Abordagens da Norma AS NZS - 4360 2004

Prévia do material em texto

Abordagens da Norma AS/NZS – 
4360:2004
APRESENTAÇÃO
A norma AS/NZS 4360 foi a primeira em âmbito mundial a abordar o tema gestão de riscos 
empresariais. Sua proposta principal é a de processo estruturado e contínuo para o 
gerenciamento dos mais diversos tipos de riscos, podendo ser utilizada por qualquer tipo de 
organização, independentemente do tamanho e setor de atividade. A AS/NZS 4360:2004 
enfatiza que a cultura da gestão de riscos deve ser inserida na filosofia, nas práticas e nos 
processos de negócio da organização, em vez de ser vista ou praticada como uma atividade em 
separado. Embora o conceito de risco seja frequentemente interpretado em termos de perigo ou 
impacto negativo, a nova norma vê os riscos como a exposição às consequências da 
incerteza ou como potenciais desvios do que foi planejado ou do que é esperado.
Nesta Unidade de Aprendizagem, você vai estudar a norma AS/NZS 4360:2004, sua estrutura e 
seu processo de gestão de riscos, e também a política de gestão de riscos proposta pela norma.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir a norma AS/NZS 4360.•
Descrever estrutura e processo de gestão de risco segundo a norma AS/NZS 4360.•
Definir a política de gestão de riscos proposta pela norma AS/NZS 4360.•
DESAFIO
Para ser mais eficaz, a gestão de riscos deve tornar-se parte da rotina de uma organização, ser 
internalizada na sua filosofia, nas práticas e nos processos de negócio, mais do que ser vista ou 
praticada como uma atividade separada. Quando se atinge esse ponto, todos se envolvem na 
gestão dos riscos. A norma AS/NZS 4360:2004 é uma das principais referências sobre a gestão 
de risco e serviu de base para o desenvolvimento da ISO 31000 - Gestão de Riscos. 
A empresa na qual você trabalha está implantando um programa para gerenciamento de riscos, 
utilizando como base as orientações da norma AS/NZS 4360. Para isso, ofereceu um 
treinamento aos seus gerentes, e você é um deles. Após concluído o treinamento, você recebeu a 
missão de atuar como multiplicador dos conhecimentos adquiridos, compartilhando-os com os 
integrantes de sua equipe. 
 
Conteúdo interativo disponível na plataforma de ensino!
Após o grupo ter chegado a um consenso, é, então, a sua vez. Para concluir a atividade e garantir 
que todos tenham compreendido corretamente, você deve apresentar a tabela devidamente 
preenchida, com as atividades adequadamente associadas às diferentes etapas componentes do 
processo de gerenciamento de riscos.
INFOGRÁFICO
A AS/NZS 4360 possui a premissa de ser aplicável a qualquer situação de gerenciamento de 
riscos em qualquer tipo de organização, sem se restringir a um segmento específico. Ela 
apresenta um glossário com os principais termos empregados, uma visão geral do processo de 
gerenciamento de riscos, um detalhamento do objetivo de cada etapa do processo e indicações 
de como estabelecer um gerenciamento de riscos efetivo.
Este Infográfico apresenta o relacionamento entre os diferentes processos de gerenciamento de 
riscos sugeridos pela norma.
Acompanhe.
 
Conteúdo interativo disponível na plataforma de ensino!
CONTEÚDO DO LIVRO
A norma AS/NZS 4360:2004 estabelece sete etapas do processo de gestão de riscos, que são: 
comunicação e consulta; estabelecer o contexto; identificar os riscos; analisar os riscos; avaliar 
os riscos; tratar os riscos, e monitorar e revisar.
O contexto do gerenciamento de riscos deve estar alinhado com o ambiente de negócios da 
organização, o qual deve ter sido estabelecido no planejamento estratégico. Entretanto, quando 
do início dessa fase, pode ser que o contexto definido anteriormente no planejamento estratégico 
necessite de ajustes. Na fase de estabelecer o contexto, o escopo, os objetivos, as metas e as 
atividades de todo o processo são estabelecidos, inclusive os recursos necessários à sua 
realização.
Na obra Gerenciamento de riscos, base teórica desta Unidade de Aprendizagem, leia o capítulo 
Abordagens da norma AS/NZS 4360:2004, onde você verá com mais detalhes as etapas do 
processo de gestão de riscos.
GERENCIAMENTO 
DE RISCOS
Iraneide Azevedo
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Abordagens da Norma 
AS/NZS nº 4.360/2004
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir a Norma AS/NZS nº 4.360/2004.
 � Descrever estrutura e processo de gestão de risco segundo a Norma 
AS/NZS nº 4.360/2004.
 � Definir a política de gestão de riscos proposta pela Norma AS/NZS 
nº 4.360/2004.
Introdução
A Norma AS/NZS nº 4.360/2004 foi a primeira norma em âmbito mundial 
a abordar o tema gestão de riscos empresariais. Sua proposta principal 
é de processo estruturado e contínuo para o gerenciamento dos mais 
diversos tipos de riscos, podendo ser utilizada por qualquer tipo de 
organização, independentemente de tamanho e setor de atividade. Dá 
muita ênfase ao fato de que a cultura da gestão de riscos deve neces-
sariamente pertencer à filosofia da organização, e que a alta gerência 
é a responsável pelo seu estabelecimento e disseminação entre toda 
a organização. Menciona que a gestão de riscos será mais eficiente e 
eficaz se for integrada a outras atividades de gestão, garantindo melhores 
resultados à organização.
Neste capítulo, você irá estudar a Norma AS/NZS nº 4.360/2004, sua 
estrutura e processo de gestão de riscos e, também, a política de gestão 
de riscos proposta pela norma.
Norma AS/NZS nº 4.360/2004
A Norma AS/NZS nº 4.360/2004 surgiu em 1995, correspondendo à primeira 
norma em âmbito mundial referente à gestão do risco. Por ter sido idealizada 
por entidades da Austrália e da Nova Zelândia, recebeu a denominação de 
Australia/New Zealand Risk Management (AS/NZS). Houveram complemen-
tações em seu contexto e a norma foi reeditada duas vezes, em 1999 (AS/NZS 
nº 4.360/1999) e em 2004 (AS/NZS nº 4.360/2004). É considerada referência 
na gestão de risco e se tornou um guia para a implementação do processo. Em 
2009, serviu de base para a implementação da NBR ISO 31000 (TRIBUNAL 
DE CONTAS DA UNIÃO, c2018).
A Norma AS/NZS nº 4.360/1995 tinha em sua proposta um método es-
truturado para o gerenciamento dos mais diversos tipos de riscos, sejam 
eles relacionados à segurança, ao meio ambiente e à qualidade de produtos e 
serviços, financeiros, de seguros, de políticas públicas, entre outros. A norma 
conceituava gestão de riscos como a cultura, os processos e as estruturas 
dirigidas à consolidação de oportunidades de melhoria e à gerência dos efeitos 
negativos dos riscos de uma organização (LEITE, 2012).
Já a Norma AS/NZS nº 4.360/1999 enfatizava a necessidade de estabelecer 
os contextos de gestão estratégica organizacional e de risco, bem como o 
desenvolvimento de um conjunto de critérios para a avaliação de risco e para 
a definição da estrutura, separando a atividade ou projeto em um conjunto de 
elementos para auxiliar nas melhores decisões (LEITE, 2012). 
Essa norma reconhecia que a implementação de qualquer projeto deve 
ser influenciada pelas necessidades das organizações, considerando seus 
objetivos específicos, produtos e serviços oferecidos, e as atividades e práticas 
que concentra em sua rotina. Devido ao grande número de fontes de riscos e 
áreas de impacto que circundam o ambiente corporativo, também reconhecia 
a necessidade de identificar essas fontes de risco e essas áreas de impacto, 
desenvolvendo uma lista genérica de riscos, concentradaem atividades de 
identificação para os eles (LEITE, 2012).
A reedição da norma em 2004 incorporou todas as lições aprendidas com 
a utilização da edição de 1999 e, também, a visão atualizada sobre a gestão 
de riscos. Entre as principais mudanças abordadas em relação à edição de 
1999 estão:
 � maior ênfase na importância de incorporar as práticas de gestão de 
riscos à cultura e aos processos da organização;
 � maior ênfase na gestão dos ganhos potenciais e também das perdas 
potenciais;
 � expansão e transformação dos exemplos indicativos em um novo manual.
Abordagens da Norma AS/NZS nº 4.360/2004128
Assim, a AS/NZS nº 4.360/2004 ressalta que a cultura da gestão de riscos 
deve ser inserida na filosofia, nas práticas e nos processos de negócio da 
organização, em vez de ser vista ou praticada como uma atividade em sepa-
rado, ou seja, deve ser parte integrante de todo o processo da organização. 
Embora o conceito de risco seja frequentemente interpretado em termos de 
perigo ou impacto negativo, a nova norma vê os riscos como a exposição às 
consequências da incerteza ou como potenciais desvios do que foi planejado 
ou do que é esperado. A norma revisada dá ênfase especial ao fato de que 
a gestão de riscos é um elemento essencial da boa governança corporativa 
(LEITE, 2012).
Estrutura e processo de gestão de riscos 
segundo a Norma AS/NZS nº 4.360/2004
Uma estrutura para gestão de riscos constitui-se em um conjunto de compo-
nentes que fornecem as bases e os arranjos organizacionais para elaboração, 
implantação, monitoramento, análise crítica e melhoria contínua da gestão 
de riscos por meio de toda a organização. Muito necessária para que se possa 
identificar as potenciais oportunidades e as possíveis ameaças do ambiente 
corporativo. 
As bases ou fundamentos incluem a política, os objetivos, os mandatos e 
o comprometimento para o gerenciamento de riscos, bem como os arranjos 
organizacionais incluem planos, relacionamentos, responsabilidades, recursos, 
processos e atividades. A estrutura segue um modelo PDCA com um impor-
tante acréscimo que é o chamado mandato e comprometimento, conforme 
demonstrado na Figura 1 (FRANCO, 2017).
PDCA, do inglês Plan – Do – Check – Act, é um método iterativo de gestão de quatro 
passos, utilizado para o controle e a melhoria contínua de processos e produtos. É 
também conhecido como o círculo/ciclo/roda de Deming, ciclo de Shewhart, círculo/
ciclo de controle, ou PDSA, do inglês, Plan-Do-Study-Act.
129Abordagens da Norma AS/NZS nº 4.360/2004
Figura 1. Estrutura da gestão de risco.
Fonte: Franco (2017).
Mandato e comprometimento, a introdução da gestão de riscos e a garantia 
de sua contínua eficácia, requerem comprometimento forte e sustentado, a ser 
assumido pela administração da organização, bem como um planejamento 
rigoroso e estratégico para obter esse comprometimento em todos os níveis. 
Para isso, é necessário:
 � definir e aprovar a política de gestão de riscos;
 � assegurar que a cultura da organização e a política de gestão de riscos 
estejam alinhadas;
 � definir indicadores de desempenho para a gestão de riscos que estejam 
alinhados com os indicadores de desempenho da organização;
 � alinhar os objetivos da gestão de riscos com os objetivos e as estratégias 
da organização;
 � assegurar a conformidade legal e regulatória;
 � atribuir responsabilidades nos níveis apropriados dentro da organização;
 � assegurar que os recursos necessários sejam alocados para a gestão 
de riscos;
 � comunicar os benefícios da gestão de riscos a todas as partes interessadas;
 � assegurar que a estrutura para gerenciar riscos continue a ser apropriada.
Concepção da estrutura para gerenciar riscos é importante para avaliar 
e compreender todos os contextos, tanto interno como da organização, uma 
vez que podem influenciar significativamente a concepção da estrutura.
Abordagens da Norma AS/NZS nº 4.360/2004130
 � Entendimento da organização e seu contexto: contextos externo e interno 
da organização.
 � Estabelecimento da política de gestão de riscos: estabelecer claramente 
os objetivos e o comprometimento da organização em relação à gestão 
de riscos. 
 � Responsabilização: assegurar que haja responsabilização, autoridade 
e competência apropriadas para gerenciar riscos.
 � Integração nos processos organizacionais: incorporar em todas as práticas 
e processos da organização, de forma que seja pertinente, eficaz e eficiente. 
 � Recursos: alocar recursos apropriados para a gestão de riscos.
 � Estabelecimento de mecanismos de comunicação e reporte internos: 
estabelecer mecanismos de comunicação interna e reporte a fim de 
apoiar e incentivar a responsabilização e a propriedade dos riscos.
 � Estabelecimento de mecanismos de comunicação e reporte externos: 
desenvolver e implementar um plano sobre como se comunicar com as 
partes externas interessadas. 
Implementação da gestão de riscos compreende a implementação da 
estrutura e do processo de gestão de riscos: 
 � Implementação da estrutura para gerenciar riscos: definição de estraté-
gia, aplicação da política e processo de gestão de riscos aos processos, 
atendimento aos requisitos legais e regulatórios, com informação e 
comunicação às partes interessadas.
 � Implementação do processo de gestão de riscos: aplicação de plano de 
gestão de riscos em todos os níveis e funções pertinentes da organização, 
como parte integrante do processo.
Monitoramento e análise crítica da estrutura para assegurar que a gestão de 
riscos seja eficaz e continue a apoiar o desempenho organizacional, é necessário:
 � medir o desempenho da gestão de riscos utilizando indicadores, que 
devem ser analisados criticamente e de forma periódica para garantir 
sua adequação;
 � medir periodicamente o progresso obtido, ou o desvio, em relação ao 
plano de gestão de riscos;
 � analisar criticamente e de forma periódica se a política, o plano e a 
estrutura da gestão de riscos ainda são apropriados, dado o contexto 
externo e interno das organizações;
131Abordagens da Norma AS/NZS nº 4.360/2004
 � reportar sobre os riscos, sobre o progresso do plano de gestão de riscos 
e como a política de gestão de riscos está sendo seguida; 
 � analisar criticamente a eficácia da estrutura da gestão de riscos.
Melhoria contínua da estrutura, as decisões, baseadas nos resultados do 
monitoramento e das análises críticas, devem propor melhorias na capacidade 
de gerenciar riscos da organização e em sua cultura de gestão de riscos.
Para ser efetiva, a gestão de riscos, precisa do comprometimento da alta 
administração, que é a responsável pelo estabelecimento do mandato, e do 
suporte de todos os níveis gerenciais para a implementação do processo de 
gestão e da melhoria contínua.
O processo de gestão de riscos segundo a Norma AS/NZS nº 4.360 (LEITE, 
2012) tem a representação da Figura 2.
Figura 2. Interação entre os processos da Norma AS/NZS nº 4.360.
Fonte: Aldenucci, Spinosa e Favaretto (2009).
Abordagens da Norma AS/NZS nº 4.360/2004132
A estrutura proposta possui a premissa de ser aplicável em qualquer situ-
ação de gerenciamento de riscos para qualquer tipo de organização. Envolve 
a aplicação sistemática de políticas, procedimentos e práticas de gestão nas 
atividades a seguir, sendo que algumas são compostas por subatividades:
Comunicar e consultar: consiste no desenvolvimento de planos para que 
os envolvidos e responsáveis pelo processo de gestão de riscos compreendam 
claramente os fundamentos sobre os quais as decisões são tomadas. Assegura o 
interesse das partes interessadas de que os riscos sejam identificados de forma 
adequada, que diferentes pontos de vistas sejam observados, apoio ao plano 
de tratamento de riscos e uma gestão de riscos eficaz ao longo do processo. 
Estabelecer o contexto: estabelecimento dos objetivos da organização, 
considerando os ambientes interno e externo, estabelecer o escopo e os critérios 
de risco para o processo, bem como metas, responsabilidades e metodologiasnecessárias. As principais tarefas envolvem, estratégia, organização, gestão 
de riscos, desenvolvimento de critérios e definição da estrutura.
Identificar o risco: a etapa de identificação de riscos compreende iden-
tificar a fonte, os eventos e suas causas e consequências potenciais. O que 
pode acontecer e como pode acontecer.
Analisar o risco: envolve a apreciação das causas e das fontes de risco, 
suas consequências positivas e negativas e a probabilidade com que possam 
ocorrer. Deve ser mensurada, de forma quantitativa ou qualitativa. Para isso, 
é importante determinar a probabilidade, as consequências e estimar o nível 
de risco.
Avaliar o risco: busca auxiliar na tomada de decisão, baseada na análise 
feita anteriormente. Nessa etapa se faz a comparação entre o nível de risco 
encontrado durante a análise com o definido pela empresa na etapa de esta-
belecimento do contexto e se estabelecem as prioridades. 
Tratar do risco: definem-se as opções para modificar os riscos da em-
presa. A norma destaca que se pode optar por evitar o risco (descontinuar uma 
determinada atividade), remover a fonte de risco, alterar a probabilidade de 
ocorrência, alterar suas consequências, compartilhar o risco ou, ainda, reter 
o risco. A escolha da opção de tratamento de risco deve considerar o custo 
envolvido em cada ação.
Monitorar e revisar (analisar criticamente): por fim, a etapa de monito-
ramento e análise crítica é a que fornece as respostas ao processo de gestão de 
riscos como um todo. Visa garantir o controle sobre todo o processo, analisando 
todas as informações, mudanças, acontecimentos e gerando conhecimento por 
meio de suas verificações. Os resultados desse processo devem ser registrados e 
reportados de forma apropriada, a todos os envolvidos, interna e externamente. 
133Abordagens da Norma AS/NZS nº 4.360/2004
A Norma AS/NZS nº 4.360/2004 é um dos modelos para gestão de riscos 
mais conhecidos e implementados atualmente, junto a outros, como COSO 
(Committee of Sponsoring Organizations of the Treadway Commission, 2007), 
PMI (Project Management Institute, 2014) e ISO 31000 (Associação Brasileira 
de Normas Técnicas, 2009). Apesar de possuírem e demonstrarem em seu 
contexto conjuntos de etapas diferentes, as atividades que compõem suas 
estruturas são muito semelhantes, conforme evidenciado no Quadro 1.
Fonte: Adaptado de Associação Brasileira de Normas Técnicas (2009), Committee of Sponsoring 
Organizations of the Treadway Commission (2007), Leite (2012), Project Management Institute (2014).
AS/NZS 4360 COSO PMI ISO 31000
Comunicação 
e consulta
Ambiente interno Planejamento do 
gerenciamento 
de riscos
Comunicação 
e consulta
Estabelecimento 
do contexto
Fixação de 
objetivos
Identificação 
dos riscos
Estabelecimento 
do contexto
Identificação 
do risco
Identificação 
de eventos
Análise qualitativa 
de riscos
Identificação 
do risco
Análise do risco Avaliação 
de riscos
Análise quantitativa 
de riscos
Análise do risco
Avaliação do risco Resposta ao risco Planejamento de 
respostas a riscos
Avaliação do risco
Tratamento 
do risco
Atividades de 
controle
Monitoramento e 
controle de riscos
Tratamento 
do risco
Monitoramento 
e análise crítica
Informação e 
comunicação
Monitoramento 
e análise crítica
Monitoramento
Quadro 1. Comparativo dos processos de gestão de riscos.
Entre os principais modelos de processos de gestão de riscos apresentados 
no Quadro 1, o PMI tem um foco maior na gestão de riscos de projetos, e o 
COSO e a ISO 31000, assim como a Norma AS/NZS nº 4.360, tem o foco mais 
direcionado para a gestão de riscos corporativos. Contudo, todos incentivam 
o controle sistematizado e contínuo dos riscos como forma de alavancar o 
atingimento de objetivos e a sustentabilidade.
Abordagens da Norma AS/NZS nº 4.360/2004134
Política de gestão de riscos proposta pela 
Norma AS/NZS nº 4.360/2004
Outro aspecto muito importante a ser considerado na gestão de riscos é a 
definição de uma política de gestão de riscos que estabeleça aquilo que deve 
ser feito. Estabelecer uma política de gestão de riscos é responsabilidade da 
alta administração e deve sintetizar todas as intenções e diretrizes gerais 
relacionadas à gestão de riscos (FRANCO, 2017).
A implementação de programas de gestão de riscos que sejam eficazes em 
todos os níveis depende, muito, de como a direção executiva da organização 
trabalha o envolvimento do pessoal das áreas operacionais nos objetivos da 
organização. A cultura da gestão de riscos precisa realmente tornar-se parte da 
filosofia, dos objetivos e das práticas de toda a organização, devendo ser parte 
integrante dos planos de negócios e programas de treinamento da empresa. 
A organização deve tratar a implementação da gestão de riscos como 
uma oportunidade de mudança cultural, que traz benefícios a todos. Devem 
encorajar seus colaboradores para que tenham um comportamento adequado 
no sentido de gerenciar riscos e aceitarem o desafio de administrar os seus 
próprios riscos, além de estabelecer responsabilidade e autoridade clara e 
definida para:
 � integrar a gestão de riscos aos processos da organização e garantir que 
haja uma cultura apropriada; 
 � administrar o processo de gestão de riscos dentro da estrutura 
organizacional; 
 � gerenciar as ameaças e as oportunidades específicas identificadas, bem 
como implementar as ações de tratamento que podem ser gerenciados 
por pessoal externo à organização.
A Norma AS/NZS nº 4.360/2004 enfatiza que a cultura da gestão de riscos 
deve necessariamente ser inserida na filosofia, nas práticas e nos processos 
de negócio da organização, e a diretoria ou os executivos seniores devem ser 
os responsáveis pela sua inserção (LEITE, 2012). O caminho para isso é o 
estabelecimento de uma política de gestão de risco. 
A política de gestão de risco é um documento que aprova de que forma 
será feita a abordagem para a gestão de riscos, uma vez que ela deve criar 
ligações com as outras estratégias da empresa e estar incorporada às demais 
políticas de gestão da organização.
135Abordagens da Norma AS/NZS nº 4.360/2004
As informações que devem fazer parte da política de gestão de riscos 
de uma organização devem ser claras e objetivas, de acordo com a Norma 
AS/NZS nº 4.360/2004. Para implementar uma política de gestão de risco a 
organização deve: 
a) abordar os objetivos e a base para o gerenciamento dos riscos; 
b) estabelecer as relações entre a política e os planos estratégico e opera-
cional da organização; 
c) avaliar a extensão ou gama de riscos que precisam ser gerenciados; 
d) estabelecer diretrizes sobre o que deve ser considerado risco aceitável; 
e) identificar quem são os responsáveis pelo gerenciamento dos riscos; 
f) dar o suporte e conhecimento disponíveis para auxiliar os responsáveis 
pelo gerenciamento dos riscos;
g) informar qual é o nível de documentação requerido;
h) definir quais serão os requisitos para monitorar e analisar criticamente 
o desempenho organizacional em relação à política.
Além disso, deve-se considerar que, para o gerenciamento eficaz dos riscos, 
é necessário aprovar o nível de recursos e a infraestrutura que será utilizada, 
necessários para: 
a) dar suporte e conhecimento aos responsáveis pelo gerenciamento dos 
riscos, mesmo quando forem necessários fornecedores externos;
b) adquirir o conhecimento e as habilidades necessárias para gerenciar 
os riscos;
c) incorporar o treinamento em gestão de riscos nos programas de desen-
volvimento do pessoal interno;
d) integrar os princípios da gestão de riscos aos procedimentos e às prá-
ticas existentes;
e) comunicar e dialogar com toda a organização sobre a gestão de riscos 
e sobre a filosofia da empresa;
f) garantir que os sistemas de recompensas, reconhecimento e penalidades 
do pessoal incluam a gestão de riscos;
g) garantir que os programas de análise crítica interna e de avaliação, 
como o de auditorias internas, considerem, ao avaliar o desempenho, 
a filosofia daorganização em relação à gestão de riscos;
h) incorporar as questões de gestão de riscos no planejamento dos negócios;
i) coordenar a interface entre a gestão de riscos e a garantia da qualidade.
Abordagens da Norma AS/NZS nº 4.360/2004136
A gestão de riscos será mais eficaz se for integrada a outras atividades de 
gestão. Segundo Leite (2012) há maior eficiência se as atividades de gestão 
de riscos forem integradas para diferentes tipos de riscos que estão intima-
mente relacionados, ou diferentes tipos de atividades de gestão de riscos que 
abrangem o mesmo risco. Havendo essa integração, provavelmente haverá 
uma redução de custos. Nesse sentido, riscos de danos a pessoas, proprie-
dades ou ao meio ambiente envolvem comportamento humano e ambiente 
físico, há, então, superposições importantes nos controles necessários para 
gerenciar esses riscos.
A política de gestão de riscos deve ser sustentada e estimulada dentro da 
organização. É função dos gerentes ter papel ativo na organização, dar poder 
de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos, 
reconhecendo, premiando e divulgando a boa gestão de riscos. Também devem 
estimular o debate e a análise de resultados e, caso estes sejam inesperados, 
permitir que se aprendam com os erros, em vez de punir.
Para uma gestão eficaz, os gerentes devem estar sempre sinalizando que a 
gestão de riscos é dever de todos; que é parte integrante dos negócios e não um 
trabalho extra ou uma carga adicional; que é um processo lógico e sistemático 
e que deve se tornar a prática habitual na organização (LEITE, 2012). 
Leite (2012) menciona, ainda, que a Norma AS/NZS nº 4.360/2004 deixa 
algumas mensagens que são peças-chave para ajudar na sua integração à 
política da organização: 
 � Há riscos a serem gerenciados em todas as atividades.
 � Todos são responsáveis e devem gerenciar os riscos de suas atividades.
 � As pessoas devem ser estimuladas e apoiadas pelos seus líderes a ge-
renciar riscos. 
 � A Norma AS/NZS nº 4.360/2004 fornece uma estrutura ou abordagem 
sistemática para a tomada de decisões sobre como melhor gerenciar 
os riscos. 
 � Devem ser considerados os requisitos legais e os ambientes político, 
social e econômico ao gerenciar riscos.
 � As ações para gerenciar riscos devem estar conectadas aos planejamen-
tos e processos operacionais existentes em todos os níveis.
 � Uma gestão de riscos eficaz depende de informação com qualidade. 
137Abordagens da Norma AS/NZS nº 4.360/2004
1. Marque a alternativa correta 
com relação à Norma AS/
NZS nº 4.360/2004.
a) Sua primeira edição foi 
feita em 2004 e houveram 
mais duas edições.
b) A última versão foi 
publicada em 1999.
c) Foi idealizada no 
Brasil, pela ABNT.
d) Pioneira a nível mundial no que 
diz respeito à gestão de risco, 
a norma se tornou referência 
no processo e se tornou um 
guia para implementação 
de outras normas. 
e) A ISO 31000 serviu de 
base para a construção 
da AS/NZS. 
2. No contexto da Norma AS/NZS nº 
4.360/2004, é correto afirmar que:
a) recomenda que a gestão de 
riscos seja praticada como uma 
atividade em separado das demais.
b) aconselha que a gestão de 
riscos deve ser segregada 
e independente da 
filosofia da empresa.
c) vê os riscos como exposição 
às consequências da incerteza 
ou como potenciais desvios do 
que foi planejado ou esperado.
d) enfatiza que gestão de riscos 
e a governança corporativa 
devem ser independentes.
e) considera que os riscos sempre 
resultam em impacto negativo 
ao que foi planejado ou 
esperado pela organização.
3. A Norma AS/NZS nº 4.360/2004 
considera a gestão de riscos um 
processo formado por algumas 
etapas. Uma delas é focada no 
estabelecimento dos objetivos 
da organização, considerando 
os ambientes interno e externo, 
escopo e critérios de risco 
para o processo, bem como 
metas, responsabilidades e 
metodologias necessárias. Qual 
das seguintes é esta etapa?
a) Análise dos riscos.
b) Comunicação e consulta. 
c) Identificação dos riscos.
d) Monitoramento e análise crítica.
e) Estabelecimento do contexto.
4. A Norma AS/NZS nº 4.360/2004 
deixa algumas mensagens que 
são peças-chave para ajudar na 
integração da norma à política da 
organização. Qual das opções a 
seguir é uma mensagem da norma?
a) Os riscos existem apenas 
em algumas atividades 
organizacionais, geralmente 
aquelas relacionadas à 
atividade produtiva em si.
b) As ações para gerenciar riscos 
devem estar conectadas aos 
planejamentos e processos 
operacionais existentes 
em todos os níveis.
c) Existe apenas um responsável 
por gerenciar os riscos de 
todas as atividades.
d) As pessoas devem ser 
estimuladas e apoiadas pelos 
seus líderes a criar riscos.
e) Não há necessidade de 
considerar os requisitos legais e 
os ambientes político, social e 
econômico ao gerenciar riscos.
Abordagens da Norma AS/NZS nº 4.360/2004138
5. As informações que devem fazer 
parte da política de gestão de riscos 
de uma organização devem ser 
claras e objetivas, de acordo com a 
Norma AS/NZS nº 4.360/2004. Assim, 
para implementar uma política de 
gestão de riscos, a organização:
a) deve estabelecer as relações entre 
a política e os planos estratégico 
e operacional da organização.
b) não precisa necessariamente 
conhecer a extensão ou 
gama de riscos que precisam 
ser gerenciados. 
c) deve estabelecer as relações 
entre a política e os planos 
estratégicos da organização, 
deixando os planos operacionais 
fora desse contexto.
d) precisa considerar todos 
os riscos inaceitáveis e que 
a organização só atingirá 
seus objetivos se eliminar 
totalmente os riscos.
e) deve focar apenas nos 
riscos, sem se preocupar 
com quem será responsável 
pelo seu gerenciamento.
139Abordagens da Norma AS/NZS nº 4.360/2004
ALDENUCCI, M. G.; SPINOSA, L. M.; FAVARETTO, F. Mapeando a norma de gerencia-
mento de riscos AS/NZS 4360 no PMBOK. In: ENCONTRO NACIONAL DE ENGENHARIA 
DE PRODUÇÃO, 29., 2009, Salvador. Anais... Salvador: ENEGEP, 2009. Disponível em: 
<http://www.abepro.org.br/biblioteca/enegep2009_TN_STP_098_663_13545.pdf>. 
Acesso em: 31 jan. 2018.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos: 
princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Bem-vindo ao COSO. [S.l.]: COSO, c1985-2018. Disponível em: <https://translate.google.
com.br/translate?hl=pt-BR&sl=en&u=https://www.coso.org/&prev=search>. Acesso 
em: 12 jan. 2018.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura. 
[S.l.]: PwC, 2007.
FRANCO, F. Governança e gestão de riscos em organizações públicas. Brasília, DF: 
Mackenzie, 2017. Disponível em: <http://brasilia.mackenzie.br/apps/files/fpmb_
governanca_e_gestao_de_riscos_em_organizacoes_publicas_apostila.pdf>. Acesso 
em: 12 jan. 2018.
LEITE, T. A. S. Gestão de riscos: diretrizes para implementação da AS/NZS 4360:2004. 
[S.l.]: Biblioteca de Segurança, 2012.
PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-
ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de 
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
TRIBUNAL DE CONTAS DA UNIÃO. Gestão de riscos: breve histórico da gestão de riscos. 
Brasília, DF: TCU, c2018. Disponível em: <http://portal.tcu.gov.br/gestao-e-governanca/
gestao-de-riscos/o-que-e-gestao-de-riscos/breve-historico-da-gestao-de-riscos.
htm>. Acesso em: 30 jan. 2018.
Abordagens da Norma AS/NZS nº 4.360/2004140
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
A AS/NZS 4360:2004 enfatiza que a cultura da gestão de riscos deve necessariamente ser 
inserida na filosofia, nas práticas e nos processos de negócioda organização, e a diretoria ou os 
executivos seniores devem ser os responsáveis pela sua inserção, e o caminho para isso é o 
estabelecimento de uma política de gestão de riscos.
A política de gestão de riscos é um documento que aprova de que forma será feita a abordagem 
para a gestão de riscos, uma vez que ela deve criar ligações com as outras estratégias da empresa 
e estar incorporada às demais políticas de gestão da organização. Ela deve ser sustentada e 
estimulada dentro da organização. É função dos gerentes, tendo papel ativo na organização, dar 
poder de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos, 
reconhecendo, premiando e divulgando a boa gestão de riscos. Também, devem estimular o 
debate e a análise de resultados e, caso estes sejam inesperados, permitir que se aprendam com 
os erros, ao invés de punir.
Na Dica do Professor, você verá tópicos para uma política de gestão de riscos da norma 
AS/ZNS 4360.
Assista.
 
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Marque a alternativa correta com relação à norma AS/NZS 4360:
A) Sua primeira edição foi feita em 2004, e houve ainda duas edições da norma.
B) A última versão foi publicada em 1999.
C) Foi idealizada no Brasil, pela ABNT.
D) Pioneira a nível mundial, no que diz respeito à gestão de riscos, a norma tornou-se 
referência no processo e um guia para implementação de outras normas.
E) A ISO 31000 serviu de base para a construção da AS/NZS.
2) No contexto da norma AS/NZS 4360:2004, é correto afirmar que ela:
A) recomenda que a gestão de riscos seja praticada como uma atividade em separado das 
demais.
B) aconselha que a gestão de riscos deve ser segregada e independente da filosofia da 
empresa.
C) vê os riscos como exposição às consequências da incerteza ou como potenciais desvios do 
que foi planejado ou esperado.
D) enfatiza que gestão de riscos e governança corporativa devem ser independentes.
E) considera que os riscos sempre resultam em impacto negativo ao que foi planejado ou 
esperado pela organização.
3) A norma AS/NZS 4360:2004 considera a gestão de riscos como um processo formado 
por algumas etapas. Uma delas é focada no estabelecimento dos objetivos da 
organização, considerando os ambientes interno e externo, escopo e critérios de risco 
para o processo, bem como metas, responsabilidades e metodologias necessárias. 
Qual seria essa etapa?
A) Análise dos riscos
B) Comunicação e consulta
C) Identificação dos riscos
D) Monitoramento e análise crítica
E) Estabelecimento do contexto
4) AS/NZS 4360:2004 deixa algumas mensagens que são peças-chave para ajudar na 
integração da norma à política da organização. Qual das opções a seguir é mensagem 
da norma?
A) Os riscos existem apenas em algumas atividades organizacionais, geralmente aquelas 
relacionadas à atividade produtiva em si.
B) As ações para gerenciar riscos devem estar conectadas aos planejamentos e processos 
operacionais existentes em todos os níveis.
C) Existe apenas um responsável, que deve gerenciar os riscos de todas as atividades.
D) As pessoas devem ser estimuladas e apoiadas pelos seus líderes a criar riscos.
E) Não há necessidade de considerar os requisitos legais e os ambientes político, social e 
econômico, ao gerenciar riscos.
5) As informações que devem fazer parte da política de gestão de riscos de uma 
organização devem ser claras e objetivas, de acordo com a AS/NZS 4360/2004. Assim, 
para implementar uma política de gestão de riscos, a organização:
A) deve estabelecer as relações entre sua política e seus planos estratégico e operacional.
não precisa necessariamente conhecer a extensão ou gama de riscos que precisam ser B) 
gerenciados.
C) deve estabelecer as relações entre sua política e seus planos estratégicos, deixando os 
planos operacionais fora desse contexto.
D) precisa considerar todos os riscos como inaceitáveis e que ela só atingirá seus objetivos se 
eliminá-los totalmente.
E) deve focar apenas nos riscos, sem se preocupar com quem será responsável pelo 
gerenciamento dos mesmos.
NA PRÁTICA
A AS/NZS 4360 (Australian Standard for Risk Management) é uma norma australiana e 
neozelandesa para gerenciamento de riscos. Foi elaborada pela Standards Austrália e Standards 
New Zealand, por meio do comitê de gestão de riscos (OB-007). É uma norma genérica que 
fornece orientações para gerenciamento de riscos de qualquer natureza. Sua principal 
característica é avaliar os riscos com resultados positivos (ganhos potenciais) e os riscos com 
resultados negativos para, dessa forma, fornecer uma visão única no gerenciamento de riscos.
Na prática, vamos acompanhar o Júlio, que verificou os riscos na especificação de proteção 
individual (EPI) em uma marmoraria.
Acompanhe.
 
Conteúdo interativo disponível na plataforma de ensino!
 
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
CONTROLES DE GESTÃO ATRELADOS AO GERENCIAMENTO DE RISCO.
Veja uma pesquisa que verificou as características dos estudos sobre controles de gestão 
atrelados ao gerenciamento de risco: principais autores; autores e obras mais citados; redes de 
coautoria; temas estudados; e estruturas padrões empregadas.
Conteúdo interativo disponível na plataforma de ensino!
Estabelecimento de uma gestão de riscos eficaz
Conheça as a diretrizes para a implementação da AS/NZS 4360:2004.
Conteúdo interativo disponível na plataforma de ensino!
Mapeando a norma de gerenciamento de riscos AS/NZS 4360 no PMBOK
Leia, neste artigo, uma pesquisa onde os aspectos críticos da norma AS/NZS 4360 foram 
identificados e mapeados no PMBOK.
Conteúdo interativo disponível na plataforma de ensino!