NORMA ABNT NBR BRASILEIRA ISO 31000 Primeira edigao 30.11.2009 \Valida a partir de 30.12.2009 Gestao de riscos — Principios e diretrizes Risk management — Principles and guidelines ICS 03.10.01 ISBN 978-85-07-01836-4 assoc ‘i sssocincho Nomero de referéncia DENORNMAS ABNT NBR ISO 31000:2009 TECNICAS 24 paginas © ISO 2009 - © ABNT 2009ABNT NBR ISO 31000:2009 © 180 2009 ~Fodoe os direitos reservados. A menos que espectficado de outro modo, nenhuma parte desta publicagao pode ser reproduzioa Fo rtiiseda por qualquer melo, eltronico ou mecnic, incluindofotecépia e microfime, sem permissao por escrito da ABNT, ‘nico representante da ISO no territrio brasileiro, © ABNT 2009 Fedos os direitos reservados. A menos que especticado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida conctiseda por qualquer meio, eletronico ou mecSnico, incluindofotocépia @ microfime, sem permissao por escrito de ABNT. ABNT ‘av.Treze de Malo, 13 -28° andar 2031-901 - Rio de Janeiro - RU Tel: + 55 21 3974-2300 Fax: + 5521 3974-2346 ‘abni@abnt.org.br ‘wwnw.abnt.org br ii {© 150 2009- © ABNT 2009 - Todos 0s direitos reservadosABNT NBR ISO 31000:2009 Sumario Pagina Prefacio Nacional.. Introdugao .. a 2 Termos e definicées. 3 Principios 4 Estrutur 44 Generalidades. 4.2 Mandato e comprometimento .. 4.3. Concepgao da estrutura para gerenciar riscos. 4.3.1 Entendimento da organizagao e seu contexto.. 4.3.2 Estabelecimento da politica de gestdo de riscos, 4.3.3 Responsabilizagao 4.3.4 Integragao nos processos organizacionais. 4.3.5 Recursos .. 4.36 Estabelecimento de mecanismos de comunicagao e reporte internos.... 4.3.7 Estabelecimento de mecanismos de comunicagao e reporte externos.. 4.4 Implementagao da gestao de riscos.. 4.41 Implementagdo da estrutura para gerenciar riscos. 4.42 Implementagao do processo de gestao de riscos. 4.5 Monitoramento e anilise critica da estrutura, 4.6 — Melhoria continua da estrutura..... 5 13 5A 13 5.2 Comunicagao e consulta a mare 53 15 534 15 53.2 15 5.3.3 Estabelecimento do contexto interno .. 15 5.3.4 Estabelecimento do contexto do processo de gestao de riscos. 5.3.5. Definicdo dos critérios de risco.. 5.4 Proceso de avaliagao de riscos 5.4.1 Generalidades. 5.4.2 Identificagao de riscos. 5.43 Andlise de riscos...... 5.4.4 Avaliagdo de riscos... 5.5 Tratamento de riscos... 5.5.1 Generalidades. 5.5.2 Selecao das opcées de tratamento de riscos, 5.5.3. Preparando e implementando planos para tratamento de riscos. 5.6 — Monitoramento e andlise crit 5.7 Registros do processo de gestio de risco: ‘Anexo A (infomativo) Atributos de uma gestao de riscos avancada Ad Generalidades. Resultados-chave Atributo: Methoria continua... Responsabilizacao integral pelos riscos, Aplicagao da gestao de riscos em todas as tomadas de decisdo ‘Comunicagao continua. Integragao total na estrutura de governanca da organizagao. Bibliografia © 150 2009-© ABNT 2009 - Todos 08 ctetos reservadosABNT NBR ISO 31000:2009 Prefacio Nacional ‘A Associagdo Brasileira de Normas Técnicas (ABNT) ¢ 0 Foro Nacional de Normalizagao. As Normas Brasieiras, Cujo contetdo de tesponsabildade dos Comités Brasileiros (ABNTICB), dos Organismos de Normatzaro Sutoral (ABNTIONS) e das ComissBes de Estudo Especiais (ABNTICEE), so elaboradas por Comissbes de Ealudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores fe neutros (universidade, laboratério © outros) ‘Os Documentos Técnicos ABNT s&o elaborados conforme as regras das Diretivas ABNT, Parte 2 ‘A Associagao Brasileira de Normas Técnicas (ABNT) chama atengo para a possibilidade de que alguns des aomantee deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsével pela identificagao de quaisquer direitos de patentes. A ABNT NBR ISO 31000 foi elaborada pela Comissdo de Estudo Especial de Gestdo de Riscos (CEE-63). © Projeto cireulou em Consulta Nacional conforme Edital n® 08, de 07.08.2009 a 08.09.2009, com 0 numero de Projeto 63:000.01-001 Esta Norma uma adogao idéntica, em contetido técnico, estrutura @ redagéo, @ 1S 31000:2009, que foi Slaborada pelo ISO Technical Management Board Working Group on risk management (ISOITMBIWG), conforme ISONEC Guide 21-1:2008, © Escopo desta Norma Brasileira em inglés 6 o seguinte: Scope This Standard provides principles and generic guidelines on risk management. This Standard can be used by any public, private or community enterprise, association, group or individual. Therefore, this Standard is not specific to any industry or sector. NOTE For convenience, all the diferent users ofthis Standard are referred to by the general term “organization”. ‘This Standard can be applied throughout the life of an organization, and to a wide range of activites, including strategies and decisions, operations, processes, functions, projects, products, services and assets. This Standard can be applied to any type of risk, whatever its nature, whether having positive or negative consequences. ‘Although this Standard provides generic guidelines, itis not intended to promote uniformity of risk management cerose organizations. The design and implementation of risk management plans and frameworks will nocd to fake ino account the varying needs of a specific organization, its particular objectives, context, structure, operations, processes, functions, projects, products, services, or assets and specif practices employed I is intended that this Standard be utilized to harmonize risk management processes in existing and future ctandards. It provides @ common approach in support of standards dealing with specific risks and/or sectors, and does nat replace those standards. This Standard is not intended for the purpose of certification. iv {© 180 2009 -© ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 Introdugao Organizagdes de todos os tipos e tamanhos enfrentam influéncias e fatores internos ¢ externos que tomam incerto se e quando elas atingiro seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organizagao 6 chamado de "risco" Todas as atividades de uma organizagao envolvem risco. As organizagdes gerenciam o risco, identificando-o, analisando-o e, em seguida, avaliando se o isco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco. Ao longo de todo este proceso, elas comunicam e consultam as partes interessadas € monitoram e analisam criticamente o risco e 05 controles que 0 modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido. Esta Norma descreve este proceso sistematico e logico em detalhes. Embora todas as organizagées gerenciem os riscos em algum grau, esta Norma estabelece um numero de principios que precisam ser atendidos para tomar a gestéo de riscos eficaz. Esta Norma recomenda que as organizagdes desenvolvam, implementem e melhorem continuamente uma estrutura’) cuja finalidade é integrar © processo para gerenciar riscos na governanga, estratégia e planejamento, gestdo, processos de reportar dados e resultados, politicas, valores e cultura em toda a organizagao. ‘A gestio de riscos pode ser aplicada a toda uma organizagao, em suas varias dreas e niveis, a qualquer momento, bem como a fungées, atividades e projetos especificos. Embora a pratica de gestdo de riscos tenha sido desenvolvida ao longo do tempo e em muitos setores a fim de atender as necessidades diversas, a adogdo de processos consistentes em uma estrutura abrangente pode ajudar a assegurar que 0 risco seja gerenciado de forma eficaz, eficiente e coerentemente ao longo de uma organizacéo. ‘A abordagem genérica descrita nesta Norma fornece os principios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistematica, transparente e confidvel, dentro de qualquer escopo e contexto. Cada setor especifico ou aplicagao da gestéo de riscos traz consigo necessidades particulares, varios pablicos, percepgoes e critérios. Portanto, uma caracteristica-chave desta Norma é a inclusdo do estabelecimento do Contexto como uma atividade no inicio deste processo genérico de gestéo de riscos. O estabelecimento do contexto captura os objetivos da organizagao, 0 ambiente em que ela persegue esses objetivos, suas partes interessadas e a diversidade de critérios de risco ~ 0 que auxiliard a revelar e avaliar a natureza © a complexidade de seus riscos. © relacionamento entre os principios para gerenciar riscos, a estrutura na qual ocorre e 0 processo de gestao de riscos descritos nesta Norma sao mostrados na Figura 1 Quando implementada e mantida de acordo com esta Norma, a gestao dos riscos possibilita a uma organizagao, por exemplo: — aumentar a probabilidade de atingir os objetivos; — encorajar uma gestao pro-ativa; — estar atento para a necessidade de identificar e tratar os riscos através de toda a organizagao; 1) NOTA DA TRADUGAO: Para os efeitos desta Norma Brasileira traduziu-se o termo framework por “estrutura’. (© 180 2009 © ABNT 2009 - Todos os direitos reservados vABNT NBR ISO 31000:2009 — melhorar a identificagao de oportunidades e ameagas; — tender as normas internacionais e requisites legais e regulatérios pertinentes; — melhorar o reporte das informagées financeiras; — methorar a governanga; _— melhorar a confianga das partes interessadas; — estabelecer uma base confiavel para a tomada de decisao e o planejamento; — methorar os controles; — alocar e utilizar eficazmente os recursos para 0 tratamento de riscos; — melhorar a eficdcia e a eficiéncia operacional; _— melhorar 0 desempenho em saiide e seguranga, bem como a protegao do meio ambiente; _— melhorar a prevengao de perdas e a gestéo de incidentes; — minimizar perdas; — melhorar a aprendizagem organizacional; & — aumentar a resiliéncia da organizagao. Esta Norma é destinada a atender as necessidades de uma ampla gama de partes interessadas, incluindo: a) 0s responsaveis pelo desenvolvimento da politica de gestdo de riscos no ambito de suas organizagées; b) 0 responsaveis por assegurar que os riscos so eficazmente gerenciados na organizagao como um todo ou em uma rea, atividade ou projeto especificos; ©) 08 que precisam avaliar a eficdcia de uma organizagéio em gerenciar riscos; © d) desenvolvedores de normas, guias, procedimentos @ cédigos de praticas que, no todo ou em parte, ‘estabelecem como o risco deve ser gerenciado dentro do contexto especifico desses documentos. AAs atuais praticas © processos de gestéo de muitas organizagdes inciuem componentes de gestdo de riscos, fe muitas organizagdes ja adotaram um processo formal de gestéo de riscos para determinados tipos de risco fou circunstancias. Nesses casos, uma organizag4o pode decidir conduzir uma andlise critica de suas praticas e processos existentes, tomando como base esta Norma, Nesta Norma, as expressdes “gestdo de riscos" e "gerenciando riscos" séio ambas utilizadas. Em termos gerais, “gestao de riscos” refere-se a arquitetura (principios, estrutura e processo) para gerenciar riscos eficazmente, ‘enquanto que “gerenciar riscos” refere-se a aplicagao dessa arquitetura para riscos especificos, vi {© ISO 2009 - © ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 z z a a 3 & s i (G9) soomy ap oweueeN. (79) e0081 ep opsereny (Zr) 2008 9p onbeauRUP (W's) s02su ep oppenene op osseoaig a) ‘p09 op cwuauIDgeq=eS ¥ (Z) eynsuoe @ opdeatunui0> (ropsas) ‘cepueHN temuebio sp enuques epoyous e eye (1 ‘seSuepnus@ a6eas ‘9p zede0 9 enerul eoIweUG ‘esau ewevedsuess seme 2 soueuny e201) OPELOD (4 eprpow qos eH04 (6 ssonuodsip soqSewon stiowyau seu epeeseg | eunpode @ epesninnse ‘eonpwias (@ ezauoou ewauiyondrs epoay (p s2gepep op epewey ep oped (0 seuocenuetio sosseoaid sop aivesSai aue4 (4 Joyen eup (© Figura 1— Relacionamentos entre os principios da gestdo de riscos, estrutura e proceso vii (© 180 2009 - © ABNT 2009 - Todos o¢ dtetos reservados.NORMA BRASILEIRA ABNT NBR ISO 31000:2009 Gestao de riscos — Principios e diretrizes 1 Escopo Esta Norma forece princfpios e diretrizes genéricas para a gestao de riscos. Esta Norma pode ser utllzada por qualquer empresa publica, privada ou comur ou individuo. Portanto, esta Norma nao é especifica para qualquer industria ou selor. ria, associagao, grupo NOTA Para conveniéncia, todos os diferentes usuirios desta Norma so referidos pelo termo geral “organizagao" Esta Norma pode ser aplicada ao longo da vida de uma organizagao e a uma ampla gama de atividades, incluindo estratégias, decisbes, operagdes, processos, fungdes, projelos, produlos, servigos e ativos. Esta Norma pode ser aplicada a qualquer tipo de risco, independentemente de sua natureza, quer tenha consequéncias positivas ou negativas. Embora esta Norma fornega diretrizes genéricas, ela nao pretende promover a uniformidade da gestao de riscos, entre organizagées. A concepgao e a implementagao de planos e estruturas para gestao de riscos precisarao levar em consideracao as necessidades variadas de uma organizagao especifica, seus objetivos, contexto, estrutura, operagies, processes, fungSes, projetos, produtos, servigos ou ativos e praticas especificas empregadas, Pretende-se que esta Norma seja utiizada para harmonizar os processos de gesto de riscos tanto em normas atuais como em futuras. Esta Norma fornece uma abordagem comum para apoiar Normas que tratem de riscos, elou setores especificos, e nao substitui-ias. Esta Norma nao é destinada para fins de certificagao. 2. Termos e definigées Para os efeitos deste documento, aplicam-se os seguintes termos e definigdes. 24 isco efeito d incerteza nos objetivos NOTA1 Um efeito é um desvio em relagao ao esperado — positive e/ou negatvo. NOTA2 _ Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e seguranga e ambientals) & podem aplicar-se em diferentes niveis (tais como estratégico, em toda a organizacdo, de projeto, de produto e de processo). NOTA3 _ O risco 6 muitas vezes caracterizado pola referéncia aos eventos (2.17) potenciais e as consequéncias (2.18), ou uma combinagao destes. NOTA4 0 isco é muitas vezes expresso em termos de uma combinagio de consequéncias de um evento (incluindo ‘mudangas nas circunstancias) ea probabilidade (2.19) de ocorréncia associada, NOTAS A incerteza 6 0 estado, mesmo que parcial, da deficiéncia das informagses relacionadas a um evento, sua ‘compreensto, seu conhecimento, sua consequéncia ou sua probabilidade. [ABNT ISO GUIA 73:2009, definigaio 1.1] © 1IS0 2009 -© ABNT 2009 - Todos 08 cireltos reservados 4ABNT NBR ISO 31000:2009 22 gestio de riscos See reies coordenades para digir e controlar uma organizagao no que se refere 2 riscos (2.4) IABNT ISO GUIA 73:2009, definigdo 2.1] 23 estrutura da gestao de riscos Conjunto de componentes que fornecem os fundamentos @ os aranit corganizacionais para a concepgao, finplementagao, monitoramento (2.28), andlise erica © melhoria continua ‘da gestéo de riscos (2.2) através de toda a organizagao NOTA1 Os fundamentos incluem a politica, objetives, mandatos e comprometimento Para ‘gerenciar riseos (2.1) NOTA2 Os arranjs organizacionalsincuem pianos, relacionamentos, responsabdades, recursos, POessos © alividades, NOTA3 Aestrutura da gostio de rscos ests incorporada no ambito das politcas © prétcas cestratégicas e operacionais de toda a organizagao. [ABNT ISO GUIA 73:2009, definigao 2.1-1] 24 politica de gestéo de riscos vetlaragao das intongdes e diretrizes gerais de uma organizagao relacionadas & gestio de riscos (2.2) [ABNT ISO GUIA 73:2008, definigao 2.1.2} 25 atitude perante o risco Sbordagem da organizagao para avaliar @ eventualmente buscar, reter, assumir o8 afastar-se do risco (2.1) [ABNT ISO GUIA 73:2009, definigdo 3.7.1.1] 2.6 plano de gestao de riscos Esquema dentro da estrutura da gestéo do riscos (2.3), que especifica @ abordagem, os componentes de gestae Gos recursos a serem aplicados para gerenciar riscos (2.1) NOTA’ Os componentes de gesléo tpicamente Incuem provedimentos, préticas, atibui¢#o de_responsabilidades, seqdéncia e cronologia das alividades. NOTA2 _ O plano de gestdo de risc0s pode ser aplicado a um determinado produto, processo e pojelo, em parte ou em toda a organizagao. IABNT ISO GUIA 73:2009, definigdo 2.1.3] 27 proprietario do risco eoaeta ou enlidade com a responsabildade e a autoridade para gerenciar um risco 21) IABNT ISO GUIA 73:2009, definigao 3.5.1.5] 28 processo de gestao de riscos Epicagao sistematica de poliicas, procedimentos @ praticas de gesiso pate atividades de comunicagao, aplcagio Stabelecimento do contexlo, e na identiicagéo, andlise, avaliagSo, tratamento, ‘monitoramento (2.28) @ andlise critica dos riscos (2.1) IABNT ISO GUIA 73:2009, definigao 3.1] 2 © 1S0 2009- © ABNT 2009 - Todos 0s direitos reservadosABNT NBR ISO 31000:2009 29 estabelecimento do contexto definicao dos pardmetros externos e intemos a serem levados em consideracdo ao gerenciar riscos, € estabelecimento do escopo e dos critérios de risco (2.22) para a politica de gestao de riscos (2.4) IABNT ISO GUIA 73:2009, definigao 3.3.1] 2.10 contexto externo ambiente externo no qual a organizagao busca atingir seus objetivos NOTA 0 contexto externo pode inciuir: — oambiente cultural, social, politico, legal, regulator, financeiro, tecnolégico, econdmico, natural e competitive, seja internacional, nacional, regional ou local; — 08 fatores-chave e as tendéncias que tenham impacto sobre os objetivos da organizaga — as relagbes com partes interessadas (2.13) exlemas e suas percepgoes @ valores. IABNT ISO GUIA 73:2008, definicao 3.3.1.1] 2m contexto interno ambiente interno no qual a organizago busca atingir seus objetivos NOTA OQ contexto interno pode inclu: — governanga, estrutura organizacional, fungbes e responsabilidades; — paliticas, objetivos e estratégias implementadas para ating-los; — capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistomas @ tecnologias), — sistemas de informagao, fluxos de informagao e processos de tomada de decisdo (tanto formais como informais); — relagées com partes interessadas internas, © suas percepgbes a valores; — cultura da organizagao; — normas, ditetizes e modelos adotados pela organizagio; & — forma e extenso das relagSes contratuais, [ABNT ISO GUIA 73:2009, definigao 3.3.1.2] 242 comunicagao e consulta processos continuos e iterativos que uma organizagao conduz para fornecer, compartilhar ou abter informacdes € se envolver no dialogo com as partes interessadas (2.13) e outros, com relagao a gerenciar riscos (2.1) NOTA1 As informagées podem referir-se & existéncia, natureza, forma, probabil aceitabilidade, tratamento ou outros aspectos da gestéo de riscos. lade (2.19), significancia, avaliag&o, NOTA2 A consulta 6 um proceso bidirecional de comunicagao sistematizada entre uma organizagao e suas partes interessadas ou outros, antes de tomar uma decisdio ou direcionar uma questéio especifica. A consulta é: —_um processo que impacta uma decisao através da influéncia ao invés do poder, © (©1580 2009 - © ABNT 2009 - Todos 08 direitos reservados 3ABNT NBR ISO 31000:2009 — uma entrada para 0 processo de tomada de decisdo, ¢ no uma tomada de decisdo em conjunto, [ABNT ISO GUIA 73:2009, definigao 3.2.1] 2.43 parte interessada pessoa ou organizagao que pode afetar, ser afetada, ou perceber-se afetada por uma decisdo ou atividade NOTA Um tomador de decisdio pode ser uma parte interessada, IABNT ISO GUIA 73:2009, definigao 3.2.1.1] 244 proceso de avaliagao de riscos?) processo global de identificagao de riscos (2.15), anélise de riscos (2.21) e avaliagao de riscos (2.24) [ABNT ISO GUIA 73:2009, definigao 3.4.1] 215 identificagao de riscos processo de busca, reconhecimento e descrigéo de riscos (2.1) NOTA 1 A identificagao de riscos envolve a identificagio das fontes de risco (2.16), eventos (2.17), suas causas suas consequéncias (2.18) potenciais NOTA2 A identiicagao de riscos pode envolver dados histéricos, andlises tedricas, opiniées de pessoas informadas © especialistas, e as necesskdades das partes interessadas (2.13). IABNT ISO GUIA 73:2009, definigao 3.5.1] 246 fonte de risco elemento que, individualmente ou combinado, tem o potencial intrinseco para dar origem ao risco (2.1) NOTA Uma fonte de risco pode ser tangivel ou intangivel [ABNT ISO GUIA 73:2009, definigao 3.6.1.2] 247 evento ‘ocorréncia ou mudanga em um conjunto especifico de circunstancias NOTA1 —Umevento pode consistir em uma ou mais ocorréncias pode ter varias causas. NOTA2 — Umevento pode consist em alguma coisa nao acontecer NOTA3 — Umevento pode algumas vezes ser referido como um “incidente” ou um “acidente”. NOTA4 Um evento sem consequéneias (2.18) também pode ser referido como um "quase acidente". ou um “incidente” ou “por um triz™ [ABNT ISO GUIA 73:2008, definigao 3.5.1.3] 2) NOTA DA TRADUGAO: Para os efeitos desta Norma Brasileira, 0 termo risk assessment foi traduzido como “processo de avaliagao de riscos" (2.14) para evilarconfito com 0 termo risk evaluation, que foi traduaide como “avaliagdo de riscos" (224), 4 (© 1SO 2009 - © ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 2.48 consequéncia resultado de um evento (2.17) que afeta os objetivos NOTA1 Um evento pode levar a uma série de consequéncias. NOTA2 — Uma consequéncia pode ser certa ou incerta e pode ter efeitos positives ou negativos sobre os objetivos. NOTA3 As consequéncias podem ser expressas qualitativa ou quantitativamente, NOTA4 As consequéncias inicials podem desencadear reagdes em cadeia [ABNT ISO GUIA 73:2009, definigao 3.6.1.3] 2.19 probabilidade (likelihood) chance de algo acontecer NOTA1 Na terminologia de gestéo de riscos, a palavra “probabilidade” é utilizada para referit-se & chance de algo acontecer, no importando se definida, medida ou determinada objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrta ullizando-se termos gerais ou matematicos (tal como probabilidade ou frequéncia durante um determinado periodo de tempo). NOTA2 _ 0 termo em Inglés "likelihood" nao tem um equivalente direto em algumas linguas; em vez disso, 0 equivalente do termo "probabilly’ & frequentemente utlizado. Entretanto, em Inglés, "probability" 6 muitas vezes interpretado estritamente como uma expressao matematica. Portanto, na terminologia de gestio de riscos, “likelihood” é ulilizado com a mesma ampla interpretagao de que o termo “probabil” tem em muitos outros idiomas além do inglés. IABNT ISO GUIA 73:2009, definigao 3.6.1.1] 2.20 perfil de risco descrigao de um conjunto qualquer de riscos (2.1) NOTA 0 conjunto de riscos pode conter riscos que dizem respeito a toda a organizagao, parte da organizagao, ou referente a0 qual iver sido definido. IABNT ISO GUIA 73:2009, definigao 3.8.2.5) 224 analise de riscos processo de compreender a natureza do risco (2.1) ¢ determinar o nivel de risco (2.23) NOTA1 A anélise de riscos fornece a base para a avaliagao de riscos (2.24) e para as decisdes sobre o tratamento de riscos (2.25), NOTA2 — Aandlise de riscos inclu a estimativa de riscos, {ABNT ISO GUIA 73:2009, definicao 3.6.1) 2.22 critérios de risco termos de referéncia contra os quais a significancia de um risco (2.1) é avaliada NOTA 1 Os critérios de risco sto baseados nos objetivos organizacionais ¢ no contexto externo (2.10) ¢ contexto interno 2.11). NOTA2 _ Os critétios de risco podem ser derivados de normas, leis, poiiticas e outros requisits. [ABNT ISO GUIA 73:2008, definicao 3.3.1.3] (© 1S0 2009 - © ABNT 2009 - Todos os rites reservados, 5ABNT NBR ISO 31000:2009 2.23 nivel de risco Imagnitude de um risco (2.1) ou combinagao de riscos, expressa em termos da combinago das consequéncias (218) e de suas probabilidades (2.19) [ABNT ISO GUIA 73:20089, definigao 3.6.1.8] 2.24 avaliagao de riscos proceso de comparar os resultados da andlise de riscos (2.21) com os critérios de risco (2.22) para determinar $¢ 0 risco (2.1) e/ou sua magnitude ¢ aceitavel ou toleravel NOTA Aavaliagdo de riscos auxilia na decisdo sobre o tratamento de riscos (2.25). [ABNT ISO GUIA 73:2009, definigo 3.7.1] 2.25 tratamento de riscos processo para modificar 0 riseo (2.1) NOTA1 — O tratamento de risco pode envolver: — aagso de evitar 0 rsco pela decisdo de no Iniciar ou descontinuar a atvidade que da origer 20 risco; — assumir ou aumentar o risco, a fim de buscar uma oportunidade; — a remogao da fonte de risco (2.16); — aalteragao da probabitidade (2.19); — a alteragao das consequéncias (2.18); — ocompartihhamento do risco com outra parte ou partes (incluindo contrat e financiamento do rsco); & — arretengio do risco por uma escolha consciente. NOTA2 0s tratamentos de riscos relatives as consequéncias hegalivas so muitas vezes referidos como “miigagao do riscos",“eliminagao de riscos", “prevengdo de riscos" e "redugao de riscos". NOTA3 — Otratamento de riscos pode criar novos riscos ou modificar riscos existentes. [ABNT ISO GUIA 73:2008, definigao 3.8.1] 2.26 controle medida que esta modificando o risco (2.1) NOTA1 — Os controles inciuem qualquer processo, pi tica, dispositive, pratica ou outras agdes que modificam o risco. NOTA2 Os controles nem sempre conseguem exercer 0 efeito de modificagao pretendido ou presumido. [ABNT ISO GUIA 73:2009, definigao 3.8.1.1] 2.27 risco residual risco (2.1) remanescente apés 0 tratamento do risco (2.25) NOTA1 —Orisco residual pode conter riscos nao identificados. 6 (© 150 2009 - © ABNT 2009 - Todos 0s direitos reservadosABNT NBR ISO 31000:2009 NOTA2 0 risco residual também pode ser conhecido como "risco retido” [ABNT ISO GUIA 73:2009, definigao 3.8.1.6] 2.28 monitoramento verificagao, supervisio, observacdo critica ou identificagao da situacao, executadas de forma continua, a fim de identificar mudangas no nivel de desempenho requerido ou esperado NOTA 0 monitoramento pode ser aplicado a estrutura da gestao de riscos (2.3), a0 processo de gestao de riscos (2.8), a0 tisco (2.1) ou ao controle (2.26). [ABNT ISO GUIA 73:2009, definigao 3.8.2.1] 2.29 anilise critica atividade realizada para determinar a adequacdo, suficiéncia e eficdcia do assunto em questéo para atingir 08 objetivos estabelecidos NOTA _ Aanalise critica pode ser aplicada a estrutura da gestio de riscos (2.3), ao proceso de gestdo de riscos (2.8), 220 risco (2.1) ou ao controle (2.26). [ABNT ISO GUIA 73:2009, definigdo 3.8.2.2] 3. Principios Para a gestdo de riscos ser eficaz, convém que uma organizagdo, em todos os niveis, atenda aos principios abaixo descritos. a) Agestao de riscos cria e protege valor. ‘A gestio de riscos contribui para a realizagao demonstravel dos objetivos e para a melhoria do desempenho referente, por exemplo, a seguranga e saiide das pessoas, & seguranga, a conformidade legal e regulatéria, 8 aceitacdo piblica, & protegdo do meio ambiente, & qualidade do produto, ao gerenciamento de projetos, a eficiéncia nas operagdes, a governanga e a reputacdo. b) A gestao de riscos é parte integrante de todos os processos organizacionais. A gestdio de riscos no & uma atividade autonoma separada das principais atividades e processos da organizagao. A gestéo de riscos faz parte das responsabllidades da administragdo e é parte integrante de todos 08 processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestdo de projetos e gestéo de mudangas. ©) Agestdo de riscos é parte da tomada de decisdes. A gestio de riscos auxilia os tomadores de decisdo a fazer escolhas conscientes, priorizar aces e distinguir entre formas alternativas de agao. d) A gestao de riscos aborda explicitamente a incerteza. ‘A gestao de riscos explicitamente leva em consideragao a incerteza, a natureza dessa incerteza, e como ela pode ser tratada ©) Agestao de riscos é sistematica, estruturada e oportuna. Uma abordagem sistematica, oportuna e estruturada para a gestao de riscos contribui para a eficiéncia e para 08 resultados consistentes, comparaveis e confidveis. (© 150 2009 - © ABNT 2009 - Todos os ireltos reservados 7ABNT NBR ISO 31000:2009 f) Agestdo de riscos baseia-se nas melhores informagées disponiveis. ‘As entradas para o proceso de gerenciar riscos so baseadas em fontes de informagéo, tais como dados historicos, experiéncias, retroalimentagao das partes interessadas, observacdes, previsdes, @ opinides de especialistas. Entretanto, convém que os tomadores de deciséo se informem e levem em consideracdo Quaisquer limitagdes dos dados ou modelagem ullizados, ou a possiblidade de divergéncias entre especialistas. 4g) Agestio de riscos 6 feita sob medida. ‘A gestao de riscos esta alinhada com o contexto interno e externo da organizagao © com o perfil do risco. h) A gestdo de riscos considera fatores humanos e culturais. [A gestéo de iscos reconhece as capacidades, percepgdes @ intengdes do pessoal interno @ externo {que podem facilitar ou difcultar a realizagao dos objetivos da organizagao. i) Agestdo de riscos 6 transparente e inclusiva. © envolvimento apropriado e oportuno de partes interessadas e, em particular, dos tomadores de decisdo fem todos 08 niveis da organizagao assegura que a gestéo de riscos permanega pertinente ¢ atualizada. © envolvimento também permite que as partes interessadas sejam devidamente representadas e terem suas opinides levadas em considerago na determinago dos crtérios de risco. j) A gestio de riscos 6 dinamica, iterativa e capaz de reagir a mudangas. [A gestéo de riscos continuamente percebe e reage as mudangas. Na medida em que acontecem eventos fextomos @ internos, 0 contexto e o conhecimento modificam-se, 0 monitoramento @ a andlise critica de riscos $0 realizados, novos riscos surgem, alguns se modificam e outros desaparecem. k) A gestdo de riscos facilita a melhoria continua da organizagao. Convém que as organizagées desenvolvam e implementem estratégias para melhorar a sua maturidade ‘na gestéo de riscos juntamente com todos os demais aspectos da sua organizagao. (© Anexo A fornece informagées adicionais para as organizagdes que desejam gerenciar riscos de forma mais eficaz 4 Estrutura 4.1 General lades (O sucesso da gestdo de riscos ir depender da eficacia da estrutura de gestéo que fomece os fundamentos ¢ os larranjos que irdo incorporé-la através de toda a organizagao, em todos os niveis. A estrutura auxilia a gerenciar fiscos eficazmente através da aplicagdo do processo de gestao de riscos (ver Segao 5) em diferentes niveis © dentro de contextos especificos da organizagdo. A estrutura assegura que a informagao sobre riscos proveniente desse processo seja adequadamente reportada e ullzada como base para a tomada de decis6es a responsabilizagao em todos os niveis organizacionais aplicavels. Esta secéio descreve os componentes necessarios da estrutura para gerenciar riscos e a forma como eles se inter- relacionam de maneira iterativa, conforme mostrado na Figura 2. 8 © ISO 2009- © ABNT 2009 - Todos 0s ditos reservadosABNT NBR ISO 31000:2009 Mandato e comprometimento (4.2) Concepgéo da estrutura para gerenciar riscos (4.3) Entendimento da organizacio e seu contexto (43.1) Estabelecimento da poltca de gestdo de risoos (4.3.2) Responsabilzacéo (4.3.3) Integragdo nos provessos organizacionais (4.3.4) Recursos (4.3.5) Estabelecimento de mecanismos de comunicagSo ¢ reporte interos (4.3.6) Estabelecimento de mecanismos de comunicagao e reporte externos (4.3.7) r ——_—__—_ | Methoria continua da estrutura Implementagdo da gestio de riscos (44) (46) Implementacdo da estrutura para gerenciar riscos (4.4.1) Implementacao do processo de gestio de riscos (4.4.2) ‘Monitoramento e andlise critica da estrutura (4.5) Figura 2— Relacionamento entre os componentes da estrutura para gerenciar riscos Esta estrutura no pretende prescrever um sistema de gesto, mas antes auxiliar 2 organizagao a integrar ‘a gestéo de riscos em seu sistema de gestdo global. Portanto, convém que as organizagées adaptem ‘0s componentes da estrutura a suas necessidades especificas. ‘Se as praticas e processos de gestao existentes em uma organizagao incluirem componentes de gestdo de riscos ou se a organizagao tiver ja adotado um proceso formal de gestdo de riscos para determinados tipos ou situagdes, de risco, entao convém que estes sejam criticamente analisados e avaliados em relacao a esta Norma, incluindo 08 atributos contidos no Anexo A, a fim de determinar sua suficiéncia e eficacia. 4.2, Mandato e comprometimento AA introdugo da gestéo de riscos, e 2 garantia de sua continua eficdcia requerem comprometimento forte e sustentado a ser assumido pela administragao da organizacdo, bem como um planejamento rigoroso e estratégico para obter-se esse comprometimento em todos 0s niveis. Convém que a administragao: — defina e aprove a politica de gestdo de riscos; — assegure que a cultura da organizacao e a politica de gestdo de riscos estejam alinhadas; — defina indicadores de desempenho para a gestéo de riscos que estejam alinhados com os indicadores de desempenho da organizagao; — alinhe os objetivos da gestdo de riscos com os objetivos e estratégias da organizacao; — assegure a conformidade legal e regulatéria; (©150 2009 - © ABN 2009 - Todos os direitos reservados. 9ABNT NBR ISO 31000:2009 atribua responsabilidades nos niveis apropriados dentro da organizago; assegure que 0s recursos necessérios sejam alocados para a gestéo de riscos; comunique os beneficios da gestao de riscos a todas as partes interessadas; & assegure que a estrutura para gerenciar riscos continue a ser apropriada. 4.3 Concepgao da estrutura para gerenciar riscos 4.3.1 Entendimento da organizacao e seu contexto Antes de iniciar a concepgao e a implementagao da estrutura para gerenciar riscos, & importante avaliar @ compreender 0s contextos externo e interno da organizagao, uma vez que estes podem influenciar significativamente a concepgao da estrutura. ‘A avaliagao do contexto externo da organizagao pode incluir, mas ndo esta limitada a a) ambientes cultural, social, politico, legal, regulatério, financeiro, tecnolbgico, econdmico, natural e competitivo, quer seja internacional, nacional, regional ou local; b) fatores-chave e tendéncias que tenham impacto sobre os objetivos da organizagao; c) _relagdes com partes interessadas externas e suas percepgbes e valores. ‘A avaliagao do contexto interno da organizagao pode incluir, mas nao esta limitada a: governanga, estrutura organizacional, fungdes e responsabilidades; politicas, objetivos e estratégias implementadas para atingi-los; capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologia); _— sistemas de informagao, fluxos de informagao e processos de tomada de decisao (formais e informais); — relagdes com partes interessadas internas e suas percepgies e valore: cultura da organizagai normas, diretrizes e modelos adotados pela organizagao; © forma e extensao das relagées contratuais. 43.2 Estabelecimento da politica de gestdo de riscos, Convém que a politica de gestéo de riscos estabelega claramente os objetivos e 0 comprometimento da organizacéio em relagao a gestao de riscos e, tipicamente, aborde: a justificativa da organizacao para gerenciar riscos; as ligagbes entre os objetivos e politicas da organizagao com a politica de gestao de riscos; as responsabilidades para gerenciar riscos; a forma com que séo tratados conflitos de interesses; 10 {© 180 2009 -© ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 — © comprometimento de tomar disponiveis os recursos necessérios para auxiliar os responsdveis pelo gerenciamento dos riscos; — a forma com que o desempenho da gestéo de riscos sera medido e reportado; e — 0 comprometimento de analisar criticamente e melhorar periodicamente a politica e a estrutura da gestéo de riscos em resposta a um evento ou mudanga nas circunstancias. Convém que a politica de gestao de riscos seja comunicada apropriadamente. 4.3.3 Responsabilizagao Convém que a organizagao assegure que haja responsabilizagdo, autoridade e competéncia apropriadas para gerenciar riscos, incluindo implementar e manter 0 processo de gestdo de riscos, e assegurar a suficiéncia, a eficacia e a eficiéncia de quaisquer controles. Isto pode ser facilitado por: — _identificar os proprietarios dos riscos que tém a responsabilidade e a autoridade para gerenciar riscos; — identificar os responsaveis pelo desenvolvimento, implementagao e manutengao da estrutura para gerenciar riscos; — identificar outras responsabilidades das pessoas, em todos os niveis da organizagao no processo de gestéio de riscos; — estabelecer medi¢ao de desempenho e processos de reporte internos ou externas e relagao com os devidos escal6es; @ — _assegurar niveis apropriados de reconhecimento. 4.3.4 Integragao nos processos organizacionais Convém que a gestao de riscos seja incorporada em todas as praticas e processos da organizago, de forma que seja pertinente, eficaz e eficiente. Convém que o proceso de gestdo de riscos se tore parte integrante, e no separado, desses processos organizacionais. Em particular, convém que a gestdo de riscos seja incorporada no desenvolvimento de politicas, na andlise critica, no planejamento estratégico e de negécios, e nos processos de gestao de mudangas. Convém que exista um plano de gestéo de riscos para toda a organizagao, a fim de assegurar que a politica de gestdo de riscos seja implementada e que a gestéo de riscos seja incorporada em todas as praticas e processos a organizagao. O plano de gestdo de riscos pode ser integrado em outros planos organizacionais, tais como um plano estratégico, 43.5 Recursos Convém que a organizagao aloque recursos apropriados para a gestio de riscos. Convém que os seguintes aspectos sejam considerados: — pessoas, habilidades, experiéncias e competéncias; — recursos necessérios para cada etapa do processo de gestio de riscos — processos, métodos e ferramentas da organizagio para serem utilizados para gerenciar riscos; —_processos e procedimentos documentados; — sistemas de gestao da informagéo e do conhecimento; & — programas de treinamento. (© 1S0 2009 -@ ABNT 2009 - Todos os direitos reservados "ABNT NBR ISO 31000:2009 4.3.6 Estabelecimento de mecanismos de comunicagao e reporte internos Convém que a organizagao estabelega mecanismos de comunicagao interna e reporte a fim de apoiar e incentivar a responsabilizagao e a propriedade dos riscos. Convém que tais mecanismos assegurem que: — componentes-chave da estrutura da gestéo de riscos, e quaisquer alteragées subsequentes, sejam comunicados adequadamente; — exista um process adequado de reporte interno sobre a estrutura, sua eficacia e os seus resultados; — as informagées pertinentes derivadas da aplicagdo da gestéo de riscos estejam disponiveis nos niveis e nos momentos apropriados; e — haja processos de consulta as partes interessadas internas. Convém que estes mecanismos incluam processos para consolidar a informagaio sobre os riscos, conforme apropriado, a partir de uma variedade de fontes, levando em consideragao sua sensibilidade, 43.7 Estabelecimento de mecanismos de comunicagio e reporte externos. Convém que a organizacdo desenvolva @ implemente um plano sobre como se comunicaré com partes interessadas externas. Convém que isto envolva: — engajar as partes interessadas extemas apropriadas e assegurar a troca eficaz de informacdes; — oreporte extero para atendimento de requisites legais, regulatérios e de governanga; — fornecer retroalimentacao e reportar sobre a comunicagao e consulta; — usar comunicagso para construir confianga na organizagao; € — comunicar as partes interessadas em evento de crise ou contingéncia, Convém que estes mecanismos incluam processos para consolidar a informagao sobre os riscos, conforme apropriado, a partir de uma variedade de fontes, levando em consideragao sua sensibilidade. 4.4 Implementacao da gestao de riscos 4.4.4 Implementacao da estrutura para gerenciar riscos Na implementagao da estrutura para gerenciar riscos, convém que a organizagao: — defina a estratégia e 0 momento apropriado para implementacao da estrutura; — aplique a politica e 0 processo de gestao de riscos aos processos organizacionais; — atenda aos requisitos legais e regulatérios; — assegure que a tomada de decisdes, incluindo o desenvolvimento e o estabelecimento de objetivos, esteja alinhada com os resultados dos processos de gestao de riscos; — mantenha sessdes de informagao e treinamento; & — consulte @ comunique-se com as partes interessadas para assegurar que a estrutura da gesido de riscos continue apropriada 12 (© 150 2009- © ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 4.4.2. Implementagao do proceso de gestdo de riscos Convém que a gestdo de riscos seja implementada para assegurar que o processo de gestio de riscos descrito na Segdo 5 seja aplicado, através de um plano de gestio de riscos, em todos os niveis © fungoes pertinentes da ‘organizagao, como parte de suas praticas e processos. ica da estrutura A fim de assegurar que a gestdo de riscos seja eficaz e continua a apoiar 0 desempenho organizacional, convém que a organizagao' — mega o desempenho da gestéo de riscos utiizando indicadores, os quais devem ser analisados criicamente, de forma periédica, para garantir sua adequacao; — mega periodicamente o progresso obtido, ou 0 desvio, em relagao ao plano de gestao de riscos; — analise criticamente de forma periédica se a politica, o plano e a estrutura da gesto de riscos ainda séio apropriados, dado 0 contexto externo e interno das organizacées; — reporte sobre os riscos, sobre 0 progresso do plano de gestao de riscos e como a politica de gestao de riscos esta sendo seguida; e — analise criticamente a eficdcia da estrutura da gestéo de riscos. 4.6 Melhoria continua da estrutura Com base nos resultados do monitoramento e das andlises criticas, convém que decisdes sejam tomadas sobre como a politica, © plano e a estrutura da gestdo de riscos podem ser melhorados. Convém que essas decisbes vvisem melhorias na capacidade de gerenciar riscos da organizagéio e em sua cultura de gestio de riscos. 5 Processo 5.1 Generalidades Convém que o processo de gestdo de riscos seja — parte integrante da gestao, — incorporado na cultura e nas praticas, e — _adaptado aos processos de negocios da organizagao, Ele compreende as atividades descritas em 5.2 a 5.6. O processo de gestdo de riscos é mostrado na Figura 3. (© 1SO 2009- © ABNT 2009 - Todos os direitos reservados 13ABNT NBR ISO 31000:2009 —a Estabelecimento do contexto (6.3) Processo de avalia:Zo de riscos (5.4) Identficagao de riscos (5.4.2) meses LL I pmannnmisasy ty “eaige (5.2) (5.6) real ‘Avaliagio de riscos (5.4.4) KH + Jf Tratamento de riscos (5.5) Figura 3 — Processo de gestao de riscos 5.2 Comunicacao e consulta onvém que a comunicaggo @ @ consulta &s parts interessadas interas @ externas aoontogam duane todas as fases do processo de gesiao de riscos. portante, eonvém que os plence de comunioago © oprmuta sejam desenvoWides em um, Seam inicial. Potato. oor tes planes shordem quesi6es relacionadas com 0 risco propriamente cto, suas, oars, Fes conve siveas (se conhecidas) e as medidas que estBo sondo tomadas para trataios, Corvern Ae, comunicagdo Consequence pMgyterna eficazes sejam realizadas a fim de assegurar que os responscis pela fmnslomentagao do proceso de gestao de rscos e as partes inleressadas comproen eat &S fundamentos sobre sorerye as Jocsbes so tomadas o as razbes pelas quais agbes especiicas S80 requerides Uma abordagem de equipe consultiva pode: — auxiiar a estabelecer 0 contexto apropriadamente; assegurar que 0s nteresses das parts ineressadas solam compreendidos © considerados: auxiliar a assegurar que 0s riscos sejam identificados adequadamente; reunir diferentes areas de especiaizagao em conjunto para andlise dos riscos; assegurar que diferentes pontos de vista sejam devidamente considerados quando da definigao dos eritérios de risco ena avaliagao dos riscos; _— garantir 0 aval e 0 apoio para um plano de tratamento; aprimorar a gestéo de mudangas durante o processo de gestao de riscos: © desenvolver um plano apropriado para comunicagao e consulta interna ¢ externa. 14 {@ 180 2009 - © ABNT 2009 - Todos os direitos reservadosABNT NBR ISO 31000:2009 ‘A comunicacao e consulta as partes interessadas s4o importantes na medida em que elas fazem julgamentos sobre riscos com base em suas percepges. Essas percepgdes podem variar devido as diferencas de valores, necessidades, suposig6es, conceltos e preocupagtes das partes interessadas. Como os seus pontos de vista podem ter um impacto significativo sobre as decisées tomadas, convém que as percepgdes das partes interessadas sejam identificadas, registradas e levadas em consideragao no processo de tomada de decisao. Convém que a comunicagdo e a consulta facilitem a troca de informagées verdadeiras, pertinentes, exatas e compreensiveis, levando em consideragao os aspectos de confidencialidade ¢ integridade das pessoas. 5.3. Estabelecimento do contexto 5.3.1 Generalidades ‘Ao estabelecer 0 contexto, a organizagao articula seus objetivos, define os parametros extemos e internos a serem levados em consideragao ao gerenciar riscos, e estabelece 0 escopo € os critérios de risco para o restante do processo. Mesmo que muitos destes parémetros sejam similares Aqueles considerados na concepcao da estrutura da_gestéo de riscos (ver 4.3.1), a0 se estabelecer 0 contexio para 0 processo de gestio de riscos, eles precisam ser considerados com mais detalhe. Em particular, como eles se relacionam com 0 escopo do respectivo processo de gestao de riscos. 5.3.2. Estabelecimento do contexto externo © contexto externo & o ambiente extemo no qual a organizagao busca atingir seus objetivos. Entender 0 contexto extemo € importante para assegurar que os objetivos @ as preocupagtes das partes interessadas extemas sejam considerados no desenvolvimento dos critérios de risco. O contexto externo @ baseado no contexto de toda a organizagao, porém com detalhes especificos sobre requisitos legais @ regulatérios, percepgées de partes interessadas e outros aspectos dos riscos especificos para 0 escopo do proceso de gestio de riscos. © contexto externo pode incluir, mas nao esta limitado a: — ambientes cultural, social, politico, legal, regulatério, financeiro, tecnolégico, econémico, natural competitive, quer seja internacional, nacional, regional ou local; — fatores-chave e tendéncias que tenham impacto sobre os objetivos da organizacao; € — relagées com as partes interessadas externas e suas percepgdes e valores. 5.3.3 Estabelecimento do contexto interno contexto interno & o ambiente interno no qual a organizagao busca atingir seus objetivos. Convém que 0 processo de gestdo de riscos esteja alinhado com a cultura, processos, estrutura ¢ estratégia da organizagao. O contexto interno é algo dentro da organizagio que pode influenciar a maneira pela qual uma organizagao gerenciard os riscos. Convém que ele seja estabelecido, porque: @) a gestio de riscos ocorre no contexto dos objetivos da organizacao; b)__convém que os objetivos e os critérios de um determinado projeto, processo ou atividade sejam considerados tendo como base os objetivos da organizagao como um todo; € ©) algumas organizagdes deixam de reconhecer oportunidades para atingir seus objetivos estratégicos, de projeto ou de negécios, 0 que afeta 0 comprometimento, a credibilidade, a confianca e o valor organizacional (© 180 2009 - © ABNT 2009 - Todos os itetos reservados 15ABNT NBR ISO 3100 :2009 E necessério compreender 0 contexto interno. Isto pode incluir, mas nao esta limitado a: — governanga, estrutura organizacional, fungbes e responsabilidades; — politicas, objetivos e estratégias implementadas para ating/-los; — capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); — sistemas de informagao, fluxos de informagao e processos de tomada de decisao (formais e informais); — relagdes com as partes interessadas internas, e suas percepgoes e valores; — oultura da organizagao; — normas, diretrizes e modelos adotados pela organizagao, e — forma e extensaio das relagdes contratuais. 5.3.4 Estabelecimento do contexto do processo de gestio de riscos Convém que sejam estebelecidos os objetivos, as estratégias, 0 escopo © os parmetros das alividades da organizagao, ou daquelas partes da organizagao em que 0 processo de gestéo de riscos esta sendo aplicado, Convém que a gestao dos riscos seja realizada com plena consciéncia da necessidade de justificar os recursos utiizados na gestao de riscos. Convém que os recursos requeridos, as responsabilidades e as autoridades, além dos registros a serem mantidos, também sejam especificados. © contexto do processo de gesto de riscos ir variar de acordo com as necessidades de uma organizagéo, Ele pode envolver, mas nao esta limitado a: — definigao das metas e objetivos das atividades de gestéo de riscos; — definigao das responsabilidades pelo processo e dentro da gestdo de riscos; — definigéo do escopo, bem como da profundidade e da amplitude das atividades da gestio de riscos a serem realizadas, englobando inclusbes e exclusdes especificas: — definigdo da atividade, proceso, fungao, projeto, produto, servigo ou ative em termos de tempo e localizagao; — definigao das relagdes entre um projeto, processo ou atividade especificos e outros projetos, processos ou atividades da organizagao; — definigéio das metodologias de proceso de avaliagdo de risco: efinigdo da forma como sao avaliados o desempenho e a eficacia na gestdo dos riscos; — identiicagao ¢ especiticagao das decisGes que tém que ser tomadas; e — identiticagao, definigao ou elaboragao dos estudos necesséios, de sua extensdo e objetivos, ¢ dos recursos requeridos para tais estudos A atengao para estes @ outros fatores pertinentes pode ajudar a assegurar que a abordagem adotada para a gestao de riscos seja apropriada as circunstancias, 4 organizag3o e aos riscos que afetam a realizagao de seus objetivos. 16 {© 150 2009- © ABNT 2009 - Todos os diretos reservadosABNT NBR ISO 31000:2009 5.3.5 Definigao dos critérios de risco Convém que a organizago defina os crtérios a serem utilizados para avaliar a significdncia do risco. Convém que 0 critérios reflitam os valores, objetivos e recursos da organizagao. Alguns critérios podem ser impostos por, ou derivados de requisitos legais @ regulatérios e outros requisitos que a organizagao subscreva. Convém que 0 critérios de risco sejam compativeis com a politica de gestéo de riscos da organizagao (ver 4.3.2), definidos 1 inicio de qualquer processo de gestao de riscos e analisados criticamente de forma continua. Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes aspectos: — a natureza e os tipos de causas e de consequéncias que podem ocorrer e como elas serdo medidas; — como a probabilidade sera definida; — a evolugao no tempo da probabilidade e/ou consequéncia(s); — como o nivel de risco deve ser determinado; — 08 pontos de vista das partes interessadas; — nivel em que o risco se torna aceitavel ou toleravel; e — se convém que combinagées de miltiplos riscos sejam levadas em consideragdo e, em caso afirmativo, como e quais combinagdes convém que sejam consideradas, 5.4 Processo de avaliacao de riscos 5.44 Generalidades © processo de avaliagao de riscos 6 0 proceso global de identificagao de riscos, andlise de riscos ¢ avaliago de riscos. NOTA —AIEC 31010 fornece orientagao sobre técnicas de processo de avaliagao de riscos. 5.4.2 Identificacao de riscos Convém que a organizagao identifique as fontes de risco, dreas de impactos, eventos (incluindo mudangas nas ircunsténcias) e suas causas e consequéncias potencials. A finalidade desta etapa 6 gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realizagao dos objetivos. E importante identificar 0s riscos associados com nao perseguir uma oportunidade. A identificagao, abrangente é critica, pois um risco que nao é identificado nesta fase no sera incluido em analises posteriores. ‘Convém que a identificago inclua todos os riscos, estando suas fontes sob o controle da organizagao ou néo, mesmo que as fontes oul causas dos riscos possam nao ser evidentes. Convém que a identificagao de riscos inclua 0 exame de reagdes em cadeia provocadas por consequéncias especificas, incluindo os efeitos cumulativos em cascata, Convém que também seja considerada uma ampla gama de consequéncias, ainda que a fonte ‘ou causa do risco nao esteja evidente. Além de identificar 0 que pode acontecer, é necessario considerar possiveis causas e cenarios que mostrem quais consequéncias podem ocorrer. Convém que todas as causas € consequéncias significativas sejam consideradas. Convém que a organizagao aplique ferramentas e técnicas de identificagao de riscos que sejam adequadas aos seus objetivos e capacidades e aos riscos enfrentados. Informacdes pertinente ¢ atualizadas s4o importantes na identificaggo de riscos. Convém que inciuam informagdes adequadas sobre os fatos por trés dos acontecimentos, sempre que possivel. Convém que pessoas com um conhecimento adequado sejam envolvidas na identificagao dos riscos, (© 1S0 2009 - © ABNT 2009 - Todos os direitos reservados 17