadas. Convém que 8 (0180 2013 -© ABNT 2015 - Todos 0 dios reservadosABNT ISO/TR 31004:2015 ‘0s riscos associados a uma deciso sejam compreendidos no momento em que a decisdo 6 tomada e a assuncao do risco 6 portanto intencional. Usar o proceso de gestdo de riscos descrito na ABNT NBR ISO 31000 torna isto possivel. A323 Incerteza Aincerteza que, juntamente com os objetivos, gera 0 risco origina-se no ambiente interno e externo ‘em que a organizagao opera. Esta incerteza pode: — ser uma consequéncia de fatores sociolégicos, psicolégicos e culturais subjacentes associados a0 comportamento humano; — ser produzida por processos naturais que sdo caracterizados por variabilidade inerente, por exemplo, na meteorologia, variacdo entre observagdes em uma populagao; — surgir de informacao incompleta ou imprecisa, por exemplo, devido a dados ausentes, mal interpretados, ndo confidveis, internamente contraditorios ou inacessiveis; — mudar ao longo do tempo, por exemplo, devido & competi¢ao, tendéncias, novas informagées, mudancas nos fatores subjacentes; — ser produzida pela percep¢ao de incerteza que pode variar entre partes da organizagao e as suas partes interessadas. A4 Controle e tratamento de risco Controles sao medidas implementadas pelas organizagdes para modificar o risco, possibilitando 0 alcance dos objetivos. Controles podem modificar riscos pela mudanca de qualquer fonte de incerteza (por exemplo, ao tornar mais ou menos provavel que algo aconte¢a) ou pela mudanga da série de possiveis consequéncias e onde podem ocorrer. Tratamento de risco, como definido na ABNT NBR ISO 31000, é o processo que se destina a alterar ou criar controles, ¢ inclui a retengao de risco. AS. Estrutura para gerenciar riscos ‘A estrutura para gerenciar riscos refere-se aos arranjos (incluindo praticas, processos, sistemas, recursos e cultura) no sistema de gestdo da organizagdo, que possibilta que o risco seja gerenciado. ‘As caracteristicas de uma estrutura, e @ extensdo em que é integrada no sistema de gestio da organizago, determinardo por fim 0 quao efetivamente o risco sera gerenciado. Aestrutura inclui deciaragbes claras pela Alta Diregao sobre as intengbes da organizago em relacao gestdo de riscos (descrita na ABNT NBR ISO 31000 como mandato @ comprometimento) @ a capacidade necessdiria (recursos e competéncias) para atingir este intento. Esta capacidade nao existe como um sistema Unico ou entidade. Esta capacidade abrange numerosos elementos integrados nos processos globais de gestio da organizagaio. Podem ser aplicados tunicamente para a tarefa de gerenciar risco (por exemplo, um sistema de informacdo especializado), ‘ou serem aspectos do sistema de gesto da organizagao (por exemplo, as suas préticas de recursos fhumanos). (©180 2019-@ABNT 2015 Todos os datos reservados 9 Fur.ABNT ISO/TR 31004:2015 A Critérios de risco Critérios de risco so par&metros estabelecidos pela organizagao que a possibilitem descrever 0 risco @ tomar decisdes sobre a significancia do risco, levando em consideragao a atitude da organizagao perante o risco. Estas decisdes possibiltam que 0 risco seja avaliado e o tratamento selecionado. AT Gestio, gestio de riscos e gerenciar riscos A gestao envolve atividades coordenadas que dirigem e controlam uma organizagao para 0 atingi- mento de seus objetivos. AA gosto de riscos um componente integral da-gestéio, uma vez que envolve atividades coordenades relacionadas com 0 efeito da incerteza nesses objetivos. E por isso que, para ser eficaz, é importante que a gestao de riscos seja completamente integrada aos processos e sistema de gestio da organizacéo. Neste Relatorio Técnico, assim como na ABNT NBR ISO 31000, a expressao “gestio de riscos” refere-se, em termos gerais, & arquitetura que as organizagdes usam (principios, estrutura e processo) ara gerenciar riscos efetivamente (com eficacia) e “gerenciando riscos” refere-se a aplicagao da arquitetura a decisdes, atividades ¢ riscos em particule. 10 (180 2019 -@ABNT2015- Todos 08 dios reservadosABNT ISO/TR 31004:2015 Anexo B (informativo) Aplicagao dos principios da ABNT NBR ISO 31000 B.1 Generalidades Considerando-se que todas as organizagées gerenciam riscos em algum grav, a ABNT NBR ISO 31000:2009 estabelece onze principios que precisam ser atendidos para tomar a gestdo de riscos efetiva. Os principios fomecem orientagdes sobre o seguinte: ) a fundamentagao para gerenciar riscos efetivamente (por exemplo, a gestéo de riscos cria «protege valor); b) as caracteristicas de gestdo de riscos que tomam a gestéo de riscos eficaz, por exemplo, Principio b), que especifica que a gestao de riscos é parte integrante de todos os processos ‘organizacionais, Na ABNT NBR ISO 31000, cada principio esta resumido em poucas palavras por seu titulo, com © texto de apoio fornecendo explicagdes ¢ detalhes. Convém que todos 08 onze principios sejam considerados na concepgao dos objetivos para a gesto de riscos da organizagao, no entanto, a importéncia de principios individuais pode variar de acordo com a parte da estrutura considerada e ajustada para a sua aplicagao especifica. A implementagio bem-sucedida desses principios determinaré a eficdcia e efciéncia da gestio de riscos na organizago. Convém que todos os onze principios sejam mantidos em mente o tempo todo, mesmo que a importancia dos principios individuals possa variar de acordo com a parte da estrutura ‘em questo. Embora 0s principios sejam expressos de forma sucinta, as implicagdes de cada um deles precisam ser completamente compreendidas, a fim de dar-Ihes efeito de forma continua. Posteriormente, convém que os resultados deste tipo de analise sejam refletidos na concepcao ‘0u no aprimoramento da estrutura (por exemplo, na alocagao de responsabilidades, na proviso de treinamento, na comunicagdo com as partes interessadas e na concepgao de monitoramento e andlise critica continuos do desempenho da gestao de riscos). Este anexo fomnece orientago sobre como aplicar cada prinofpio e, além disso, para alguns principios hd também caixas de ajuda pratica (©180 2019 -©ABNT 2015 - Tos ot diretos reservados " FL.ABNT ISO/TR 31004:2015 B.2 Os principios B24 Agestao de riscos criae protege valor B24.4 Principio a) Agosto de riscos cria e protege valor. [A gestao de riscos contribu para a realizagao demonstravel dos objetivos e melhoria de desem- ppenho em, por exemplo, saide e protego humana, seguranca, conformidade legal e regulatoria, aceitagao publica, protecao ambiental, qualidade de produto, gerenciamento de projetos, eficiéncia das operagtes, governanga e reputacAo. B.2.1.2 Como aplicar o principio Este principio explica que o objetivo da gestao de riscos é criar e proteger valor quando ajuda uma ‘organizacdo a atingir seus objetivos. Isso é realizado, ajudando a organizagao a identificar ¢ lidar ‘com os fatores, internos ou externos a organizaco, que dao origem a incerteza associada com os ‘seus objetivos. Convém que a ligago entre a eficdcia da gestdo de riscos e como ela contribui para © sucesso da organiza¢ao seja claramente demonstrada e comunicada. O principio esciarece que 1ndo convém que o risco seja gerenciado por si $6, mas para que 0s objetivos sejam atingidos e o desempenho aprimorado. Alguns atributos e valores no podem ser medidos diretamente de forma facil (por exemplo, em termos financeiros), no entanto, contribuem fortemente para o desempenho, reputacao e conformidade legal. Os valores humanos, sociais e ecolégicos so particularmente importantes na gestio dos riscos relativos a seguranga e conformidade, assim como aqueles associados com os ativos intangiveis, portanto, a criagao de valor pode precisar ser expressa utiizando descricao qualitativa em vez de medidas quantitativas. B.2.2 Agestio de riscos é parte integrante de todos os processos organizaci B.221 Principio b) A gestio de riscos é parte integrante de todos os processes organizacionais. Agestao de riscos no é uma atividade auténoma, separada das principals atividades e processos da organizagéo. A gestdo de riscos é parte das responsabilidades da direcdo e uma parte integrante de todos os processos organizacionais, incluindo planejamento estratégico e todos 0s projetos @ processos de gestéo de mudangas. B.22.2 Como aplicaro principio AAs atividades de uma organizacéo, incluindo as tomadas de decisbes, do origem a riscos. As mudangas no contexto extemno que esto fora do controle e influéncia da organizagao também podem dar origem a novos riscos. Todas as atividades e processos da organizagao ocorrem em ambientes interno e externo, nos quais ha incerteza. Segue-se que: a) convém que a estrutura para gerenciar riscos seja compreendida pela intagrapao de ‘seus componentes ao sistema global de gestéo e tomada de decisdes da organizacao, independentemente do sistema ser formal ou informal; processos de gestdo existentes podem ‘ser melhorados referindo-se a ABNT NBR ISO 31000; 2 (©180 2013 -@ABNT2015- Todos oF res rxervadosABNT ISO/TR 31004:2015 b) _convém que o processo de gesto de riscos seja parte integrante das atividades que geram risco; caso contrario, a organizacao perceberd que ¢ preciso modificar as decis6es mais tarde, quando 08 riscos associados so posteriormente compreendidos; c) se um sistema formal de gestdo nao existe, é possivel que uma estrutura para gerenciar riscos sirva a esse propésito. ‘Se a gestdo de riscos nao esta integrada a outras atividades @ processos de gestio, esta pode ser percebida como uma tarefa administrativa adicional, ou vista como um exercicio burocratico que no cria ou protege valor. (0s dois principais métodos de aplicagao do principio s8o os seguintes: —_ no desenvolvimento (incluindo a manutencao & melhoria) da estrutura para gerenciar riscos; — na aplicagdo do proceso de gestio de riscos para a tomada de decisdes e atividades relacionadas. ‘Convém que 0 método de expressar a inten¢do da organizagao (ou seja, mandato e comprometimento) sobre a gestdo de riscos seja semelhante @ maneira que So expressas suas outras intengdes (ver Anexo C). Sempre que possivel, convém que outros componentes da estrutura para gerenciar tiscos sejam incorporados a componentes de sistemas de gestdo existentes (mais recomendacdes ‘so fomecidas no Anexo E e na ABNT NBR ISO 31000). ‘Organismos de auditoria também esto aptos a desempenhar um papel importante, ao questionar ‘como a diregéo chegou a uma deciséo e verificar se essa envolveu uma aplicagao adequada do proceso de gestdo de riscos. B.2.3. Agestdo de riscos é parte da tomada de decisées B.23.1 Principio ¢) Agestiio de riscos ¢ parte da tomada de decisées. ‘A gestao de riscos ajuda os tomadores de decisao a fazerem escolhas informadas, priorizarem ages e distinguirem entre cursos altemativos de acao. 8.23.2 Como aplicar o principio Este principio estabelece que a gestdo de riscos fomece a base para a tomada de decisdes informadas. Convém que a gestao de riscos seja integrada a atividades de apoio a realizacao dos objetivos e ao processo de tomada de decisées. Convém que 0 processo de tomada de decises avalie consistentemente e, se necessério, trate o risco. Tomar ou nao tomar decisoes envoive riscos, € importante ter uma compreensao dos riscos associados em ambas as situagdes. Convém que a gestdo de riscos seja aplicada como parte de uma deciséo, no momento em que é tomada a decisdo (ou seja, de forma proativa), endo apés a deciséo ser tomada (ou seja, de forma reativa), por exemplo, do seguinte modo: — convém que as decisées sobre questées estratégicas levem em consideragao as incertezas sobre as mudangas nos fatores ambientais, bem como mudangas nos recursos da organizacao; — _ convém que o processo de inovagao leve em consideragao nao apenas a incerteza que determina ‘sucesso da inovago, mas também os riscos relativos aos aspectos humanos, sociais, ambientais e de seguranga da inovagdo, e tratados de acordo com os requisitos legais (por exemplo, a seguranga de produtos); © 180 2013-©ABNT 2015 Todos os eto reservados 13ABNT ISO/TR 31004: — convém que os planos para grandes investimentos especifiquem os marcos de deciso em que ocorrerao a avaliacao dos riscos. Convém que a politica da organizagao sobre a gesido de riscos e a forma como ela é comunicada reflita este principio. Convém que as outras partes da estrutura levem em conta a forma como as decisdes so tomadas, de modo que o processo seja aplicado de forma eficaz e de modo consistente em todas as tomadas de decisdes, por exemplo, gerenciamento de projetos, avaliacao de investimentos, aquisigdes. Convém que 0s responséveis pela tomada de decisées em toda a organizagao compreendam a politica de gestao de riscos da organizacao e convém que seja especificamente requerido que tenham competéncias para aplicar 0 proceso de gestio de riscos para a tomada de decisdes. !ss0 vai exigir atribuigao clara de responsabilidade, apoiada por formagao de competéncias e andlise critica de desempenho, ‘Ajuda pratica Para dar efeito ao principio, convém que as seguintes perguntas sejam consideradas com cuidado desde o inicio: — Como isso pode ajudar a criar e proteger valor? [Principio a)] — Como e onde na organizagao so tomadas as decises? — Quem esta envoivido na tomada de decisbes? — Quais conhecimentos e habilidades so necessarios para aqueles que tomam decisées para tomar a gestio de riscos parte da sua tomada de decises? — Como os tomadores de decisées adquirem os conhecimentos ¢ habilidades necessérios? — Que diregao e apoio sdo necessérios para a equipe existente? — Como a equipe futura sera introduzida a este método de tomada de decisdes? — Como as partes interessadas extemas sero afetadas? — Que processos de tomada de decisdes da organizacao precisariam mudar? — _Como 0 progresso na aplicagdo deste principio seria monitorado? B24 Agestio de riscos aborda explicitamente a incerteza B24.1 Principio d) A gestio de riscos aborda explicitamente a incerteza. ‘A gestao de riscos leva em conta explicitamente a incerteza, a natureza dessa incerteza, e como ela pode ser abordada. B.24.2 Como aplicar o principi © que faz a gestio de riscos tornar-se Unica entre os outros tipos de gestdo é que ela aborda especificamente 0 efeito da incerteza nos objetivos.O risco 86 pode ser avaliado ou tratado com sucesso se a natureza e a fonte da incerteza sdo compreendidas. 14 (©180 2013 -©@ ABNT 2015 - Todos 0 dees reservadosABNT ISO/TR 31004:2015 Incertezas de todos os tipos devem ser consideradas, e é preciso cuidado para nao superestima-las ‘ou subestimd-las. Foco na incerteza também é importante na selegao de tratamentos de risco e na consideragao do efeito e confiabilidade dos controles. Do mesmo modo, haverd incertezas associadas com as etapas de apoio do proceso de gestdo de riscos, por exemplo, se a informagao foi transmitida com ‘sucesso ao Se comunicar e consultar as partes interessadas, ou se os intervalos selecionados para ‘monitoramento de processos so suficientes para detectar mudangas. ‘Convém que as pessoas envolvidas na gestdo de riscos tenham uma boa compreensdo da importancia da incerteza, ¢ 08 tipos e fontes de incerteza. Convém que o numero e os tipos de métodos de avaliagao de risco utilizados para tratar a incerteza sejam adequados e relevantes para a importancia da decisdo: pode-se justificar 0 uso de varios métodos. Registrar suposigdes durante o registro do processo de gestao de riscos (ABNT NBR ISO 31000:2009, 5.7). Suposig6es geralmente refletem algum tipo de incerteza, bem como quaisquer incertezas explicitas que tenham sido consideradas nas varias etapas do processo. ‘Quando 0 risco esté sendo avaliado, é importante considerar a incerteza associada com a estimativa das classificagbes de probabilidade e consequéncia. ‘Ao analisar o risco e propor tratamentos, convém que estudos de sensibilidade sejam utiizados para ‘compreender a real influéncia dessas incertezas. ‘Ajuda pratica — Convém que os tomadores de decisées adotem a pratica de sempre perguntar "Quais S40 as suposigdes aqui?” ¢ “Quais so as incertezas associadas a essas suposicSes?". Esta pratica nao precisa ser limitada a avaliagdes de riscos formais, por exemplo, poderia aplicar-se a todas as previsde: — Quando se considera o ambiente interno e externo como uma parte do estabelecimento do contexto, convém que sejam observadas quaisquer caracteristicas que possam ser associadas a alta volatilidade, Esta é uma fonte de incerteza e também informa a maneira pela qual © contexto é monitorado e analisado criticamente de modo continuo — Se a incerteza significa que um determinado valor ¢ conhecido apenas por existir dentro de um determinado intervalo, convém que esse intervalo seja comunicado. B.2.5 A gestio de riscos é sistemética, estruturada e oportuna B25.1 Principio ©) Aqgestio de riscos é sistematica, estruturada e oportuna. Uma abordagem sistematica, oportuna e estruturada para a gestéo de riscos contribui para a eficiéncia e resultados consistentes, confiaveis e compardveis, B.25.2 Como aplicar o principio Uma abordagem consistente para gerir riscos no momento da tomada de decisdes tornard a organi- ago mais eficiente, e pode forecer resultados que criam confianga e sucesso. Isto requer praticas ©180 2013 -©ABNT 2015 - Todos o¢ crete reservados 15ABNT ISO/TR 31004:2015 organizacionais que considerem os riscos associados a todas as decisdes, bem como a utilizagao de crtérios de risco consistentes que se relacionam com os objetivos das organizagdes © 0 escopo de suas atividades. Uma abordagem oportuna significa que 0 processo de gestio de riscos é aplicado no ponto ideal no processo de tomada de decisdes. Em parte, isso depende da concepgao da estrutura, para a qual este principio também se aplica. Se as consideragdes de risco forem feitas muito cedo ou tarde demais, tanto as oportunidades podem ser perdidas como poderia haver custos substanciais para revisar a decisdo. Convém que 0 efeito do tempo seja avaliado e compreendido para determinar a abordagem de gestio de riscos mais eficaz. Uma abordagem estruturada significa aplicagao do proceso de gestio de riscos na forma descrita na ABNT NBR ISO 31000:2009, Seco 5, incluindo os preperativos adequados para essas atividades. Dependendo das necessidades, convém que o método esteja consistente tanto com uma abordagem de cima para baixo ou de baixo para cima, a fim de abordar o nivel adequado de gestao. B.2.6 Agestdo de riscos baseia-se nas melhores informagées disponiveis B.2.6.1 Principio f) A gestéo de riscos baseia-se nas melhores informagées disponivei As entradas para 0 processo de gestéo de riscos baseiam-se em fontes de informagao, como dados histéricos, experiencia, retomo das partes interessadas, observagdes, previsdes e pareceres de especialistas. No entanto, convém que os tomadores de decisées informem-se, @ convém que levem em consideragao quaisquer limitagBes de dados ou de modelagem utilizados, ou a possibilidade de divergéncia entre 08 especialistas. B.262 Como aplicar o principio E importante obter a melhor informagao disponivel, a fim de se ter uma compreensao correta de qualquer risco. Consequentemente, convém que arranjos de gestae de riscos incluam métodos (por exemplo, de pesquisa) para coletar ou gerar informagdes. No entanto, apesar dos melhores esforcos, a informagao disponivel pode as vezes ser limitada, por exemplo, antecipar o que vai acontecer no futuro pode ser limitado ao uso de projegdes estatisticas. Convém que a sensibilidade das decisdes a quaisquer incertezas na informagao seja entendida. ‘A confiabilidade da avaliagao de risco depender4, em parte, da clareza e precistio dos critérios de risco. A coleta de dados relacionados a riscos (por exemplo, a ocorréncia de incidentes e outras informagées baseadas na experiéncia) pode ajudar em predi¢des estatisticas. Embora a tomada de decisées baseada em evidéncias seja 0 objetivo final, isso pode nao ser sempre possivel com 0 tempo ou os recursos disponiveis. Em tais situagbes, convém que o julgamento de especialistas seja usado, em combinago com a informacao disponivel. No entanto, 6 necessario cuidado para evitar julgamento enviesado. Além disso, as evidéncias do passado podem nao prever com preciso o futuro. Em situacoes que envolvam o potencial para eventos de consequencia elevada, a auséncia de informagbes pode levar 4 aco imediata se houver evidéncia de dano potencial, em vez de uma prova definitiva de dano. Este principio também € aplicavel & concepgao (ou melhoria) da estrutura para gerenciar os riscos, porque haverd aspectos da estrutura (por exemplo, aqueles que fornecem capacidade de investigagao ‘ou que coletam, analisam, atualizam e disponibilizam informacdes para apoiar a aplicacao do proceso) ue determinarao a melhor maneira de se aplicar este principio. 16 (©180 2013 -@ ABNT 2015 - Todos 0s deitos reservadosABNT ISO/TR 31004:2015 Convém que a confiabilidade e a precisao das informagdes sejam regularmente avaliadas quanto sua relevancia, oportunidade e confiabilidade, com os pressupostos documentados. Convém que a estrutura preveja andlises criticas periddicas, bem como atualizagées ou corregSes. Ajuda pratica — Ao conceber como os incidentes so reportados, convém que primeiro se considere sdosamente quais decisdes esta informacéo poderia ajudar, ou seja, quem so os atuais futuros usudrios finais, como pode ser necessério ordenar a informago, como a sua integridade pode ser melhorada, e como ela pode ser acessada. Uma vez que isto tenha sido realizado, o formulario de reporte pode ser concebido, tendo em conta que a qualidade fomecida pode ser influenciada pelo tempo necessario para a sua entrada. — Convém que a descrigao do contexto (Incluindo a data em que foi escrito) seja incluida como parte das descrices detalnadas e documentadas dos riscos-chave encarados (por exemplo, registro de risco). Isto permite aos usuarios do registro levar em conta quaisquer mudangas no contexto que possam ter ocorrido subsequentemente, com as alteragdes resultantes no risco. — Onde tiverem sido feitas suposigées em uma avaliagdo, convém que a justiicativa para essas suposigdes, incluindo quaisquer limitagdes, seja claramente registrada e compreendida — Ao conceber tratamentos de risco, convém considerar como o desempenho dos controles resultantes sera monitorado e disponibilizado para os futuros tomadores de deciséo, que podem estar apoiados nesses controles. B.2.7 Agestao de riscos 6 feita sob medida B27.1 Principio 9) Agestao de riscos ¢ feita sob medida. A gestio de riscos esta alinhada com contexto interno e externo da organizagao e com o perfil do isco. 8.27.2 Como aplicar o principio AABNT NBR ISO 31000 oferece uma abordagem genérica para a gestao de riscos que ¢ aplicavel 1a todos 0s tipos de organizagées e todos os tipos de risco. Todas as organizagdes tm sua propria cultura e caracteristicas, critérios de risco e contextos de operacdo. Convém que a gestao de riscos. ‘soja ajustada para atender as necessidades de cada organizagao. Nao hé uma maneira nica correta para conceber e implementar a estrutura e os processos de gestao de riscos, uma vez que exigem flexibilidade e adaptagao em cada organizagao. A concepgao pode ser determinada por varios aspectos, incluindo 0 tamanho da organizagao, cultura, setor, configuracao e estilo de gestao. Diferentes areas de risco podem requerer diferentes processos sob medida dentro de uma mesma organizacéo. Enquanto convém que todos os processos sejam consistentes com a ABNT NBR ISO 31000, haverd diferencas nos sistemas, modelos e nivel de julgamento envolvidos, por ‘exemplo, entre aqueles envolvidos na avaliagao de riscos relacionados a tecnologia da informacao, riscos de tesouraria e investimento, ou riscos dos concorrentes. Convém que cada processo seja ajustados ao seu propésito especifico. (©180 2013-©ABNT 2018 - Todos o¢ ate reservados 7