CURSO ISO 31000

Prévia do material em texto

P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 1 
Índice 
1. INTRODUÇÃO A ISO 31000 ......................................................................................................... 2 
1.1 Estrutura e abordagem da ISO 31000 ......................................................................................... 2 
2. SEÇÃO 1 - ESCOPO ..................................................................................................................... 3 
3. SEÇÕES 2 e 3 .............................................................................................................................. 3 
4. SEÇÃO 4 - PRINCÍPIOS ................................................................................................................ 3 
4.1 Desdobramento dos princípios ................................................................................................... 3 
5. SEÇÃO 5 - ESTRUTURA ............................................................................................................... 4 
5.1 Generalidades ............................................................................................................................ 4 
5.2 Liderança e comprometimento .................................................................................................. 5 
5.3 Integração.................................................................................................................................. 6 
5.4 Concepção ................................................................................................................................. 6 
5.5 Implementação .......................................................................................................................... 9 
5.6 Avaliação ................................................................................................................................. 10 
5.7 Melhoria .................................................................................................................................. 10 
6. SEÇÃO 6 - PROCESSO................................................................................................................ 10 
6.1 Generalidades .......................................................................................................................... 10 
6.2 Comunicação e consulta .......................................................................................................... 11 
6.3 Escopo, contexto e critérios ..................................................................................................... 11 
6.4 Processo de avaliação de riscos ................................................................................................ 13 
6.5 Tratamento de riscos ............................................................................................................... 16 
6.6 Monitoramento e análise crítica............................................................................................... 18 
6.7 Registro e relato....................................................................................................................... 18 
Bibliografia: ..................................................................................................................................... 19 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 2 
 
1. INTRODUÇÃO A ISO 31000 
Organizações de todos os tipos e tamanhos 
enfrentam influências e fatores externos e 
internos que tornam incerto se elas alcançarão 
seus objetivos. 
Gerenciar riscos é 
iterativo e auxilia as 
organizações no 
estabelecimento de 
estratégias, no alcance 
de objetivos e na 
tomada de decisões 
fundamentadas. 
Gerenciar riscos é parte da governança e 
liderança, e é fundamental para a maneira 
como a organização é gerenciada em todos os 
níveis. Isto contribui para a melhoria dos 
sistemas de gestão. 
Gerenciar riscos é parte de todas as 
atividades associadas com uma organização e 
inclui interação com as partes interessadas. 
A ISO 31000:2018 fornece orientações 
detalhadas sobre planejar, implementar, medir 
e aprender características de um sistema de 
gestão de risco. 
Não é mais aceitável para empresas com 
sólidos sistemas de gestão encontrar-se em 
uma posição em que eventos inesperados 
possam causar perdas financeiras, interrupção 
das operações normais, danos à reputação e 
até perda de mercado. As partes interessadas 
esperam que as organizações mitiguem os 
riscos que possam afetar o cumprimento de 
seus objetivos. 
Há um número crescente de riscos 
enfrentados pelas organizações. Alguns destes 
riscos estão relacionados com a gestão das 
empresas e outros com mudanças rápidas e/ou 
inesperadas no mercado. 
A maioria das organizações precisam 
gerenciar riscos associados com: 
✓ Custo variável ou indisponibilidade de 
matérias-primas. 
✓ Custo de aposentadoria / pensão / 
benefícios sociais. 
✓ A crescente importância da propriedade 
intelectual (IP). 
✓ A cadeia de fornecimento. 
✓ Pressões regulatórias e requisitos 
legislativos aumentando. 
O mercado oscila bastante e as empresas 
precisam estar prontas para momentos de 
recessão econômica. Estas mudanças tornam o 
aumento da concorrência um fator preocupante 
para as empresas se manterem sólidas, além 
do aumento das expectativas dos clientes. 
Outros exemplos de riscos relacionados ao 
mercado são: mudanças rápidas na tecnologia; 
inovações constantes; riscos políticos; crime 
organizado; eventos climáticos extremos, etc. 
 
1.1 Estrutura e abordagem da ISO 
31000 
A ISO 31000 foi publicado originalmente em 
2009 e uma versão atualizada foi publicado em 
fevereiro de 2018. No entanto, o objetivo geral 
da ISO 31000 continua o mesmo - integrando 
a gestão de risco em um sistema de gestão 
estratégica e operacional. 
Na nova versão da norma uma boa parte da 
linguagem complicada foi eliminada, de modo 
que o texto é mais enxuto e mais preciso. O 
novo projeto é mais curto, mas ganha em 
clareza e precisão e é muito mais fácil de ler. 
Ele inclui melhorias, tais como a importância 
dos fatores humanos e culturais na realização 
dos objetivos de uma organização e uma ênfase 
na incorporação de gerenciamento de risco no 
processo de tomada de decisão. 
ISO 31000 sugere que a gestão de risco 
eficaz é caracterizada por princípios, estrutura 
e processo. A separação destes termos não está 
em linha com o formato sugerido para os 
padrões do sistema de gestão. 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 3 
Para um melhor entendimento da estrutura 
da norma, veja a figura do ANEXO I desta 
apostila. 
2. SEÇÃO 1 - ESCOPO 
A NBR ISO 31000 inicia deixando claro que 
a norma não é específica para determinado de 
tipo de empresa, ou seja, independente do 
porte, tipo ou ramo de atuação, a norma se 
aplicará da mesma 
forma. 
A norma fornece 
diretrizes para 
gerenciar riscos 
enfrentados pelas 
organizações. Ela 
pode ser utilizada 
ao longo da vida da organização e aplicado a 
qualquer atividade, incluindo a tomada de 
decisão em todos os níveis 
3. SEÇÕES 2 e 3 
A Seção 2 não faz referência a nenhuma 
outra norma. 
A Seção 3 apresenta os termos e definições 
que aparecem na norma. Vejamos alguns: 
✓ Risco: Efeito2 da incerteza nos 
objetivos. 
✓ Gestão de riscos: Atividades 
coordenadas para dirigir e controlar 
uma organização no que se refere a 
riscos. 
✓ Fonte de risco: Elemento que, 
individualmente ou combinado, tem o 
potencial para dar origem ao risco. 
4. SEÇÃO 4 - PRINCÍPIOS 
O propósito da gestão de riscos é a criação e 
proteção de valor. Ela melhora o desempenho,encoraja a inovação e apoia o alcance de 
objetivos. 
Os princípios fornecem orientações sobre as 
características da gestão de riscos eficaz e 
eficiente, comunicando seu valor e explicando 
sua intenção e propósito. Os princípios são a 
base para gerenciar riscos e convém que sejam 
considerados quando se estabelecerem a 
estrutura e os processos de gestão de riscos da 
organização. 
Convém que estes princípios possibilitem 
uma organização a gerenciar os efeitos da 
incerteza nos seus objetivos. 
 
4.1 Desdobramento dos princípios 
4.1.1 Integrada 
A gestão de riscos é parte integrante de 
todas as atividades organizacionais. Os riscos 
estão por toda parte na empresa isso implica na 
necessidade do levantamento dos perigos em 
cada processo. 
4.1.2 Estrutura abrangente 
Uma abordagem estruturada e abrangente 
para a gestão de riscos contribui para 
resultados consistentes e comparáveis. 
4.1.3 Personalizada 
A estrutura e o processo de gestão de riscos 
são personalizados e proporcionais aos 
contextos externo e interno da organização 
relacionados aos seus objetivos. 
4.1.4 Inclusiva 
O envolvimento apropriado e oportuno das 
partes interessadas possibilita que seus 
conhecimentos, pontos de vista e percepções 
sejam considerados. Isto resulta em melhor 
conscientização e gestão de riscos 
fundamentada. 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 4 
4.1.5 Dinâmica 
Riscos podem emergir, mudar ou 
desaparecer à medida que os contextos externo 
e interno de uma organização mudem. A gestão 
de riscos antecipa, detecta, reconhece e 
responde a estas mudanças e eventos de uma 
maneira apropriada e oportuna. 
4.1.6 Melhor informação disponível 
As entradas para a gestão de riscos são 
baseadas em informações históricas e atuais, 
bem como em expectativas futuras. A gestão 
de riscos explicitamente leva em consideração 
quaisquer limitações e incertezas associadas a 
estas informações e expectativas. 
Convém que a informação seja oportuna, 
clara e disponível para as partes interessadas 
pertinentes. 
4.1.7 Fatores humanos e culturais 
O comportamento humano e a cultura 
influenciam significativamente todos os 
aspectos da gestão de riscos em cada nível e 
estágio. Uma empresa com cultura de 
prevenção tem mais chances de conter os 
riscos inerentes aos seus objetivos. 
4.1.8 Melhoria contínua 
A gestão de riscos é melhorada 
continuamente por meio do aprendizado e 
experiências. A melhoria contínua só existe 
quando o processo já está bom, do contrário, 
deveríamos agir com a correção. A melhoria 
contínua como um princípio está atrelado ao 
fato desta ser um contingente para diminuição 
da probabilidade do risco. 
5. SEÇÃO 5 - ESTRUTURA 
A seção 5 da NBR ISO 31000:2018 é 
composta por: 
✓ 5.1 – Generalidades 
✓ 5.2 – Liderança e comprometimento 
✓ 5.3 – Integração 
✓ 5.4 – Concepção 
✓ 5.5 – Implementação 
✓ 5.6 – Avaliação 
✓ 5.7 – Melhoria 
Os requisitos 5.4 a 5.7 são baseados no 
PDCA. 
5.1 Generalidades 
O propósito da estrutura da gestão de riscos 
é apoiar a organização na integração da gestão 
de riscos em atividades significativas e funções, 
ou seja, dentro dos processos, nas pessoas, nos 
líderes. A eficácia da gestão de riscos 
dependerá da sua integração na governança e 
em todas as atividades da organização, 
incluindo a tomada de decisão. Isto requer 
apoio das partes interessadas, em particular da 
Alta Direção. 
O desenvolvimento da estrutura engloba 
integração, concepção, implementação, 
avaliação e melhoria da gestão de riscos 
através da organização. 
 
Convém que a organização avalie suas 
práticas e processos existentes de gestão de 
riscos, avalie quaisquer lacunas e aborde estas 
lacunas no âmbito da estrutura, ou seja, todos 
os processos devem ser avaliados quanto aos 
riscos de não se atingir os objetivos. Por 
exemplo: no processo de compras é 
interessante avaliar os riscos quanto aos 
fornecedores. 
Convém que os componentes da estrutura e 
o modo como funcionam em conjunto sejam 
personalizados para as necessidades da 
organização. Esta personalização vai depender 
do porte da empresa, uma organização com mil 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 5 
funcionários age diferente de uma com 10 
funcionários. 
5.2 Liderança e comprometimento 
Convém que a Alta Direção e os órgãos de 
supervisão, onde aplicável, assegurem que a 
gestão de riscos esteja integrada em todas as 
atividades da organização, e convém que 
demonstrem liderança e comprometimento 
por: 
✓ Personalizar e implementar todos os 
componentes da estrutura; 
✓ Emitir uma declaração ou política que 
estabeleça uma abordagem, plano ou 
curso de ação da gestão de riscos (que 
tipos de riscos vamos gerenciar? 
Financeiros, clientes, qualidade, meio 
ambiente, segurança, etc.); 
✓ Assegurar que os recursos necessários 
sejam alocados para gerenciar riscos; 
✓ Atribuir autoridades, responsabilidades 
e responsabilização nos níveis 
apropriados dentro da organização – se 
a empresa não faz uma avaliação dos 
riscos em um novo projeto, será 
responsável pelo fracasso. 
A política, os recursos, as definições de 
autoridades vão ajudar a organização a: 
✓ alinhar a gestão de riscos com seus 
objetivos, estratégia e cultura; 
✓ reconhecer e abordar todas as 
obrigações, bem como seus 
compromissos voluntários; 
✓ estabelecer a quantidade e o tipo de 
risco que pode ou não ser assumido 
para orientar o desenvolvimento de 
critérios, assegurando que sejam 
comunicados à organização e às suas 
partes interessadas; 
✓ comunicar o valor da gestão de riscos 
para a organização e suas partes 
interessadas; 
✓ promover o monitoramento 
sistemático de riscos; 
✓ assegurar que a estrutura de gestão 
de riscos permaneça apropriada ao 
contexto da organização. 
Não adianta ter uma estrutura e esta não ser 
utilizada, verificada, analisada. Para uma boa 
gestão de riscos é preciso por em prática a 
política de gestão. 
A Alta Direção é responsabilizada por 
gerenciar riscos (parte estratégica), enquanto 
os órgãos de supervisão são responsabilizados 
por supervisionar a gestão de riscos (operação, 
parte tática). Com frequência, é requerido ou 
esperado que os órgãos de supervisão: 
✓ assegurem que os riscos sejam 
adequadamente considerados no 
estabelecimento dos objetivos da 
organização – por exemplo, uma 
empresa compra produtos da China 
poderia ter um plano de contingência 
com distância menor e preços 
compatíveis; 
✓ compreendam os riscos aos quais a 
organização está exposta na busca 
de seus objetivos – todos os 
membros da organização devem 
conhecer os riscos inerentes as suas 
atividades no processo, essa 
conscientização pode ser da forma 
mais adequada para a organização; 
✓ assegurem que sistemas para 
gerenciar estes riscos estejam 
implementados e operem 
eficazmente – aqui pode-se utilizar 
ferramentas como o FMEA ou plano 
de ação de forma que os riscos 
possam ser mitigados; 
✓ assegurem que estes riscos sejam 
apropriados no contexto dos 
objetivos da organização – o contexto 
externo muda constantemente e com 
isso, os métodos da organização 
também devem acompanhar estas 
evoluções; 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 6 
✓ assegurem que a informação sobre 
estes riscos e sua gestão seja 
apropriadamente comunicada – a 
responsabilidade da comunicação 
deve ser claramente definida, pode 
ser monitorado via auditoria. 
5.3 Integração 
A integração da gestão de riscos apoia-se em 
uma compreensão das estruturas e do contexto 
organizacional. Os sistemas de gestão só 
funcionam se estiverem integrados nos 
processos organizacionais, ou seja, se uma 
empresa possui um sistema de qualidade, é 
importante integrar com o sistema de riscos.Estruturas diferem, dependendo do 
propósito, metas e complexidade da 
organização. 
 
O risco é gerenciado em todas as partes da 
estrutura da organização. Todos na 
organização têm responsabilidade por 
gerenciar riscos. Nem todos os processos 
precisam necessariamente ter uma gestão de 
riscos, contudo, é importante analisar esta 
necessidade. 
A governança orienta o rumo da 
organização, suas relações externas e internas, 
e as regras, processos e práticas necessárias 
para alcançar o seu propósito. As estruturas de 
gestão traduzem a direção da governança para 
a estratégia e os objetivos associados 
requeridos para alcançar níveis desejados de 
desempenho sustentável e viabilidade a longo 
prazo. Determinar a responsabilização pela 
gestão de riscos e os papéis de supervisão no 
âmbito de uma organização é parte integrante 
da governança da organização. 
Integrar a gestão de riscos em uma 
organização é um processo dinâmico e 
iterativo, e convém que seja personalizado para 
as necessidades e cultura da organização. 
Convém que a gestão de riscos seja uma 
parte, e não separada, do propósito 
organizacional, governança, liderança e 
comprometimento, estratégia, objetivos e 
operações. 
5.4 Concepção 
Esta etapa equivale ao PLANEJAR do PDCA. 
5.4.1 Entendendo a organização e seu 
contexto 
O objetivo deste requisito na ISO 31000, é 
incluir a gestão de riscos no planejamento 
estratégico da organização, ou seja, fazer com 
que a gestão de riscos não caminhe de forma 
paralela ao que a organização está planejando. 
A organização deve determinar questões 
internas e externas aos seus propósitos e 
direcionamentos estratégicos e que possa 
afetar a sua capacidade de atender os 
resultados planejados. 
Estas questões (internas e externas) devem 
ser analisadas e monitoradas. 
Analisar o ambiente passa a ser fundamental 
para qualquer tipo de organização. Ao 
conceber a estrutura para gerenciar riscos, 
convém que a organização examine e entenda 
seus contextos externo e interno. 
Examinar o contexto externo da organização 
pode incluir, mas não está limitado a: 
✓ fatores sociais, culturais, políticos, 
jurídicos, regulatórios, financeiros, 
tecnológicos, econômicos e 
ambientais, em âmbito internacional, 
nacional, regional ou local; 
✓ direcionadores-chave e tendências 
que afetem os objetivos da 
organização; 
✓ relacionamentos, percepções, 
valores, necessidades e expectativas 
das partes interessadas externas; 
✓ relações e compromissos 
contratuais; 
✓ complexidade das redes de 
relacionamento e dependências. 
 
 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 7 
Examinar o contexto interno da organização 
pode incluir, mas não está limitado a: 
✓ visão, missão e valores; 
✓ governança, estrutura 
organizacional, papéis e 
responsabilizações; 
✓ estratégia, objetivos e políticas; 
✓ cultura da organização; 
✓ normas, diretrizes e modelos 
adotados pela organização; 
✓ capacidades entendidas em termos 
de recursos e conhecimento (por 
exemplo, capital, tempo, pessoas, 
propriedade intelectual, processos, 
sistemas e tecnologias); 
✓ dados, sistemas de informação e 
fluxos de informação; 
✓ relacionamentos com partes 
interessadas internas, levando em 
consideração suas percepções 
✓ e valores; 
✓ relações contratuais e 
compromissos; 
✓ interdependências e interconexões. 
 
 
Se a organização desejar elaborar algum 
documento, sugerimos uma análise de SWOT: 
A Análise SWOT é um anagrama para os 
termos Strenghts, Weaknesses, Opportunities 
e Threats, que em português significam: 
Forças, Fraquezas, Oportunidades e Ameaças – 
também conhecida no Brasil como FOFA. O 
principal objetivo dessa ferramenta é 
desenvolver e firmar bem a estratégia 
empresarial. 
FORÇA: As forças são elementos internos 
que trazem benefícios para o seu negócio. 
 Exemplos: 
• A união da sua equipe 
• Uma certa quantidade de ativos 
(imóveis, equipamento moderno, 
etc) 
• Localização privilegiada 
• Relacionamentos estratégicos 
• Modelo de cobrança 
FRAQUEZAS: As fraquezas são 
elementos internos que atrapalham o 
negócio. 
Exemplos: 
• Produto altamente perecível 
• Matéria prima escassa 
• Equipe pouco qualificada 
• Tecnologia ultrapassada 
• Processo de entrega 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 8 
OPORTUNIDADES: As oportunidades 
são as situações externas à empresa que 
podem acontecer e afetar positivamente 
no negócio. 
Exemplos: 
• Vai sair uma nova lei 
• Pode surgir um novo curso 
• Minha concorrente precisa de 
ajuda 
• Ter acesso à uma nova 
tecnologia 
• Algum produto complementar ao 
meu ser lançado 
AMEAÇAS: são situações externas à 
empresa que podem atrapalhar o negócio. 
Exemplos: 
• Entrada de um concorrente 
internacional no mercado 
• Pirataria dos seus produtos 
• Mudança na legislação do seu 
setor 
• Escassez de mão de obra 
• Catástrofes naturais/guerras 
 
5.4.2 Articulando o comprometimento 
com a gestão de riscos 
Convém que a Alta Direção e os órgãos de 
supervisão, onde aplicável, demonstrem e 
articulem o seu comprometimento contínuo 
com a gestão de riscos por meio de uma 
política, uma declaração ou outras formas que 
claramente transmitam os objetivos e o 
comprometimento com a gestão de riscos de 
uma organização. 
Independente de outras políticas, a política 
de gestão de riscos envolve: 
✓ Objetivo: para que serve a política de 
gestão de riscos, o que ela deseja 
alcançar. 
✓ Princípios: dizer que existe um 
processo exclusivo para gestão de 
riscos, por exemplo, ou ainda citar 
tratamentos de riscos e as 
comunicações. 
✓ Responsabilidades: quem está 
envolvido na gestão de riscos da 
empresa, por exemplo: conselho 
administrativo, comissão de riscos, 
gestor, etc. 
Convém que o comprometimento inclua, 
mas não se limite a: 
✓ o propósito da organização para 
gerenciar riscos e vínculos com seus 
objetivos e outras políticas; 
✓ reforçar a necessidade de integrar a 
gestão de riscos na cultura global da 
organização; 
✓ liderar a integração da gestão de 
riscos nas atividades principais do 
negócio e na tomada de decisão; 
✓ autoridades, responsabilidades e 
responsabilizações; 
✓ tornar disponíveis os recursos 
necessários; 
✓ a maneira pela qual os objetivos 
conflitantes são tratados; 
✓ medição e relato no âmbito dos 
indicadores de desempenho da 
organização; 
✓ análise crítica e melhoria. 
Convém que o comprometimento com a 
gestão de riscos seja comunicado na 
organização e às partes interessadas, como 
apropriado. 
5.4.3 Atribuindo papéis organizacionais, 
autoridades, responsabilidades e 
responsabilizações 
Convém que a Alta Direção e os órgãos de 
supervisão, onde aplicável, assegurem que as 
autoridades, responsabilidades (fazer) e 
responsabilizações (culpa) para os papéis 
pertinentes à gestão de riscos sejam atribuídas 
e comunicadas a todos os níveis da 
organização, e convém que: 
✓ enfatizem que a gestão de riscos é 
uma responsabilidade principal; 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 9 
✓ identifiquem indivíduos que possuam 
responsabilização e tenham 
autoridade para gerenciar riscos 
(proprietários dos riscos – 
geralmente o dono do processo). 
5.4.4 Alocando recursos 
Convém que a Alta Direção e os órgãos de 
supervisão, onde aplicável, assegurem a 
alocação de recursos apropriados para a gestão 
de riscos, que podem incluir, mas não estão 
limitados a: 
✓ pessoas, habilidades, experiência e 
competência; 
✓ processos, métodos e ferramentas da 
organização a serem usados na 
gestão de riscos; 
✓ processos e procedimentos 
documentados; 
✓ sistemas de gestão da informação e 
do conhecimento; 
✓ necessidades de treinamento e 
desenvolvimento profissional. 
Convémque a organização considere as 
capacidades e restrições dos recursos 
existentes. 
Cada processo na organização precisa ter 
um dono e uma equipe deverá ser montada 
para que a gestão de processos seja 
implantada. Todas as pessoas da equipe e 
donos de processos precisam ser treinados em 
gestão de riscos. 
5.4.5 Estabelecendo comunicação e 
consulta 
Convém que a organização estabeleça uma 
abordagem aprovada para comunicação e 
consulta para apoiar a estrutura e facilitar a 
aplicação eficaz da gestão de riscos. 
Comunicação envolve compartilhar 
informação com públicos-alvo, existem 
informações que não podem ser 
compartilhadas com todos os públicos. A 
consulta também envolve o fornecimento de 
retorno pelos participantes, com a expectativa 
de que isto contribuirá para as decisões e sua 
formulação ou outras atividades. Convém que 
os métodos e conteúdo da comunicação e 
consulta reflitam as expectativas das partes 
interessadas, onde for pertinente. 
 
Convém que a comunicação e a consulta 
sejam oportunas e assegurem que a 
informação pertinente seja coletada, 
consolidada, sintetizada e compartilhada, como 
apropriado, e que o retorno seja fornecido e as 
melhorias sejam implementadas. 
5.5 Implementação 
Este item relaciona-se com a etapa de 
EXECUTAR do PDCA. 
Convém que a organização implemente a 
estrutura de gestão de riscos por meio de: 
✓ desenvolvimento de um plano 
apropriado, incluindo prazos e 
recursos, aqui nada mais é do que um 
cronograma de implementação das 
ações (análises, auditorias, 
revisões); 
✓ identificação de onde, quando e como 
diferentes tipos de decisões são 
tomadas pela organização, e por 
quem; 
✓ modificação dos processos de tomada 
de decisão aplicáveis, onde 
necessário; 
✓ garantia de que os arranjos da 
organização para gerenciar riscos 
sejam claramente compreendidos e 
praticados. 
A implementação bem-sucedida da estrutura 
requer o engajamento e a conscientização das 
partes interessadas. Isso permite que as 
organizações abordem explicitamente a 
incerteza na tomada de decisão, enquanto 
também asseguram que qualquer incerteza 
nova ou posterior possa ser levada em 
consideração à medida que ela surja. 
Adequadamente concebida e implementada, 
a estrutura de gestão de riscos assegurará que 
o processo de gestão de riscos é parte de todas 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 10 
as atividades da organização, incluindo a 
tomada de decisão, e que as mudanças nos 
contextos externo e interno serão 
adequadamente capturadas. 
5.6 Avaliação 
Este item relaciona-se com a etapa de 
VERIFICAÇÃO do PDCA. 
Para avaliar a eficácia da estrutura de gestão 
de riscos, convém que a organização: 
✓ mensure periodicamente o 
desempenho da estrutura de gestão 
de riscos em relação ao seu 
propósito, planos de implementação, 
indicadores e comportamento 
esperado; 
✓ determine se permanece adequada 
para apoiar o alcance dos objetivos 
da organização. 
Serão necessários indicadores para 
mensurar os riscos de cada processo. 
5.7 Melhoria 
Este item relaciona-se com a etapa de 
AÇÃO/MELHORIA do PDCA. 
5.7.1 Adaptação 
Geralmente os ambientes tanto internos 
quanto externos mudam, alguns mais lentos ou 
mais rápidos, mas sempre existem mudanças e 
a organização precisa estar adaptada a estas 
alterações. 
Convém que a organização monitore e 
adapte continuamente a estrutura de gestão de 
riscos para abordar as mudanças externas e 
internas. Ao fazer isso, a organização pode 
melhorar seu valor (valor do sistema de gestão 
de riscos). 
5.7.2 Melhoria contínua 
Convém que organização melhore 
continuamente a adequação, suficiência e 
eficácia da estrutura de gestão de riscos e a 
forma como o processo de gestão de riscos é 
integrado. 
À medida que lacunas ou oportunidades de 
melhoria pertinentes são identificadas, convém 
que a organização desenvolva planos e tarefas 
e os atribua àqueles responsabilizados pela 
implementação. 
Uma vez implementadas, convém que estas 
melhorias contribuam para o aprimoramento da 
gestão de riscos. 
As não conformidades vão surgir 
naturalmente, mas poderão ser contidas via 
melhoria contínua. 
6. SEÇÃO 6 - PROCESSO 
A seção 6 da NBR ISO 31000:2018 é 
composta por: 
✓ 6.1 – Generalidades 
✓ 6.2 – Comunicação e consulta 
✓ 6.3 – Escopo, contexto e critérios 
✓ 6.4 – Processo de avaliação de risco 
✓ 6.5 – Tratamento de risco 
✓ 6.6 – Monitoramento e análise crítica 
✓ 6.7 – Registro e relato 
 
6.1 Generalidades 
Perigo é a fonte potencial de dano. Dano é 
lesão física ou prejuízo à propriedade ou ao 
meio ambiente. 
A probabilidade de que cada evento 
indesejado ocorra é identificada no estágio de 
identificação do perigo. Três abordagens são 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 11 
empregadas geralmente para estimar 
probabilidades: 
✓ uso de dados históricos 
relevantes; 
✓ previsão de probabilidades 
utilizando técnicas analíticas ou de 
simulação; 
✓ julgamento de especialistas. 
Gravidade é a medida das possíveis 
consequências de um perigo. 
O processo de gestão de riscos envolve a 
aplicação sistemática de políticas, 
procedimentos e práticas para as atividades de 
comunicação e consulta, estabelecimento do 
contexto e avaliação, tratamento, 
monitoramento, análise crítica, registro e relato 
de riscos. 
Convém que o processo de gestão de riscos 
seja parte integrante da gestão e da tomada de 
decisão, e seja integrado na estrutura, 
operações e processos da organização. Pode 
ser aplicado nos níveis estratégico, operacional, 
de programas ou de projetos. 
Pode haver muitas aplicações do processo de 
gestão de riscos em uma organização, 
personalizadas para alcançar objetivos e para 
se adequar aos contextos externo e interno nos 
quais são realizadas. 
Convém que a natureza dinâmica e variável 
do comportamento humano e cultura seja 
considerada ao longo do processo de gestão de 
riscos. 
Embora o processo de gestão de riscos seja 
frequentemente apresentado como sequencial, 
na prática ele é iterativo. 
6.2 Comunicação e consulta 
O propósito da comunicação e consulta é 
auxiliar as partes interessadas pertinentes na 
compreensão do risco, na base sobre a qual 
decisões são tomadas e nas razões pelas quais 
ações específicas são requeridas. A 
comunicação busca promover a conscientização 
e o entendimento do risco, enquanto a consulta 
envolve obter retorno e informação para 
auxiliar a tomada de decisão. Convém que uma 
coordenação estreita entre as duas facilite a 
troca de informações factuais, oportunas, 
pertinentes, precisas e compreensíveis, 
levando em consideração a confidencialidade e 
integridade da informação, bem como os 
direitos de privacidade dos indivíduos. 
 
Convém que ocorram comunicação e 
consulta com partes interessadas apropriadas 
externas e internas, no âmbito de cada etapa e 
ao longo de todo o processo de gestão de 
riscos. 
Comunicação e consulta visam a: 
✓ reunir diferentes áreas de 
especialização para cada etapa do 
processo de gestão de riscos; 
✓ assegurar que pontos de vista 
diferentes sejam considerados 
apropriadamente ao se definirem 
critérios de risco e ao se avaliarem 
riscos; 
✓ fornecer informações suficientes para 
facilitar a supervisão dos riscos e a 
tomada de decisão; 
✓ construir um senso de inclusão e 
propriedade entre os afetados pelo 
risco. 
6.3 Escopo, contexto e critérios 
6.3.1 Generalidades 
O propósito do estabelecimento do escopo, 
contexto e critérios é personalizar o processo 
de gestão de riscos, permitindo um processo de 
avaliação de riscos eficaz e um tratamento de 
riscos apropriado. 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 12 
Escopo, contexto e critérios envolvem a 
definiçãodo escopo do processo, a 
compreensão dos contextos externo e interno. 
6.3.2 Definindo o escopo 
A organização pode por seus próprios 
critérios definir em quais processos vai 
implementar a gestão de riscos. Para isso, é 
aconselhável fazer uma análise de quais 
processos são mais críticos para o desempenho 
da empresa. 
Como o processo de gestão de riscos pode 
ser aplicado em diferentes níveis (por exemplo, 
estratégico, operacional, programa, projeto ou 
outras atividades), é importante ser claro sobre 
o escopo em consideração, os objetivos 
pertinentes a serem considerados e o seu 
alinhamento aos objetivos organizacionais. 
Ao planejar a abordagem, as considerações 
incluem: 
✓ objetivos e decisões que precisam ser 
tomadas; 
✓ resultados esperados das etapas a 
serem realizadas no processo; 
✓ tempo, localização, inclusões e 
exclusões específicas; 
✓ ferramentas e técnicas apropriadas 
para o processo de avaliação de riscos; 
 
✓ recursos requeridos, responsabilidades 
e registros a serem mantidos; 
✓ relacionamentos com outros projetos, 
processos e atividades. 
6.3.3 Contexto externo e interno 
Convém que o contexto do processo de 
gestão de riscos seja estabelecido a partir da 
compreensão dos ambientes externo e interno 
no qual a organização opera, e convém que 
reflita o ambiente específico da atividade ao 
qual o processo de gestão de riscos é aplicado. 
Compreender o contexto é importante 
porque: 
✓ a gestão de riscos ocorre no contexto 
dos objetivos e atividades da 
organização; 
✓ fatores organizacionais podem ser 
uma fonte de risco; 
✓ propósito e escopo do processo de 
gestão de riscos podem estar inter-
relacionados com os objetivos da 
organização como um todo; 
6.3.4 Definindo critérios de risco 
Convém que a organização especifique a 
quantidade e o tipo de risco que podem ou não 
assumir em relação aos objetivos. 
 
Convém também que estabeleça critérios 
para avaliar a significância do risco e para 
apoiar os processos de tomada de decisão. 
Convém que os critérios de risco sejam 
alinhados à estrutura de gestão de riscos e 
sejam personalizados para o propósito 
específico e o escopo da atividade em 
consideração. 
Convém que os critérios de risco reflitam os 
valores, objetivos e recursos da organização e 
sejam consistentes com as políticas e 
declarações sobre gestão de riscos. 
Convém que os critérios de risco sejam 
estabelecidos levando em consideração as 
obrigações da organização e os pontos de vista 
das partes interessadas. 
Embora convenha que os critérios de risco 
sejam estabelecidos no início do processo de 
avaliação de riscos, eles são dinâmicos; e 
convém que sejam continuamente analisados 
criticamente e alterados, se necessário. 
Para estabelecer os critérios de risco, 
convém considerar: 
✓ a natureza e o tipo de incertezas que 
podem afetar resultados e objetivos 
(tanto tangíveis quanto intangíveis); 
✓ como as consequências (tanto 
positivas quanto negativas) e as 
probabilidades serão definidas e 
medidas; 
✓ fatores relacionados ao tempo; 
✓ consistência no uso de medidas; 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 13 
✓ como o nível de risco será 
determinado; 
✓ como as combinações e sequências 
de múltiplos riscos serão levadas em 
consideração; 
✓ a capacidade da organização. 
Nível de risco 
A organização poderá ainda definir critérios 
com base em escala, por exemplo, níveis de 
risco 1 a 5, onde quanto maior a escala maior 
também o risco. Pode-se ainda determinar um 
fator crítico como escala a partir de 3 deve-se 
dar uma atenção diferenciada. 
Pode-se ainda utilizar critérios de cores, por 
exemplo: verde – aceitável, amarelo – requer 
atenção e vermelho – crítico. 
A organização decide quantas categorias são 
necessárias e como devem ser defendidas. É 
interesse fazer as seguintes perguntas antes de 
definir o nível de risco: 
✓ Qual é a gravidade? 
✓ Qual o tamanho do dano? 
✓ Qual impacto a organização vai sofrer 
devido a este dano? 
A seguir apresentamos uma matriz de nível 
de riscos que pode ser utilizada (lembre-se: a 
NBR ISO 31000 não determina um método 
padrão para definição de critérios de riscos). 
 
NR=Nível de Risco 
P= Probabilidade 
C= Consequências 
O nível de risco é definido a partir da 
multiplicação da Probabilidade pela 
Consequência. 
Por exemplo: se um determinado processo tem 
Probabilidade de risco “4” (provável) e uma 
Consequência “4” (moderada), logo, meu nível 
de risco será 4 x 4 = 16, pelo critério da tabela 
devo considerar este risco como “SÉRIO” 
(8<NR≤16). 
Percebe-se que o método apresentado é 
simples de aplicar, o difícil é o consenso a ser 
aplicado em cada processo, nisso a equipe deve 
avaliar o contexto interno e externo da 
organização. 
6.4 Processo de avaliação de 
riscos 
6.4.1 Generalidades 
O processo de avaliação de riscos é o 
processo global de identificação de riscos, 
análise de riscos e avaliação de riscos. 
Convém que o processo de avaliação de 
riscos seja conduzido de forma sistemática, 
iterativa e colaborativa, com base no 
conhecimento e nos pontos de 
vista das partes 
interessadas. 
Quando os riscos forem 
identificados e definidos 
critérios, é importante 
comunicar as partes 
interessadas. 
Convém que use a 
melhor informação disponível, complementada 
por investigação adicional, como necessário. 
6.4.2 Identificação de riscos 
A identificação dos riscos inerentes a cada 
processo deve ser feita com os recursos 
disponíveis na organização, é aconselhável a 
participação do dono do processo e o 
entendimento estratégico da organização. Por 
exemplo, no processo financeiro é preciso 
entender quais as projeções futuras (metas) de 
faturamento – posição estratégica – e o dono 
do processo precisa identificar o que pode 
ocasionar no impedimento de atingir o objetivo. 
O propósito da identificação de riscos é 
encontrar, reconhecer e descrever riscos que 
possam ajudar ou impedir que uma 
organização alcance seus objetivos. 
Informações pertinentes, apropriadas e 
atualizadas são importantes na identificação de 
riscos. 
A organização pode usar uma variedade de 
técnicas para identificar incertezas que podem 
afetar um ou mais objetivos. Uma excelente 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 14 
ferramenta de identificação de riscos que pode 
ser utilizada pela empresa é o FMEA. 
Convém que os seguintes fatores e o 
relacionamento entre estes fatores sejam 
considerados: 
✓ fontes tangíveis e intangíveis de risco 
(mudanças no dólar, por exemplo); 
✓ causas e eventos (novo produto, 
problemas de distribuição); 
✓ ameaças e oportunidades (mercado 
competitivo); 
✓ vulnerabilidades e capacidades (pessoal 
preparado ou despreparado); 
✓ mudanças nos contextos externo e 
interno; 
✓ indicadores de riscos emergentes (novo 
concorrente); 
✓ natureza e valor dos ativos e recursos 
(distribuidoras que possuem frotas, por 
exemplo); 
✓ consequências e seus impactos nos 
objetivos; 
✓ limitações de conhecimento e de 
confiabilidade da informação; 
✓ fatores temporais (chuvas, alagamentos 
em certo período); 
✓ vieses, hipóteses e crenças dos 
envolvidos. 
Convém que a organização identifique os 
riscos, independentemente de suas fontes 
estarem ou não sob seu controle, ou seja, 
mesmo os riscos em que a empresa não fez 
nenhuma ação de contenção ainda. 
Um mesmo risco poderá ocasionar em mais 
de um efeito indesejado para a organização, 
seja de modo tangível ou intangível, por 
exemplo: uma empresa fez uma entrega 
errada, o cliente vai ficar insatisfeito podendo 
até deixar de comprar na empresa, bem como 
a imagem da organização poderá ser 
manchada. 
6.4.3 Análise dos riscos 
Uma vez que os riscos foram identificados, é 
chegada a hora de analisar seus efeitos e 
origens. 
O propósito da análisede riscos é 
compreender a natureza do risco e suas 
características, incluindo o nível de risco, onde 
apropriado. 
A análise de riscos envolve a consideração 
detalhada de: 
✓ Incertezas 
✓ Fontes de risco 
✓ Consequências 
✓ Probabilidade 
✓ Eventos 
✓ Cenários 
✓ Controles e 
✓ Eficácia. 
Um evento pode ter múltiplas causas e 
consequências e pode afetar múltiplos 
objetivos. 
A análise de riscos pode ser realizada com 
vários graus de detalhamento e complexidade, 
dependendo do propósito da análise, da 
disponibilidade e confiabilidade da informação, 
e dos recursos disponíveis. 
As técnicas de análise podem ser 
qualitativas, quantitativas ou uma combinação 
destas, dependendo das circunstâncias e do 
uso pretendido. 
Convém que a análise de riscos considere 
fatores como: 
✓ a probabilidade de eventos e 
consequências; 
✓ a natureza e magnitude das 
consequências; 
✓ complexidade e conectividade; 
✓ fatores temporais e volatilidade; 
✓ a eficácia dos controles existentes; 
✓ sensibilidade e níveis de confiança. 
A análise de riscos pode ser influenciada por 
qualquer divergência de opiniões, vieses, 
percepções do risco e julgamentos. Influências 
adicionais são a qualidade da informação 
utilizada, as hipóteses e as exclusões feitas, 
quaisquer limitações das técnicas e como elas 
são executadas. 
Convém que estas influências sejam 
consideradas, documentadas e comunicadas 
aos tomadores de decisão. 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 15 
A análise de riscos não é um método 
matemáticos, ela envolve sentimentos e visões 
diferenciadas umas das outras. 
Eventos altamente incertos podem ser 
difíceis de quantificar. Isso pode ser um 
problema ao analisar eventos com 
consequências severas. Nestes casos, usar uma 
combinação de técnicas geralmente fornece 
maior discernimento. 
A análise de riscos fornece uma entrada para 
a avaliação de riscos, para decisões sobre se o 
risco necessita ser tratado e como, e sobre a 
estratégia e os métodos mais apropriados para 
o tratamento de riscos. Os resultados propiciam 
discernimento para decisões, em que escolhas 
estão sendo feitas e as opções envolvem 
diferentes tipos e níveis de risco. 
Técnica WHAT IF 
Nas fases de identificação e análise de 
riscos, é aconselhável utilizar uma técnica 
bastante usual em empresas do mundo inteiro. 
WHAT IF é uma técnica qualitativa de cunho 
geral, de simples aplicação e muito útil como 
primeira abordagem, na identificação e 
detecção de riscos, em qualquer fase do projeto 
ou processo. 
A aplicação da ferramenta consiste em 
reuniões de uma equipe especializada, 
conhecedora do processo, que avalia o fluxo o 
processo, os subprocessos envolvidos, as 
entradas e saídas, e, com base no 
conhecimento de cada integrante, são 
levantadas questões do tipo “What if?”, ou, 
em Português, “E se?”. 
Ao responder a questão levantada, a equipe 
não precisa, necessariamente, ir fundo na 
pesquisa e identificação das causas e 
consequências. Eventualmente, estas causas e 
consequências podem ser melhor detalhadas, 
assim como as medidas de mitigação e 
prevenção, através de outras ferramentas. 
✓ E se a válvula “X” estiver bloqueada? 
✓ E se o projetor não funcionar? 
✓ E se os EPIs falharem? 
✓ E se faltar energia? 
Observem que as respostas a estas questões 
podem ter diferentes graduações de 
detalhamento, ensejando a oportunidade de 
utilização das outras ferramentas, que 
permitirão análise qualitativa e 
quantitativamente os riscos. 
Em sala, o instrutor apresentará um modelo 
da ferramenta e sua forma de preenchimento 
(ver Anexo II). 
Ferramentas indicadas pela ISO/IEC 
31010 para o processo de avaliação de 
riscos 
A IEC 31010 (ou ISO/IEC 31010) é uma das 
normas de suporte da ISO 31000 de Gestão de 
Riscos e fornece orientação sobre a seleção e 
aplicação de técnicas sistemáticas para o 
processo de avaliação de riscos (risk 
assessment) - para riscos de todos os tipos. 
A norma não ensina como utilizar as 
técnicas, mas indica quais ferramentas utilizar 
em cada etapa da gestão de processos, or 
exemplo, a norma não aconselha utilizar 
Brainstorming na Análise e avaliação de riscos, 
somente na Identificação. 
As ferramentas e técnicas listadas abaixo 
são apenas sugestivas: 
✓ Brainstorming 
✓ Entrevistas Estruturadas ou 
Semiestruturadas 
✓ Técnica de Delphi 
✓ Checklists 
✓ Análise Preliminar de Perigos (APP) 
✓ Estudo de Perigos e Operabilidade 
(HAZOP) 
✓ Análise de Perigos e Pontos Críticos de 
✓ Controle (HACCP) 
✓ Avaliação de Riscos Ambientais 
✓ Técnica Estruturada de What-If 
(SWIFT) 
✓ Análise de Cenários 
✓ Análise de Impactos no 
✓ Negócio (BIA) 
✓ Análise de Causa-Raiz (RCA) 
✓ Análise de Modos de Falha e Efeitos 
(FMEA/FMECA) 
✓ Análise de Árvore de Falhas (FTA) 
✓ Análise de Árvore de Eventos (ETA) 
✓ Análise de Causa & Consequência 
✓ Análise de Causa-e-Efeito 
✓ Análise de Camadas de Proteção 
(LOPA) 
✓ Análise de Árvore de Decisões 
✓ Análise de Confiabilidade Humana 
(HRA) 
✓ Análise da Gravata Borboleta (Bow-Tie 
Analysis) 
✓ Manutenção Centrada em 
Confiabilidade (RCM) 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 16 
✓ Análise de Circuitos Ocultos (Sneak 
Circuit Analysis) 
✓ Análise de Markov 
✓ Simulação de Monte Carlo 
✓ Estatística Bayesiana e Redes de Bayes 
✓ Curvas F-N 
✓ Índices de Risco 
✓ Matriz de Probabilidade/ Consequência 
✓ Análise de Custo- Benefício (CBA) 
✓ Análise de Decisão por Multicritérios 
(MCDA) 
ANÁLISE PRELIMINAR DE RISCO (APR) 
A expressão APR significa Análise Preliminar 
de Risco é muito utilizada no dia-a-dia dos 
profissionais que constantemente avaliam 
riscos em processos/atividades. 
APR é uma técnica de avaliação prévia dos 
riscos presentes na realização de uma 
determinada atividade / trabalho. Consiste no 
detalhamento minucioso de cada etapa do 
trabalho, e dos riscos envolvido nesta tarefa. 
 
6.4.4 Avaliação de riscos 
O propósito da avaliação de riscos é apoiar 
decisões. 
A avaliação de riscos envolve a comparação 
dos resultados da análise de riscos com os 
critérios de risco estabelecidos para determinar 
onde é necessária ação adicional. 
Isto pode levar a uma decisão de: 
✓ fazer mais nada; 
✓ considerar as opções de tratamento 
de riscos; 
✓ realizar análises adicionais para 
melhor compreender o risco; 
✓ manter os controles existentes; 
✓ reconsiderar os objetivos. 
Convém que as decisões levem em 
consideração o contexto mais amplo e as 
consequências reais e percebidas para as 
partes interessadas externas e internas. 
Convém que o resultado da avaliação de 
riscos seja registrado, comunicado e então 
validado nos níveis apropriados da organização. 
6.5 Tratamento de riscos 
6.5.1 Generalidades 
O propósito do tratamento de riscos é 
selecionar e implementar opções para abordar 
riscos. 
O tratamento de riscos envolve um processo 
iterativo de: 
✓ formular e selecionar opções para 
tratamento do risco; 
✓ planejar e implementar o tratamento 
do risco; 
✓ avaliar a eficácia deste tratamento; 
✓ decidir se o risco remanescente é 
aceitável; 
✓ se não for aceitável, realizar 
tratamento adicional. 
 
Por exemplo: Vai ser lançado um filme de um 
super herói brasileiro, uma fábrica de 
brinquedos recebe a proposta dos produtores 
para fabricar 1 milhão de bonecos deste herói e 
colocar no mercado a partir do seu lançamento. 
Perceba que o risco é muito alto, pois quem 
garante que o filme será aceito ou não pelo 
público? Neste caso, a fábrica precisa avaliar 
qual melhor tratativa para este tipo de risco. 
6.5.2 Seleção de opções de tratamento de 
riscos 
Escolher a forma mais apropriada para 
tratamento dos riscos deve levar em 
consideração diversos fatores na organização, 
quanto aos custos, ao esforço ou desvantagens 
de implementação. Suponha queexista um 
processo de cortar papel em determinada 
medida, a depender da empresa e da 
quantidade de papel cortado, não seria 
necessário a aquisição de uma guilhotina. 
As opções para tratar o risco podem envolver 
um ou mais dos seguintes: 
✓ evitar o risco ao decidir não iniciar ou 
continuar com a atividade que dá 
origem ao risco; 
RISCO CAUSA EFEITO SEVERIDADE RECOMENDAÇÕES
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 17 
✓ assumir ou aumentar o risco de 
maneira a perseguir uma 
oportunidade; 
✓ remover a fonte de risco; 
✓ mudar a probabilidade; 
✓ mudar as consequências; 
✓ compartilhar o risco (por exemplo, 
por meio de contratos, compra de 
seguros); 
✓ reter o risco por decisão 
fundamentada (legislação ambiental, 
por exemplo). 
A justificativa para o tratamento de riscos é 
mais ampla do que apenas considerações 
econômicas, e convém que leve em 
consideração todas as obrigações da 
organização, compromissos voluntários e 
pontos de vista das partes interessadas. 
Convém que a seleção de opções de 
tratamento de riscos seja feita de acordo com 
os objetivos da organização, critérios de risco e 
recursos disponíveis. 
Por exemplo, uma indústria de algodão para 
uso médico, sofre um risco de contaminação 
(devido ao ar com fibras de algodão) para seus 
funcionários podendo causar sérios problemas 
de saúde. Para tratamento do risco a empresa 
tem pelo menos duas opções: 
✓ Funcionários utilizarem máscaras, ou 
✓ Instalar um sistema de filtro de ar. 
Os funcionários podem achar as 
máscaras um incômodo, enquanto que 
a empresa acha a instalação do filtro de 
ar caro demais. Qual decisão tomar? 
Ao selecionar opções de tratamento de 
riscos, convém que a organização considere os 
valores, percepções e potencial envolvimento 
das partes interessadas, e as formas mais 
apropriadas para com elas se comunicar e 
consultar. Embora igualmente eficazes, alguns 
tratamentos de riscos podem ser mais 
aceitáveis para algumas partes interessadas do 
que para outras. 
Ainda que cuidadosamente concebido e 
implementado, o tratamento de riscos pode não 
produzir os resultados esperados e pode 
produzir consequências não pretendidas. 
Monitoramento e análise crítica precisam ser 
parte integrante da implementação do 
tratamento de riscos, para assegurar que as 
diferentes formas de tratamento se tornem e 
permaneçam eficazes. 
 
O tratamento de riscos também pode 
introduzir novos riscos que precisem ser 
gerenciados. 
Se não houver opções de tratamento 
disponíveis ou se as opções de tratamento não 
modificarem suficientemente o risco, convém 
que este seja registrado e mantido sob análise 
crítica contínua. 
Convém que os tomadores de decisão e 
outras partes interessadas estejam conscientes 
da natureza e extensão do risco remanescente 
após o tratamento de riscos. 
Convém que o risco remanescente seja 
documentado e submetido a monitoramento, 
análise crítica e, onde apropriado, tratamento 
adicional. 
6.5.3 Preparando e implementando 
planos de tratamento de riscos 
O propósito dos planos de tratamento de 
riscos é especificar como as opções de 
tratamento escolhidas serão implementadas de 
maneira que os arranjos sejam compreendidos 
pelos envolvidos, e o progresso em relação ao 
plano possa ser monitorado. 
Convém que o plano de tratamento 
identifique claramente a ordem em que o 
tratamento de riscos será implementado. 
Convém que os planos de tratamento sejam 
integrados nos planos e processos de gestão da 
organização, em consulta com as partes 
interessadas apropriadas. 
Convém que as informações fornecidas no 
plano de tratamento incluam: 
✓ a justificativa para a seleção das 
opções de tratamento, incluindo os 
benefícios esperados a serem obtidos 
(por exemplo, um processo de 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 18 
lavagem de tanque de combustível, 
pode-se aplicar um cinto de segurança 
no funcionário, ou criar um outro 
sistema de limpeza que não precise da 
intervenção humana. A ideia aqui é 
justificar a escolha.); 
✓ aqueles que são responsabilizáveis e 
responsáveis por aprovar e 
implementar o plano – indicar 
nominalmente.; 
✓ as ações propostas; 
✓ os recursos requeridos, incluindo 
contingências; 
✓ as medidas de desempenho; 
✓ as restrições; 
✓ os relatos e monitoramento 
requeridos; 
✓ quando se espera que ações sejam 
tomadas e concluídas. 
6.6 Monitoramento e análise 
crítica 
O propósito do monitoramento e análise 
crítica é assegurar e melhorar a qualidade e 
eficácia da concepção, implementação e 
resultados do processo. 
Convém que o monitoramento contínuo e a 
análise crítica periódica do processo de gestão 
de riscos e seus resultados sejam uma parte 
planejada do processo de gestão de riscos, com 
responsabilidades claramente estabelecidas. 
Convém que monitoramento e análise crítica 
ocorram em todos os estágios do processo. 
Monitoramento e análise crítica incluem 
planejamento, coleta e análise de informações, 
registro de resultados e fornecimento de 
retorno. 
 
Convém que os resultados do 
monitoramento e análise crítica sejam 
incorporados em todas as atividades de gestão 
de desempenho, medição e relatos da 
organização. 
6.7 Registro e relato 
Convém que o processo de gestão de riscos 
e seus resultados sejam documentados e 
relatados por meio de mecanismos 
apropriados. 
O registro e o relato visam: 
✓ comunicar atividades e resultados de 
gestão de riscos em toda a 
organização; 
✓ fornecer informações para a tomada 
de decisão; 
✓ melhorar as atividades de gestão de 
riscos; 
✓ auxiliar a interação com as partes 
interessadas, incluindo aquelas com 
responsabilidade e com 
responsabilização por atividades de 
gestão de riscos. 
Convém que as decisões relativas à criação, 
retenção e manuseio de informação 
documentada levem em consideração, mas não 
se limitem a, o seu uso, a sensibilidade da 
informação e os contextos externo e interno. 
O relato é parte integrante da governança da 
organização e convém que melhore a qualidade 
do diálogo com as partes interessadas e apoie 
a Alta Direção e os órgãos de supervisão a 
cumprirem suas responsabilidades. Os fatores 
a considerar para o relato incluem, mas não 
estão limitados a: 
✓ diferentes partes interessadas e suas 
necessidades específicas de 
informação e requisitos; 
✓ custo, frequência e pontualidade do 
relato; 
✓ método de relato; 
✓ pertinência da informação para os 
objetivos organizacionais e para a 
tomada de decisão. 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 19 
Bibliografia: 
• NBR ISO 31000:2018. 
• JEFFREY H. HOOPER. A Abordagem de 
Processo na nova ISO 9001. QSP, 2002. 
• BARALDI, Paulo. Gerenciamento de riscos 
empresariais: a gestão de oportunidades, a 
avaliação de riscos e a criação de controles 
internos nas decisões empresariais. 2. ed. 
Rio de Janeiro: Elsevier, 2005. 
• BRITO, Osias Santana. Gestão de riscos: 
uma abordagem orientada a riscos 
operacionais. São Paulo: Saraiva, 2007. 
• COCURULLO, Antônio. Gestão de riscos 
corporativos: riscos alinhados com 
algumas ferramentas de gestão: um 
estudo de caso no setor de celulose e 
papel. São Paulo: Scortecci, 2002. 
• SALLES JÚNIOR, Carlos Alberto Corrêa; et 
al. Gerenciamento de riscos em projetos. 
Rio de Janeiro: Editora FGV, 2006. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S 
 
Página 20 
 
 
 
ANEXO I 
 
 
 
 
 
 
 
 
 
 
 
 
 
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 00 0 - G E S T Ã O D E R I S C O S 
 
Página 21 
ANEXO II - TÉCNICA WHAT IF 
 
 
 
Risco = Probabilidade x gravidade
Critérios: 
Atividade
O que 
aconteceria se
Efeito
Probabilidad
e 
(1 a 5)
Gravidade 
(1 a 5)
Risco Controles
Ações 
recomendadas
Resp. Prazo
Implantado 
em
Nova 
Probabilidade 
(1 a 5)
Nova 
Gravidade 
(1 a 5)
Risco 
residual
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
de 1 a 8 = risco baixo de 9 a 16 = risco médio de 17 a 25 = risco alto