Baixe o app para aproveitar ainda mais
Prévia do material em texto
P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 1 Índice 1. INTRODUÇÃO A ISO 31000 ......................................................................................................... 2 1.1 Estrutura e abordagem da ISO 31000 ......................................................................................... 2 2. SEÇÃO 1 - ESCOPO ..................................................................................................................... 3 3. SEÇÕES 2 e 3 .............................................................................................................................. 3 4. SEÇÃO 4 - PRINCÍPIOS ................................................................................................................ 3 4.1 Desdobramento dos princípios ................................................................................................... 3 5. SEÇÃO 5 - ESTRUTURA ............................................................................................................... 4 5.1 Generalidades ............................................................................................................................ 4 5.2 Liderança e comprometimento .................................................................................................. 5 5.3 Integração.................................................................................................................................. 6 5.4 Concepção ................................................................................................................................. 6 5.5 Implementação .......................................................................................................................... 9 5.6 Avaliação ................................................................................................................................. 10 5.7 Melhoria .................................................................................................................................. 10 6. SEÇÃO 6 - PROCESSO................................................................................................................ 10 6.1 Generalidades .......................................................................................................................... 10 6.2 Comunicação e consulta .......................................................................................................... 11 6.3 Escopo, contexto e critérios ..................................................................................................... 11 6.4 Processo de avaliação de riscos ................................................................................................ 13 6.5 Tratamento de riscos ............................................................................................................... 16 6.6 Monitoramento e análise crítica............................................................................................... 18 6.7 Registro e relato....................................................................................................................... 18 Bibliografia: ..................................................................................................................................... 19 P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 2 1. INTRODUÇÃO A ISO 31000 Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos que tornam incerto se elas alcançarão seus objetivos. Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas. Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão. Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas. A ISO 31000:2018 fornece orientações detalhadas sobre planejar, implementar, medir e aprender características de um sistema de gestão de risco. Não é mais aceitável para empresas com sólidos sistemas de gestão encontrar-se em uma posição em que eventos inesperados possam causar perdas financeiras, interrupção das operações normais, danos à reputação e até perda de mercado. As partes interessadas esperam que as organizações mitiguem os riscos que possam afetar o cumprimento de seus objetivos. Há um número crescente de riscos enfrentados pelas organizações. Alguns destes riscos estão relacionados com a gestão das empresas e outros com mudanças rápidas e/ou inesperadas no mercado. A maioria das organizações precisam gerenciar riscos associados com: ✓ Custo variável ou indisponibilidade de matérias-primas. ✓ Custo de aposentadoria / pensão / benefícios sociais. ✓ A crescente importância da propriedade intelectual (IP). ✓ A cadeia de fornecimento. ✓ Pressões regulatórias e requisitos legislativos aumentando. O mercado oscila bastante e as empresas precisam estar prontas para momentos de recessão econômica. Estas mudanças tornam o aumento da concorrência um fator preocupante para as empresas se manterem sólidas, além do aumento das expectativas dos clientes. Outros exemplos de riscos relacionados ao mercado são: mudanças rápidas na tecnologia; inovações constantes; riscos políticos; crime organizado; eventos climáticos extremos, etc. 1.1 Estrutura e abordagem da ISO 31000 A ISO 31000 foi publicado originalmente em 2009 e uma versão atualizada foi publicado em fevereiro de 2018. No entanto, o objetivo geral da ISO 31000 continua o mesmo - integrando a gestão de risco em um sistema de gestão estratégica e operacional. Na nova versão da norma uma boa parte da linguagem complicada foi eliminada, de modo que o texto é mais enxuto e mais preciso. O novo projeto é mais curto, mas ganha em clareza e precisão e é muito mais fácil de ler. Ele inclui melhorias, tais como a importância dos fatores humanos e culturais na realização dos objetivos de uma organização e uma ênfase na incorporação de gerenciamento de risco no processo de tomada de decisão. ISO 31000 sugere que a gestão de risco eficaz é caracterizada por princípios, estrutura e processo. A separação destes termos não está em linha com o formato sugerido para os padrões do sistema de gestão. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 3 Para um melhor entendimento da estrutura da norma, veja a figura do ANEXO I desta apostila. 2. SEÇÃO 1 - ESCOPO A NBR ISO 31000 inicia deixando claro que a norma não é específica para determinado de tipo de empresa, ou seja, independente do porte, tipo ou ramo de atuação, a norma se aplicará da mesma forma. A norma fornece diretrizes para gerenciar riscos enfrentados pelas organizações. Ela pode ser utilizada ao longo da vida da organização e aplicado a qualquer atividade, incluindo a tomada de decisão em todos os níveis 3. SEÇÕES 2 e 3 A Seção 2 não faz referência a nenhuma outra norma. A Seção 3 apresenta os termos e definições que aparecem na norma. Vejamos alguns: ✓ Risco: Efeito2 da incerteza nos objetivos. ✓ Gestão de riscos: Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. ✓ Fonte de risco: Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. 4. SEÇÃO 4 - PRINCÍPIOS O propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho,encoraja a inovação e apoia o alcance de objetivos. Os princípios fornecem orientações sobre as características da gestão de riscos eficaz e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os princípios são a base para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura e os processos de gestão de riscos da organização. Convém que estes princípios possibilitem uma organização a gerenciar os efeitos da incerteza nos seus objetivos. 4.1 Desdobramento dos princípios 4.1.1 Integrada A gestão de riscos é parte integrante de todas as atividades organizacionais. Os riscos estão por toda parte na empresa isso implica na necessidade do levantamento dos perigos em cada processo. 4.1.2 Estrutura abrangente Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis. 4.1.3 Personalizada A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos. 4.1.4 Inclusiva O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 4 4.1.5 Dinâmica Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna. 4.1.6 Melhor informação disponível As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes. 4.1.7 Fatores humanos e culturais O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de riscos em cada nível e estágio. Uma empresa com cultura de prevenção tem mais chances de conter os riscos inerentes aos seus objetivos. 4.1.8 Melhoria contínua A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências. A melhoria contínua só existe quando o processo já está bom, do contrário, deveríamos agir com a correção. A melhoria contínua como um princípio está atrelado ao fato desta ser um contingente para diminuição da probabilidade do risco. 5. SEÇÃO 5 - ESTRUTURA A seção 5 da NBR ISO 31000:2018 é composta por: ✓ 5.1 – Generalidades ✓ 5.2 – Liderança e comprometimento ✓ 5.3 – Integração ✓ 5.4 – Concepção ✓ 5.5 – Implementação ✓ 5.6 – Avaliação ✓ 5.7 – Melhoria Os requisitos 5.4 a 5.7 são baseados no PDCA. 5.1 Generalidades O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções, ou seja, dentro dos processos, nas pessoas, nos líderes. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interessadas, em particular da Alta Direção. O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da organização. Convém que a organização avalie suas práticas e processos existentes de gestão de riscos, avalie quaisquer lacunas e aborde estas lacunas no âmbito da estrutura, ou seja, todos os processos devem ser avaliados quanto aos riscos de não se atingir os objetivos. Por exemplo: no processo de compras é interessante avaliar os riscos quanto aos fornecedores. Convém que os componentes da estrutura e o modo como funcionam em conjunto sejam personalizados para as necessidades da organização. Esta personalização vai depender do porte da empresa, uma organização com mil P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 5 funcionários age diferente de uma com 10 funcionários. 5.2 Liderança e comprometimento Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento por: ✓ Personalizar e implementar todos os componentes da estrutura; ✓ Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos (que tipos de riscos vamos gerenciar? Financeiros, clientes, qualidade, meio ambiente, segurança, etc.); ✓ Assegurar que os recursos necessários sejam alocados para gerenciar riscos; ✓ Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização – se a empresa não faz uma avaliação dos riscos em um novo projeto, será responsável pelo fracasso. A política, os recursos, as definições de autoridades vão ajudar a organização a: ✓ alinhar a gestão de riscos com seus objetivos, estratégia e cultura; ✓ reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários; ✓ estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas; ✓ comunicar o valor da gestão de riscos para a organização e suas partes interessadas; ✓ promover o monitoramento sistemático de riscos; ✓ assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização. Não adianta ter uma estrutura e esta não ser utilizada, verificada, analisada. Para uma boa gestão de riscos é preciso por em prática a política de gestão. A Alta Direção é responsabilizada por gerenciar riscos (parte estratégica), enquanto os órgãos de supervisão são responsabilizados por supervisionar a gestão de riscos (operação, parte tática). Com frequência, é requerido ou esperado que os órgãos de supervisão: ✓ assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização – por exemplo, uma empresa compra produtos da China poderia ter um plano de contingência com distância menor e preços compatíveis; ✓ compreendam os riscos aos quais a organização está exposta na busca de seus objetivos – todos os membros da organização devem conhecer os riscos inerentes as suas atividades no processo, essa conscientização pode ser da forma mais adequada para a organização; ✓ assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente – aqui pode-se utilizar ferramentas como o FMEA ou plano de ação de forma que os riscos possam ser mitigados; ✓ assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização – o contexto externo muda constantemente e com isso, os métodos da organização também devem acompanhar estas evoluções; P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 6 ✓ assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada – a responsabilidade da comunicação deve ser claramente definida, pode ser monitorado via auditoria. 5.3 Integração A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Os sistemas de gestão só funcionam se estiverem integrados nos processos organizacionais, ou seja, se uma empresa possui um sistema de qualidade, é importante integrar com o sistema de riscos.Estruturas diferem, dependendo do propósito, metas e complexidade da organização. O risco é gerenciado em todas as partes da estrutura da organização. Todos na organização têm responsabilidade por gerenciar riscos. Nem todos os processos precisam necessariamente ter uma gestão de riscos, contudo, é importante analisar esta necessidade. A governança orienta o rumo da organização, suas relações externas e internas, e as regras, processos e práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho sustentável e viabilidade a longo prazo. Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização. Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, estratégia, objetivos e operações. 5.4 Concepção Esta etapa equivale ao PLANEJAR do PDCA. 5.4.1 Entendendo a organização e seu contexto O objetivo deste requisito na ISO 31000, é incluir a gestão de riscos no planejamento estratégico da organização, ou seja, fazer com que a gestão de riscos não caminhe de forma paralela ao que a organização está planejando. A organização deve determinar questões internas e externas aos seus propósitos e direcionamentos estratégicos e que possa afetar a sua capacidade de atender os resultados planejados. Estas questões (internas e externas) devem ser analisadas e monitoradas. Analisar o ambiente passa a ser fundamental para qualquer tipo de organização. Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno. Examinar o contexto externo da organização pode incluir, mas não está limitado a: ✓ fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; ✓ direcionadores-chave e tendências que afetem os objetivos da organização; ✓ relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; ✓ relações e compromissos contratuais; ✓ complexidade das redes de relacionamento e dependências. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 7 Examinar o contexto interno da organização pode incluir, mas não está limitado a: ✓ visão, missão e valores; ✓ governança, estrutura organizacional, papéis e responsabilizações; ✓ estratégia, objetivos e políticas; ✓ cultura da organização; ✓ normas, diretrizes e modelos adotados pela organização; ✓ capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); ✓ dados, sistemas de informação e fluxos de informação; ✓ relacionamentos com partes interessadas internas, levando em consideração suas percepções ✓ e valores; ✓ relações contratuais e compromissos; ✓ interdependências e interconexões. Se a organização desejar elaborar algum documento, sugerimos uma análise de SWOT: A Análise SWOT é um anagrama para os termos Strenghts, Weaknesses, Opportunities e Threats, que em português significam: Forças, Fraquezas, Oportunidades e Ameaças – também conhecida no Brasil como FOFA. O principal objetivo dessa ferramenta é desenvolver e firmar bem a estratégia empresarial. FORÇA: As forças são elementos internos que trazem benefícios para o seu negócio. Exemplos: • A união da sua equipe • Uma certa quantidade de ativos (imóveis, equipamento moderno, etc) • Localização privilegiada • Relacionamentos estratégicos • Modelo de cobrança FRAQUEZAS: As fraquezas são elementos internos que atrapalham o negócio. Exemplos: • Produto altamente perecível • Matéria prima escassa • Equipe pouco qualificada • Tecnologia ultrapassada • Processo de entrega P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 8 OPORTUNIDADES: As oportunidades são as situações externas à empresa que podem acontecer e afetar positivamente no negócio. Exemplos: • Vai sair uma nova lei • Pode surgir um novo curso • Minha concorrente precisa de ajuda • Ter acesso à uma nova tecnologia • Algum produto complementar ao meu ser lançado AMEAÇAS: são situações externas à empresa que podem atrapalhar o negócio. Exemplos: • Entrada de um concorrente internacional no mercado • Pirataria dos seus produtos • Mudança na legislação do seu setor • Escassez de mão de obra • Catástrofes naturais/guerras 5.4.2 Articulando o comprometimento com a gestão de riscos Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização. Independente de outras políticas, a política de gestão de riscos envolve: ✓ Objetivo: para que serve a política de gestão de riscos, o que ela deseja alcançar. ✓ Princípios: dizer que existe um processo exclusivo para gestão de riscos, por exemplo, ou ainda citar tratamentos de riscos e as comunicações. ✓ Responsabilidades: quem está envolvido na gestão de riscos da empresa, por exemplo: conselho administrativo, comissão de riscos, gestor, etc. Convém que o comprometimento inclua, mas não se limite a: ✓ o propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; ✓ reforçar a necessidade de integrar a gestão de riscos na cultura global da organização; ✓ liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; ✓ autoridades, responsabilidades e responsabilizações; ✓ tornar disponíveis os recursos necessários; ✓ a maneira pela qual os objetivos conflitantes são tratados; ✓ medição e relato no âmbito dos indicadores de desempenho da organização; ✓ análise crítica e melhoria. Convém que o comprometimento com a gestão de riscos seja comunicado na organização e às partes interessadas, como apropriado. 5.4.3 Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades, responsabilidades (fazer) e responsabilizações (culpa) para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que: ✓ enfatizem que a gestão de riscos é uma responsabilidade principal; P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 9 ✓ identifiquem indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos riscos – geralmente o dono do processo). 5.4.4 Alocando recursos Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem a alocação de recursos apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a: ✓ pessoas, habilidades, experiência e competência; ✓ processos, métodos e ferramentas da organização a serem usados na gestão de riscos; ✓ processos e procedimentos documentados; ✓ sistemas de gestão da informação e do conhecimento; ✓ necessidades de treinamento e desenvolvimento profissional. Convémque a organização considere as capacidades e restrições dos recursos existentes. Cada processo na organização precisa ter um dono e uma equipe deverá ser montada para que a gestão de processos seja implantada. Todas as pessoas da equipe e donos de processos precisam ser treinados em gestão de riscos. 5.4.5 Estabelecendo comunicação e consulta Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos. Comunicação envolve compartilhar informação com públicos-alvo, existem informações que não podem ser compartilhadas com todos os públicos. A consulta também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá para as decisões e sua formulação ou outras atividades. Convém que os métodos e conteúdo da comunicação e consulta reflitam as expectativas das partes interessadas, onde for pertinente. Convém que a comunicação e a consulta sejam oportunas e assegurem que a informação pertinente seja coletada, consolidada, sintetizada e compartilhada, como apropriado, e que o retorno seja fornecido e as melhorias sejam implementadas. 5.5 Implementação Este item relaciona-se com a etapa de EXECUTAR do PDCA. Convém que a organização implemente a estrutura de gestão de riscos por meio de: ✓ desenvolvimento de um plano apropriado, incluindo prazos e recursos, aqui nada mais é do que um cronograma de implementação das ações (análises, auditorias, revisões); ✓ identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por quem; ✓ modificação dos processos de tomada de decisão aplicáveis, onde necessário; ✓ garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados. A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão, enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à medida que ela surja. Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que o processo de gestão de riscos é parte de todas P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 10 as atividades da organização, incluindo a tomada de decisão, e que as mudanças nos contextos externo e interno serão adequadamente capturadas. 5.6 Avaliação Este item relaciona-se com a etapa de VERIFICAÇÃO do PDCA. Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização: ✓ mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação, indicadores e comportamento esperado; ✓ determine se permanece adequada para apoiar o alcance dos objetivos da organização. Serão necessários indicadores para mensurar os riscos de cada processo. 5.7 Melhoria Este item relaciona-se com a etapa de AÇÃO/MELHORIA do PDCA. 5.7.1 Adaptação Geralmente os ambientes tanto internos quanto externos mudam, alguns mais lentos ou mais rápidos, mas sempre existem mudanças e a organização precisa estar adaptada a estas alterações. Convém que a organização monitore e adapte continuamente a estrutura de gestão de riscos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor (valor do sistema de gestão de riscos). 5.7.2 Melhoria contínua Convém que organização melhore continuamente a adequação, suficiência e eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é integrado. À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, convém que a organização desenvolva planos e tarefas e os atribua àqueles responsabilizados pela implementação. Uma vez implementadas, convém que estas melhorias contribuam para o aprimoramento da gestão de riscos. As não conformidades vão surgir naturalmente, mas poderão ser contidas via melhoria contínua. 6. SEÇÃO 6 - PROCESSO A seção 6 da NBR ISO 31000:2018 é composta por: ✓ 6.1 – Generalidades ✓ 6.2 – Comunicação e consulta ✓ 6.3 – Escopo, contexto e critérios ✓ 6.4 – Processo de avaliação de risco ✓ 6.5 – Tratamento de risco ✓ 6.6 – Monitoramento e análise crítica ✓ 6.7 – Registro e relato 6.1 Generalidades Perigo é a fonte potencial de dano. Dano é lesão física ou prejuízo à propriedade ou ao meio ambiente. A probabilidade de que cada evento indesejado ocorra é identificada no estágio de identificação do perigo. Três abordagens são P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 11 empregadas geralmente para estimar probabilidades: ✓ uso de dados históricos relevantes; ✓ previsão de probabilidades utilizando técnicas analíticas ou de simulação; ✓ julgamento de especialistas. Gravidade é a medida das possíveis consequências de um perigo. O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. Convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada de decisão, e seja integrado na estrutura, operações e processos da organização. Pode ser aplicado nos níveis estratégico, operacional, de programas ou de projetos. Pode haver muitas aplicações do processo de gestão de riscos em uma organização, personalizadas para alcançar objetivos e para se adequar aos contextos externo e interno nos quais são realizadas. Convém que a natureza dinâmica e variável do comportamento humano e cultura seja considerada ao longo do processo de gestão de riscos. Embora o processo de gestão de riscos seja frequentemente apresentado como sequencial, na prática ele é iterativo. 6.2 Comunicação e consulta O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais ações específicas são requeridas. A comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta envolve obter retorno e informação para auxiliar a tomada de decisão. Convém que uma coordenação estreita entre as duas facilite a troca de informações factuais, oportunas, pertinentes, precisas e compreensíveis, levando em consideração a confidencialidade e integridade da informação, bem como os direitos de privacidade dos indivíduos. Convém que ocorram comunicação e consulta com partes interessadas apropriadas externas e internas, no âmbito de cada etapa e ao longo de todo o processo de gestão de riscos. Comunicação e consulta visam a: ✓ reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos; ✓ assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se definirem critérios de risco e ao se avaliarem riscos; ✓ fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão; ✓ construir um senso de inclusão e propriedade entre os afetados pelo risco. 6.3 Escopo, contexto e critérios 6.3.1 Generalidades O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 12 Escopo, contexto e critérios envolvem a definiçãodo escopo do processo, a compreensão dos contextos externo e interno. 6.3.2 Definindo o escopo A organização pode por seus próprios critérios definir em quais processos vai implementar a gestão de riscos. Para isso, é aconselhável fazer uma análise de quais processos são mais críticos para o desempenho da empresa. Como o processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, estratégico, operacional, programa, projeto ou outras atividades), é importante ser claro sobre o escopo em consideração, os objetivos pertinentes a serem considerados e o seu alinhamento aos objetivos organizacionais. Ao planejar a abordagem, as considerações incluem: ✓ objetivos e decisões que precisam ser tomadas; ✓ resultados esperados das etapas a serem realizadas no processo; ✓ tempo, localização, inclusões e exclusões específicas; ✓ ferramentas e técnicas apropriadas para o processo de avaliação de riscos; ✓ recursos requeridos, responsabilidades e registros a serem mantidos; ✓ relacionamentos com outros projetos, processos e atividades. 6.3.3 Contexto externo e interno Convém que o contexto do processo de gestão de riscos seja estabelecido a partir da compreensão dos ambientes externo e interno no qual a organização opera, e convém que reflita o ambiente específico da atividade ao qual o processo de gestão de riscos é aplicado. Compreender o contexto é importante porque: ✓ a gestão de riscos ocorre no contexto dos objetivos e atividades da organização; ✓ fatores organizacionais podem ser uma fonte de risco; ✓ propósito e escopo do processo de gestão de riscos podem estar inter- relacionados com os objetivos da organização como um todo; 6.3.4 Definindo critérios de risco Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir em relação aos objetivos. Convém também que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de tomada de decisão. Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam personalizados para o propósito específico e o escopo da atividade em consideração. Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização e sejam consistentes com as políticas e declarações sobre gestão de riscos. Convém que os critérios de risco sejam estabelecidos levando em consideração as obrigações da organização e os pontos de vista das partes interessadas. Embora convenha que os critérios de risco sejam estabelecidos no início do processo de avaliação de riscos, eles são dinâmicos; e convém que sejam continuamente analisados criticamente e alterados, se necessário. Para estabelecer os critérios de risco, convém considerar: ✓ a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis); ✓ como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas e medidas; ✓ fatores relacionados ao tempo; ✓ consistência no uso de medidas; P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 13 ✓ como o nível de risco será determinado; ✓ como as combinações e sequências de múltiplos riscos serão levadas em consideração; ✓ a capacidade da organização. Nível de risco A organização poderá ainda definir critérios com base em escala, por exemplo, níveis de risco 1 a 5, onde quanto maior a escala maior também o risco. Pode-se ainda determinar um fator crítico como escala a partir de 3 deve-se dar uma atenção diferenciada. Pode-se ainda utilizar critérios de cores, por exemplo: verde – aceitável, amarelo – requer atenção e vermelho – crítico. A organização decide quantas categorias são necessárias e como devem ser defendidas. É interesse fazer as seguintes perguntas antes de definir o nível de risco: ✓ Qual é a gravidade? ✓ Qual o tamanho do dano? ✓ Qual impacto a organização vai sofrer devido a este dano? A seguir apresentamos uma matriz de nível de riscos que pode ser utilizada (lembre-se: a NBR ISO 31000 não determina um método padrão para definição de critérios de riscos). NR=Nível de Risco P= Probabilidade C= Consequências O nível de risco é definido a partir da multiplicação da Probabilidade pela Consequência. Por exemplo: se um determinado processo tem Probabilidade de risco “4” (provável) e uma Consequência “4” (moderada), logo, meu nível de risco será 4 x 4 = 16, pelo critério da tabela devo considerar este risco como “SÉRIO” (8<NR≤16). Percebe-se que o método apresentado é simples de aplicar, o difícil é o consenso a ser aplicado em cada processo, nisso a equipe deve avaliar o contexto interno e externo da organização. 6.4 Processo de avaliação de riscos 6.4.1 Generalidades O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação de riscos. Convém que o processo de avaliação de riscos seja conduzido de forma sistemática, iterativa e colaborativa, com base no conhecimento e nos pontos de vista das partes interessadas. Quando os riscos forem identificados e definidos critérios, é importante comunicar as partes interessadas. Convém que use a melhor informação disponível, complementada por investigação adicional, como necessário. 6.4.2 Identificação de riscos A identificação dos riscos inerentes a cada processo deve ser feita com os recursos disponíveis na organização, é aconselhável a participação do dono do processo e o entendimento estratégico da organização. Por exemplo, no processo financeiro é preciso entender quais as projeções futuras (metas) de faturamento – posição estratégica – e o dono do processo precisa identificar o que pode ocasionar no impedimento de atingir o objetivo. O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos. A organização pode usar uma variedade de técnicas para identificar incertezas que podem afetar um ou mais objetivos. Uma excelente P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 14 ferramenta de identificação de riscos que pode ser utilizada pela empresa é o FMEA. Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerados: ✓ fontes tangíveis e intangíveis de risco (mudanças no dólar, por exemplo); ✓ causas e eventos (novo produto, problemas de distribuição); ✓ ameaças e oportunidades (mercado competitivo); ✓ vulnerabilidades e capacidades (pessoal preparado ou despreparado); ✓ mudanças nos contextos externo e interno; ✓ indicadores de riscos emergentes (novo concorrente); ✓ natureza e valor dos ativos e recursos (distribuidoras que possuem frotas, por exemplo); ✓ consequências e seus impactos nos objetivos; ✓ limitações de conhecimento e de confiabilidade da informação; ✓ fatores temporais (chuvas, alagamentos em certo período); ✓ vieses, hipóteses e crenças dos envolvidos. Convém que a organização identifique os riscos, independentemente de suas fontes estarem ou não sob seu controle, ou seja, mesmo os riscos em que a empresa não fez nenhuma ação de contenção ainda. Um mesmo risco poderá ocasionar em mais de um efeito indesejado para a organização, seja de modo tangível ou intangível, por exemplo: uma empresa fez uma entrega errada, o cliente vai ficar insatisfeito podendo até deixar de comprar na empresa, bem como a imagem da organização poderá ser manchada. 6.4.3 Análise dos riscos Uma vez que os riscos foram identificados, é chegada a hora de analisar seus efeitos e origens. O propósito da análisede riscos é compreender a natureza do risco e suas características, incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada de: ✓ Incertezas ✓ Fontes de risco ✓ Consequências ✓ Probabilidade ✓ Eventos ✓ Cenários ✓ Controles e ✓ Eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos. A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos recursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das circunstâncias e do uso pretendido. Convém que a análise de riscos considere fatores como: ✓ a probabilidade de eventos e consequências; ✓ a natureza e magnitude das consequências; ✓ complexidade e conectividade; ✓ fatores temporais e volatilidade; ✓ a eficácia dos controles existentes; ✓ sensibilidade e níveis de confiança. A análise de riscos pode ser influenciada por qualquer divergência de opiniões, vieses, percepções do risco e julgamentos. Influências adicionais são a qualidade da informação utilizada, as hipóteses e as exclusões feitas, quaisquer limitações das técnicas e como elas são executadas. Convém que estas influências sejam consideradas, documentadas e comunicadas aos tomadores de decisão. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 15 A análise de riscos não é um método matemáticos, ela envolve sentimentos e visões diferenciadas umas das outras. Eventos altamente incertos podem ser difíceis de quantificar. Isso pode ser um problema ao analisar eventos com consequências severas. Nestes casos, usar uma combinação de técnicas geralmente fornece maior discernimento. A análise de riscos fornece uma entrada para a avaliação de riscos, para decisões sobre se o risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados para o tratamento de riscos. Os resultados propiciam discernimento para decisões, em que escolhas estão sendo feitas e as opções envolvem diferentes tipos e níveis de risco. Técnica WHAT IF Nas fases de identificação e análise de riscos, é aconselhável utilizar uma técnica bastante usual em empresas do mundo inteiro. WHAT IF é uma técnica qualitativa de cunho geral, de simples aplicação e muito útil como primeira abordagem, na identificação e detecção de riscos, em qualquer fase do projeto ou processo. A aplicação da ferramenta consiste em reuniões de uma equipe especializada, conhecedora do processo, que avalia o fluxo o processo, os subprocessos envolvidos, as entradas e saídas, e, com base no conhecimento de cada integrante, são levantadas questões do tipo “What if?”, ou, em Português, “E se?”. Ao responder a questão levantada, a equipe não precisa, necessariamente, ir fundo na pesquisa e identificação das causas e consequências. Eventualmente, estas causas e consequências podem ser melhor detalhadas, assim como as medidas de mitigação e prevenção, através de outras ferramentas. ✓ E se a válvula “X” estiver bloqueada? ✓ E se o projetor não funcionar? ✓ E se os EPIs falharem? ✓ E se faltar energia? Observem que as respostas a estas questões podem ter diferentes graduações de detalhamento, ensejando a oportunidade de utilização das outras ferramentas, que permitirão análise qualitativa e quantitativamente os riscos. Em sala, o instrutor apresentará um modelo da ferramenta e sua forma de preenchimento (ver Anexo II). Ferramentas indicadas pela ISO/IEC 31010 para o processo de avaliação de riscos A IEC 31010 (ou ISO/IEC 31010) é uma das normas de suporte da ISO 31000 de Gestão de Riscos e fornece orientação sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos (risk assessment) - para riscos de todos os tipos. A norma não ensina como utilizar as técnicas, mas indica quais ferramentas utilizar em cada etapa da gestão de processos, or exemplo, a norma não aconselha utilizar Brainstorming na Análise e avaliação de riscos, somente na Identificação. As ferramentas e técnicas listadas abaixo são apenas sugestivas: ✓ Brainstorming ✓ Entrevistas Estruturadas ou Semiestruturadas ✓ Técnica de Delphi ✓ Checklists ✓ Análise Preliminar de Perigos (APP) ✓ Estudo de Perigos e Operabilidade (HAZOP) ✓ Análise de Perigos e Pontos Críticos de ✓ Controle (HACCP) ✓ Avaliação de Riscos Ambientais ✓ Técnica Estruturada de What-If (SWIFT) ✓ Análise de Cenários ✓ Análise de Impactos no ✓ Negócio (BIA) ✓ Análise de Causa-Raiz (RCA) ✓ Análise de Modos de Falha e Efeitos (FMEA/FMECA) ✓ Análise de Árvore de Falhas (FTA) ✓ Análise de Árvore de Eventos (ETA) ✓ Análise de Causa & Consequência ✓ Análise de Causa-e-Efeito ✓ Análise de Camadas de Proteção (LOPA) ✓ Análise de Árvore de Decisões ✓ Análise de Confiabilidade Humana (HRA) ✓ Análise da Gravata Borboleta (Bow-Tie Analysis) ✓ Manutenção Centrada em Confiabilidade (RCM) P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 16 ✓ Análise de Circuitos Ocultos (Sneak Circuit Analysis) ✓ Análise de Markov ✓ Simulação de Monte Carlo ✓ Estatística Bayesiana e Redes de Bayes ✓ Curvas F-N ✓ Índices de Risco ✓ Matriz de Probabilidade/ Consequência ✓ Análise de Custo- Benefício (CBA) ✓ Análise de Decisão por Multicritérios (MCDA) ANÁLISE PRELIMINAR DE RISCO (APR) A expressão APR significa Análise Preliminar de Risco é muito utilizada no dia-a-dia dos profissionais que constantemente avaliam riscos em processos/atividades. APR é uma técnica de avaliação prévia dos riscos presentes na realização de uma determinada atividade / trabalho. Consiste no detalhamento minucioso de cada etapa do trabalho, e dos riscos envolvido nesta tarefa. 6.4.4 Avaliação de riscos O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional. Isto pode levar a uma decisão de: ✓ fazer mais nada; ✓ considerar as opções de tratamento de riscos; ✓ realizar análises adicionais para melhor compreender o risco; ✓ manter os controles existentes; ✓ reconsiderar os objetivos. Convém que as decisões levem em consideração o contexto mais amplo e as consequências reais e percebidas para as partes interessadas externas e internas. Convém que o resultado da avaliação de riscos seja registrado, comunicado e então validado nos níveis apropriados da organização. 6.5 Tratamento de riscos 6.5.1 Generalidades O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos. O tratamento de riscos envolve um processo iterativo de: ✓ formular e selecionar opções para tratamento do risco; ✓ planejar e implementar o tratamento do risco; ✓ avaliar a eficácia deste tratamento; ✓ decidir se o risco remanescente é aceitável; ✓ se não for aceitável, realizar tratamento adicional. Por exemplo: Vai ser lançado um filme de um super herói brasileiro, uma fábrica de brinquedos recebe a proposta dos produtores para fabricar 1 milhão de bonecos deste herói e colocar no mercado a partir do seu lançamento. Perceba que o risco é muito alto, pois quem garante que o filme será aceito ou não pelo público? Neste caso, a fábrica precisa avaliar qual melhor tratativa para este tipo de risco. 6.5.2 Seleção de opções de tratamento de riscos Escolher a forma mais apropriada para tratamento dos riscos deve levar em consideração diversos fatores na organização, quanto aos custos, ao esforço ou desvantagens de implementação. Suponha queexista um processo de cortar papel em determinada medida, a depender da empresa e da quantidade de papel cortado, não seria necessário a aquisição de uma guilhotina. As opções para tratar o risco podem envolver um ou mais dos seguintes: ✓ evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco; RISCO CAUSA EFEITO SEVERIDADE RECOMENDAÇÕES P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 17 ✓ assumir ou aumentar o risco de maneira a perseguir uma oportunidade; ✓ remover a fonte de risco; ✓ mudar a probabilidade; ✓ mudar as consequências; ✓ compartilhar o risco (por exemplo, por meio de contratos, compra de seguros); ✓ reter o risco por decisão fundamentada (legislação ambiental, por exemplo). A justificativa para o tratamento de riscos é mais ampla do que apenas considerações econômicas, e convém que leve em consideração todas as obrigações da organização, compromissos voluntários e pontos de vista das partes interessadas. Convém que a seleção de opções de tratamento de riscos seja feita de acordo com os objetivos da organização, critérios de risco e recursos disponíveis. Por exemplo, uma indústria de algodão para uso médico, sofre um risco de contaminação (devido ao ar com fibras de algodão) para seus funcionários podendo causar sérios problemas de saúde. Para tratamento do risco a empresa tem pelo menos duas opções: ✓ Funcionários utilizarem máscaras, ou ✓ Instalar um sistema de filtro de ar. Os funcionários podem achar as máscaras um incômodo, enquanto que a empresa acha a instalação do filtro de ar caro demais. Qual decisão tomar? Ao selecionar opções de tratamento de riscos, convém que a organização considere os valores, percepções e potencial envolvimento das partes interessadas, e as formas mais apropriadas para com elas se comunicar e consultar. Embora igualmente eficazes, alguns tratamentos de riscos podem ser mais aceitáveis para algumas partes interessadas do que para outras. Ainda que cuidadosamente concebido e implementado, o tratamento de riscos pode não produzir os resultados esperados e pode produzir consequências não pretendidas. Monitoramento e análise crítica precisam ser parte integrante da implementação do tratamento de riscos, para assegurar que as diferentes formas de tratamento se tornem e permaneçam eficazes. O tratamento de riscos também pode introduzir novos riscos que precisem ser gerenciados. Se não houver opções de tratamento disponíveis ou se as opções de tratamento não modificarem suficientemente o risco, convém que este seja registrado e mantido sob análise crítica contínua. Convém que os tomadores de decisão e outras partes interessadas estejam conscientes da natureza e extensão do risco remanescente após o tratamento de riscos. Convém que o risco remanescente seja documentado e submetido a monitoramento, análise crítica e, onde apropriado, tratamento adicional. 6.5.3 Preparando e implementando planos de tratamento de riscos O propósito dos planos de tratamento de riscos é especificar como as opções de tratamento escolhidas serão implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, e o progresso em relação ao plano possa ser monitorado. Convém que o plano de tratamento identifique claramente a ordem em que o tratamento de riscos será implementado. Convém que os planos de tratamento sejam integrados nos planos e processos de gestão da organização, em consulta com as partes interessadas apropriadas. Convém que as informações fornecidas no plano de tratamento incluam: ✓ a justificativa para a seleção das opções de tratamento, incluindo os benefícios esperados a serem obtidos (por exemplo, um processo de P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 18 lavagem de tanque de combustível, pode-se aplicar um cinto de segurança no funcionário, ou criar um outro sistema de limpeza que não precise da intervenção humana. A ideia aqui é justificar a escolha.); ✓ aqueles que são responsabilizáveis e responsáveis por aprovar e implementar o plano – indicar nominalmente.; ✓ as ações propostas; ✓ os recursos requeridos, incluindo contingências; ✓ as medidas de desempenho; ✓ as restrições; ✓ os relatos e monitoramento requeridos; ✓ quando se espera que ações sejam tomadas e concluídas. 6.6 Monitoramento e análise crítica O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas. Convém que monitoramento e análise crítica ocorram em todos os estágios do processo. Monitoramento e análise crítica incluem planejamento, coleta e análise de informações, registro de resultados e fornecimento de retorno. Convém que os resultados do monitoramento e análise crítica sejam incorporados em todas as atividades de gestão de desempenho, medição e relatos da organização. 6.7 Registro e relato Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados por meio de mecanismos apropriados. O registro e o relato visam: ✓ comunicar atividades e resultados de gestão de riscos em toda a organização; ✓ fornecer informações para a tomada de decisão; ✓ melhorar as atividades de gestão de riscos; ✓ auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com responsabilização por atividades de gestão de riscos. Convém que as decisões relativas à criação, retenção e manuseio de informação documentada levem em consideração, mas não se limitem a, o seu uso, a sensibilidade da informação e os contextos externo e interno. O relato é parte integrante da governança da organização e convém que melhore a qualidade do diálogo com as partes interessadas e apoie a Alta Direção e os órgãos de supervisão a cumprirem suas responsabilidades. Os fatores a considerar para o relato incluem, mas não estão limitados a: ✓ diferentes partes interessadas e suas necessidades específicas de informação e requisitos; ✓ custo, frequência e pontualidade do relato; ✓ método de relato; ✓ pertinência da informação para os objetivos organizacionais e para a tomada de decisão. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 19 Bibliografia: • NBR ISO 31000:2018. • JEFFREY H. HOOPER. A Abordagem de Processo na nova ISO 9001. QSP, 2002. • BARALDI, Paulo. Gerenciamento de riscos empresariais: a gestão de oportunidades, a avaliação de riscos e a criação de controles internos nas decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 2005. • BRITO, Osias Santana. Gestão de riscos: uma abordagem orientada a riscos operacionais. São Paulo: Saraiva, 2007. • COCURULLO, Antônio. Gestão de riscos corporativos: riscos alinhados com algumas ferramentas de gestão: um estudo de caso no setor de celulose e papel. São Paulo: Scortecci, 2002. • SALLES JÚNIOR, Carlos Alberto Corrêa; et al. Gerenciamento de riscos em projetos. Rio de Janeiro: Editora FGV, 2006. P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 0 0 0 - G E S T Ã O D E R I S C O S Página 20 ANEXO I P E T R A C O N S U L T O R I A E T R E I N A M E N T O S – I S O 3 1 00 0 - G E S T Ã O D E R I S C O S Página 21 ANEXO II - TÉCNICA WHAT IF Risco = Probabilidade x gravidade Critérios: Atividade O que aconteceria se Efeito Probabilidad e (1 a 5) Gravidade (1 a 5) Risco Controles Ações recomendadas Resp. Prazo Implantado em Nova Probabilidade (1 a 5) Nova Gravidade (1 a 5) Risco residual 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 de 1 a 8 = risco baixo de 9 a 16 = risco médio de 17 a 25 = risco alto
Compartilhar