GESTÃO DE RISCOS - ISO 31000

Prévia do material em texto

GESTÃO DE RISCOS
Baseado na ISO 31000
Gerenciar riscos auxilia as organizações no estabelecimento de estratégias.
A ISO 31000 foi publicada originalmente em 2009 e uma versão atualizada foi publicada
em 2018.
A ISO 31000 sugere que a Gestão de Risco eficaz é caracterizada por:
Princípios.
Estrutura.
Processo.
A ISO 31000 fornece orientações detalhadas sobre:
Planejar.
Implementar.
Medir/Monitorar.
Aprender.
A quantidade de riscos aumentam a cada dia. Alguns relacionados com a gestão das
empresas e outros com mudanças rápidas e/ou inesperadas do mercado.
Classes de RISCOS:
Aumento de custos variáveis.
Falta de matéria-prima.
Custos trabalhistas.
Propriedade intelectual.
Cadeia de fornecimento.
Legislação empresarial.
Mudanças na tecnologia.
Riscos políticos.
Corrupção.
As mudanças no mercado tendem a aumentar as expectativas dos clientes.
ISO 31000 -ESCOPO - SEÇÃO 1
Essa seção independente do tipo da empresa a norma tem a mesma aplicação, não sendo
permitido exclusão de requisito. O escopo nesta seção não está relacionado aos processos,
mas com o objetivo da norma.
ISO 31000 - REFERÊNCIAS - SEÇÃO 2
ISO 31000 - TERMOS E DEFINIÇÕES - SEÇÃO 3
Risco: Efeito da incerteza nos objetivos.
Gestão de Riscos: Atividades coordenadas para dirigir e controlar uma organização no que
se refere a riscos.
Fonte de Riscos: Elemento que, individualmente ou combinado, tem o potencial para dar
origem ao risco.
ISO 31000 - PRINCÍPIOS - SEÇÃO 4
Desdobramento dos Princípios:
Integrada:
A Gestão de Riscos integra todos os processos, um pode interferir no outro.
Estrutura Abrangente:
Deve ser sistemática e não feita de qualquer forma. A gestão estruturada garante
resultados.
Personalizada:
Proporcional ao contexto interno e externo.
Inclusiva:
Seria envolver clientes, parceiros, fornecedores, colaboradores para juntos
desenvolverem a Gestão de Riscos.
Dinâmica:
O riscos podem:
Emergir
Mudar
Desaparecer
A medida que o mercado muda.
A Melhor Informação Disponível:
Informações históricas.
Informações atuais.
Expectativas futuras.
As partes interessadas recebem de forma clara e objetiva.
Fatores Humanos e Culturais:
Uma cultura preventiva faz uma melhor gestão. 
Melhoria Contínua:
Só existe quando o processo já está bom, é um contingente para a diminuição da
probabilidade de risco.
ISO 31000 - ESTRUTURA - SEÇÃO 5
5.1 - Generalidades:
O objetivo desta seção é integrar:
Processos.
Pessoas.
Liderança.
A organização deve mapear seus processos e avaliar seus riscos.
5.2 - Liderança e Comprometimento:
Garantir integração da Gestão de Riscos entre os processos.
Analisar estratégias da empresa.
Mapear interação entre processos.
Solicitar que cada dono apresente os riscos inerentes aos seus processos.
Integrar a Gestão de Riscos.
O risco de um processo poderá afetar outro processo.
Liderança:
Implementar todos os componentes da estrutura.
Emitir declaração ou política que estabeleça uma abordagem, plano de curso de ação
de gestão de risco.
Assegurar que os recursos necessários sejam alocados para gerenciar riscos.
Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados.
A Alta Direção é responsabilizada por gerenciar riscos.
Todos os membros da organização devem conhecer os riscos inerentes as suas atividades
no processo. Certamente uma questão cultural.
A liderança deve assegurar que sistemas para gerenciar riscos estejam implementados e
operem eficazmente.
5.3 - Integração:
Sistemas de gestão:
Todos os sistemas de gestão devem estar alinhados ao sistema de gestão de riscos.
Todos participam:
A ISO 31000 deixa claro que todas as pessoas na empresa têm responsabilidades na gestão
de riscos ( da direção ao operacional).
Gestão de riscos como parte do planejamento estratégico:
A ISO 31000 encerra requisito dizendo que a gestão de riscos deve ser integrada aos
propósitos da empresa, se não ser trada como algo separado.
5.4 - Concepção:
Essa etapa aqui equivale ao PLANEJAR do PDCA.
5.4.1 - Entendendo a organização e seus contexto. O objetivo deste requisito é fazer a ISO
31000 caminhe junto com o planejamento estratégico da organização. A questão interna e
externa devem ser analisadas e monitoradas. A ISO 31000 não determina que sejam
registradas em forma de documentos.
Contexto Externo: São situações/fatores originados fora da empresa, algumas ditadas
pelo próprio mercado. EXEMPLO: Fatores sociais; culturais; políticas; jurídicos;
regulatórios; financeiros; tecnológicos; econômicos e ambientais.
Contexto Interno: está relacionado as fraquezas internas. São situações/fatores
originadas dentro da empresa, algumas ditadas pelos ativos da empresa. EXEMPLO:
visão; missão; valores; governança; estrutura organizacional; papéis e
responsabilidades; estratégias; objetivos; políticas; cultura da organização; normas;
diretrizes e modelos adotados pela organização.
5.4.2 - Articulando o Comprometimento com a Gestão de Riscos:
Políticas de Gestão de Riscos, se necessário a empresa deve criar uma política, uma
declaração ou qualquer outro tipo de comprometimento que demostre seu interesse na
gestão de riso. Contendo o objetivo, para que serve a política de gestão de riscos, o que ela
deseja alcançar. Falar sobre os princípios, dizer que é um processo exclusivo para gestão
de riscos, ou citar tratamentos de riscos e as comunicações. Exaltar as
responsabilidades, quem está envolvido na gestão de riscos da empresa, conselho
administrativo, comissão de riscos, gestor, etc.
5.4.3 - Atribuindo Papéis Organizacionais, Autoridades, Responsabilidades e
Responsabilizações:
Responsabilidade:
Relacionado a FAZER
Autoridade:
Relacionado ao PODER.
Responsabilização:
Relacionado a CULPA.
A Alta Direção deve identificar os cargos com responsabilização pelo riscos inerentes ao
seu processo, ou seja, identificar os donos do processo.
5.4.4 - Alocando Recursos:
A Alta Direção deve alocar os recursos certos nos lugares certos.
Pessoas, habilidades, experiência e competência.
Processos, métodos e ferramentas.
Necessidades de treinamento e desenvolvimento profissional.
5.4.5 - Estabelecendo Comunicação e Consulta:
Comunicação: Envolve compartilhar informações com públicos alvo, existem informações
que não podem ser compartilhadas com todos os públicos.
Consulta: Envolve fornecimento de retorno de participantes com a expectativa de que isto
contribuirá para as decisões e sua formulação ou outras atividades.
5.5 - Implementação: 
Este item está relacionado com a etapa de EXECUTAR do PDCA.
Desenvolver um PLANO: Conter prazos e recursos necessários para o bom
desenvolvimento dos sistemas, pode ser um cronograma.
Evidenciar Métodos e Decisões: Registar ONDE, COMO E QUEM pode tomar as decisões.
Modificar processos/Métodos de Decisão: Se necessário, e de acordo com as
identificações de riscos, a empresa deve modificar o método de tomada de decisão.
Compreensão e Prática: Por todos e principalmente praticadas.
5.6 - Avaliação:
Relaciona com a etapa de VERIFICAÇÃO do PDCA.
Garantir que o sistema de gestão está eficaz:
Mensurar periodicamente o desempenho do sistema.
Aprimorar indicadores de acordo com os tipos de riscos.
5.7 - Melhoria:
Relaciona com a etapa de AÇÃO/MELHORIA do PDCA.
5.7.1 - Adaptação:
Os ambientes internos mudam constantemente, as mudanças podem ser rápidas ou
lentas. As empresas precisam acompanhar essas mudanças identificando e controlando
os riscos.
5.7.2 - Melhoria Contínua:
A norma pede planos de melhoria.
ISSO 31000 - PROCESSO - SEÇÃO 6
6.1 - Generalidade:
Defina Perigo: Fonte potencial de dano.
Defina o Dano: É lesão física ou prejuízo à propriedade ou ao meio ambiente.
Probabilidade
Gravidade dos Riscos: Para cada processo.
6.2 - Comunicação e Consulta:
O objetivo é fazer as partes interessadas compreendam os riscos inerentes a cada
processo. Entendimento do risco e feedback para tomada de decisão.
6.3 - Escopo, Contexto e Critérios:
6.3.1 - Generalidade:
Personalizar o processo de gestão de riscos permitindo um processo de avaliação de risco
eficaz e tratamentode riscos apropriado.
6.3.2 - Definindo o Escopo:
Organização pelos seus próprios critérios definir em quais processos vai implementar a
gestão de riscos.
6.3.4 - Critérios de Risco:
Avaliar a significância do risco, ou seja, o quanto o risco pode ser crítico.
Valores.
Objetivos.
Recursos da organização.
Nível de Risco: 
6.4 - Processo de Avaliação de Riscos:
Identificação dos riscos.
Análise de riscos.
Avaliação de riscos.
6.4.2 - Identificação de Riscos:
Observar fontes tangíveis e intangíveis de risco (dólar por exemplo).
Causas e eventos (novo produto, problemas de distribuição).
Ameaças e oportunidades (mercado competitivo).
Vulnerabilidades e capacidades (pessoal preparado ou despreparado).
Natureza e valor dos ativos e recursos (distribuidoras que possuem frotas).
Fatores temporais (chuvas, alagamentos).
Ferramenta bastante utilizada é o FMEA.
6.4.3 - Análise de Riscos:
Técnicas de análise pode ser qualitativas, quantitativas ou combinação destas,
dependendo das circunstâncias e do uso pretendido.
6.4.4 - Avaliação de Riscos:
Comparação dos resultados da análise com os critérios de risco estabelecendo para
determinar onde é necessária ação adicional.
6.5 - Tratamento de Riscos:
6.5.1 - Generalidades:
Selecionar e implementar opções para abordar os riscos.
6.5.2 - Seleção de Opções de Tratamento de Riscos:
Escolher a forma mais apropriada para o tratamento de riscos deve levar em
consideração diversos fatores na organização, em relação aos:
Custos.
Esforço.
Desvantagens da implementação.
6.5.3 - Preparando e Implementando Planos de Tratamento de Riscos:
Opções de tratamento escolhidas serão implementadas de maneira que os arranjos sejam
compreendidos pelo envolvidos, e o progresso em relação ao plano possa ser monitorado
6.6 - Monitoramento e Análise Crítica:
Assegurar e melhorar a qualidade e eficácia da concepção, implementação e dos
resultados dos processos.
6.7 - Registro e Relato:
Documentados e relatados por meio de mecanismos apropriados, dos processos e
resultados.
Comunicar as atividades e resultados.
Fornece informações para a tomada de decisão.
Auxilia a interação com as partes interessadas, incluindo com responsavbilidades e
com responsabilização por atividades de gestão de riscos.