ISO 31000

Prévia do material em texto

CENTRO UNIVERSITÁRIO SALESIANO DE SÃO PAULO – UNISAL/LORENA
ENGENHARIA DA COMPUTAÇÃO
 (9º SEMESTRE)
Assunto: ISO 31000 - Gestão de Risco
Alunos:
Christian Álex Fernandes Barbosa (RA: 150000397)
Lucas Rodrigues da Silva (RA: 150002038)
Ruan de Souza Caetano (RA: 150002081)
	Sara do Nascimento (RA: 150002036) 
Victoria Rocha Vieira (RA: 150002028)
Prof. Henrique Cesar Sampaio
Ergonomia 2 HAHA
Sumário
Introdução	3
Desenvolvimento	3
O que é a ISO 31000?	3
Termos que serão necessários conhecimento	4
Princípios	5
Funcionalidade	6
Estrutura	6
Como implementar Gerência de Riscos?	7
Processo	8
Identificação de riscos	8
Análise de riscos	8
Avaliação de riscos	9
Tratamento de riscos	9
Registros do processo de gestão de riscos	9
Quais são os Benefícios da ISO 31000?	9
Diretrizes	10
Normas ISO 31000	10
8 tópicos importantes da ISO 31000:2018	10
1. O “patrocínio” executivo é fundamental	11
2. Considere os riscos nas decisões de negócios	11
3. Enfatize a implementação adequada	11
4. A gestão de riscos não é de tamanho único	11
5. Seja proativo	11
6. Padronize seu vocabulário	11
7. Use a melhor informação disponível	12
8. Avalie o sucesso	12
Conclusão	13
Referências Bibliográficas	13
	
	Introdução 
	Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tornam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de "risco". 
	Todas as atividades de uma organização envolvem risco. As organizações gerenciam o risco, identificando-o, analisando-o e, em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco. Ao longo de todo este processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido. A Norma ISO 31000 descreve este processo sistemático e lógico em detalhes. Embora todas as organizações gerenciem os riscos em algum grau, esta Norma estabelece um número de princípios que precisam ser atendidos para tornar a gestão de riscos eficaz. 	
	Esta Norma recomenda que as organizações desenvolvam uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em toda a organização. 
	A gestão de riscos pode ser aplicada a toda uma organização, em suas várias áreas e níveis, a qualquer momento, bem como a funções, atividades e projetos específicos. Embora a prática de gestão de riscos tenha sido desenvolvida ao longo do tempo e em muitos setores a fim de atender às necessidades diversas, a adoção de processos consistentes em uma estrutura abrangente pode ajudar a assegurar que o risco seja gerenciado de forma eficaz, eficiente e coerentemente ao longo de uma organização. 
	A abordagem genérica descrita nesta Norma fornece os princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de qualquer escopo e contexto. 
	Desenvolvimento
	O que é a ISO 31000?
	A ISO 31000 é a norma internacional para Gestão de Risco. Ao fornecer princípios e diretivas abrangentes, esta norma ajuda organizações em suas análises e avaliações de riscos. Quer você trabalhe em uma empresa pública, privada ou comunitária, poderá se beneficiar da ISO 31000 pois ela se aplica à maioria das atividades de negócios, incluindo planejamento, operações de gestão e processos de comunicação. Apesar de todas as organizações gerenciarem riscos de alguma maneira, as recomendações de melhores práticas dessa norma internacional foram desenvolvidas para melhorar as técnicas de gestão e garantir a segurança no local de trabalho em todos os momentos.
	Ao aplicar os princípios e diretivas da ISO 31000 em sua organização, você será capaz de melhorar a eficiência operacional, governança e confiança das partes interessadas, minimizando perdas. Esta norma internacional também ajuda você a melhorar o desempenho em saúde e segurança, estabelecer uma base sólida para a tomada de decisões e incentivar a gestão pró-ativa em todas as áreas.
	A Norma, em primeiro momento, não é destinada para fins de certificação. Será sim, para atender às necessidades de uma ampla gama de partes interessadas, tais como os responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações; com a finalidade de assegurar que os riscos serão eficazmente gerenciados na organização como um todo ou em uma área específica, atividade ou projeto específico; bem como aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.
	Termos que serão necessários conhecimento
	1) Risco: efeito da incerteza nos objetivos. 
	O Risco é muitas vezes caracterizado pela referência aos eventos potenciais e às conseqüências, ou uma combinação destes, expressas em termos de uma soma de conseqüências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada. A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua conseqüência ou probabilidade.
	2) Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.
	3) Estrutura da Gestão de Riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização. A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas estratégicas e operacionais de toda a organização.
	4) Política de Gestão de Riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.
	5) Proprietário do Risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco.
 
	6) Processo de Gestão de Riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.
	7) Perfil de Risco: descrição de um conjunto qualquer de riscos. O conjunto de riscos pode conter riscos que dizem respeito a toda a organização, parte da organização, ou referente ao que tiver sido definido.
	8) Análise de Riscos: processo pelo qual se busca compreender a natureza do risco e determinar o nível do mesmo. A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o seu tratamento, incluindo a estimativa de riscos.
	9) Critérios de Risco: termos de referência contra a qual o significado de um risco é avaliado. Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e interno e podendo ser derivados de normas, leis, políticas e outros requisitos.
	10) Nível de Risco: magnitude de um risco, expressa em termos da combinação das conseqüências e de suas probabilidades. 
	11) Avaliação de Riscos: processo de comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. A avaliação de riscos auxilia na decisão sobre o tratamento de riscos
	
	Princípios
	Para a Gestão de Riscos ser eficaz, convém que uma organização, em todos os níveis, atenda aos princípios abaixo descritos. 
	a) A gestão de riscos cria e protege valor:
	A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho referente, por exemplo, à segurança e saúde das pessoas, à segurança, à conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao gerenciamento de projetos, à eficiência nas operações, à governança e à reputação. 
	b) A gestão de riscosé parte integrante de todos os processos organizacionais: 
	A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças. 
	c) A gestão de riscos é parte da tomada de decisões: 
	A gestão de riscos auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação. 
	d) A gestão de riscos aborda explicitamente a incerteza: 
	A gestão de riscos explicitamente leva em consideração a incerteza, a natureza dessa incerteza, e como ela pode ser tratada. 
	e) A gestão de riscos é sistemática, estruturada e oportuna:
	Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos contribui para a eficiência e para os resultados consistentes, comparáveis e confiáveis. 
	f) A gestão de riscos é feita sob medida: 
	A gestão de riscos está alinhada com o contexto interno e externo da organização e com o perfil do risco. 
	g) A gestão de riscos considera fatores humanos e culturais: 
	A gestão de riscos reconhece as capacidades, percepções e intenções do pessoal interno e externo que podem facilitar ou dificultar a realização dos objetivos da organização. 
	Funcionalidade
	As ISO 31000 têm como objetivo fazer com que a organização tenha noções de gestão de risco. Ou seja, além de prever possíveis crises, a empresa deve ter capacidade e confiança para que, caso aconteça alguma situação de crise, ela possa sair com o menor prejuízo possível. Como não é uma norma que possui certificação, a série ISO 31000 procura fazer com que cada organização crie a sua própria gestão de risco de acordo com suas demandas e particularidades, e a faça funcionar de forma eficaz.
	Funciona como uma norma mais geral, e abrange todos os tipos de risco: financeiros, econômicos, crises locais e crises mundiais. Além disso, oferece diretrizes para que a empresa saiba como se comportar e tentar prever o máximo de riscos possíveis.
	Estrutura
	O sucesso da gestão de riscos irá depender da eficácia da estrutura da gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de toda a organização, em todos os níveis.
	A estrutura ajuda a gerenciar riscos de forma eficaz através da aplicação do processo de gestão em diferentes níveis e dentro de contextos específicos na organização. Ela assegura que a informação sobre riscos proveniente desse processo seja adequadamente reportada e utilizada como base para a tomada de decisões em todos os níveis.
	Esta estrutura não pretende prescrever um sistema de gestão, mas sim auxiliar a organização a integrar a gestão de riscos em seu sistema de gestão global. 
	Como implementar Gerência de Riscos?
	Na implementação da estrutura para gerenciar riscos, convém que a organização: 
· Defina a estratégia e o momento apropriado para implementação da estrutura; 
· Aplique a política e o processo de gestão de riscos aos processos organizacionais; 
· Atenda aos requisitos legais e regulatórios; 
· Assegure que a tomada de decisões, incluindo o desenvolvimento e o estabelecimento de objetivos, esteja alinhada com os resultados dos processos de gestão de riscos; 
· Mantenha sessões de informação e treinamento; 
· Consulte e comunique-se com as partes interessadas para assegurar que a estrutura da gestão de riscos continue apropriada;
· Meça o desempenho da gestão de riscos utilizando indicadores, os quais devem ser analisados criticamente, de forma periódica, para garantir sua adequação.
	Processo
	Convém que o processo de gestão de riscos seja parte integrante da gestão, incorporado na cultura e nas práticas, e adaptado aos processos de negócios da organização. 
Processo de gestão de riscos
	Identificação de riscos 
	Convém que a organização identifique as fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e conseqüências potenciais. A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. 
	Análise de riscos 
	A análise de riscos envolve desenvolver a compreensão dos riscos. Ela fornece uma entrada para a avaliação de riscos e para as decisões sobre a necessidade dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento de riscos. A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco. 
	Avaliação de riscos 
	A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado. 
	Tratamento de riscos
	O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes. Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos legais, regulatórios ou quaisquer outros, tais como o da responsabilidade social e o da proteção do ambiente natural. 
	Registros do processo de gestão de riscos 
	Convém que as atividades de gestão de riscos sejam rastreáveis. No processo de gestão de riscos, os registros fornecem os fundamentos para a melhoria dos métodos e ferramentas, bem como de todo o processo. 	Convém que as decisões relativas à criação de registros levem em consideração: 
· a necessidade da organização de aprendizado contínuo; 
· os benefícios da reutilização de informações para fins de gestão; 
· os custos e os esforços envolvidos na criação e manutenção de registros.
	Quais são os Benefícios da ISO 31000?
· Melhora proativamente a eficiência operacional e a governança 
· Constrói a confiança das partes interessadas na sua utilização de técnicas de risco 
· Aplica controles de sistema de gestão à análise de riscos para minimizar perdas 
· Melhora o desempenho e a resiliência do sistema de gestão 
· Responde às mudanças de forma eficaz e protege a sua empresa conforme ela cresce 
· As ISO 31000 não possuem certificação, mas a sua implementação ainda assim traz muitas vantagens à empresa. Pela simples construção, monitoramento e funcionamento de uma gestão de riscos, a empresa já possui certa credibilidade, não só no mercado, mas também entre clientes e parceiros. Processos de informação e administração tendem a melhorar. Além disso, a norma também envolve os colaboradores, o que aumenta ainda mais a participação do público interno no sistema de gestão de risco.
· Em caso de crise, a empresa pode aliviar bastante os danos graças à gestão de risco implementada, além de poder estar um passo à frente de outros tipos de riscos que podem atingir a empresa. A noção que a empresa passa a ter oferece respaldo para quando ela precisa decidir se vale a pena correr um risco ou aceitá-lo para ter novas oportunidades. Essa noção também é um dos benefícios gerados pela norma 31000.
	
	Diretrizes
	A ISO 31000 não tem critérios de certificação, pois não é uma norma que foi desenvolvida com essa intenção. Ainda assim, possui diretrizes, guias e orientações para que as empresas possam desenvolver a sua gestão de riscos específica. Entre as diretrizes sobre gestão de riscos temos:
· A noção sobre riscos e as oportunidades da empresa.
· Remoção de fontes de risco.
· Alteração de conseqüências e probabilidades.
· Atualização constante das informaçõessobre riscos.
	As normas possuem muito mais informações para guiar as organizações por um caminho mais eficaz de gestão de risco.
	Normas ISO 31000
	A família ISO 31000 é composta por três normas, todas elas guias que procuram orientar a empresa na construção ou manutenção de uma gestão de riscos. São normas correspondentes:
· ISO 31000 – Informações básicas, princípios e diretrizes para a implementação da gestão de riscos.
· ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos.
· ISO Guia 73 – Vocabulário relacionado à gestão de riscos.
	
	8 tópicos importantes da ISO 31000:2018
	Embora a ISO 31000:2018 esteja longe de ser o único documento que cobre o gerenciamento de riscos corporativos, seria difícil encontrar um conjunto mais sucinto de princípios para implementar e avaliar um processo de gestão de riscos. Mas a brevidade não é apenas o único benefício deste documento. Abaixo estão oito dos principais tópicos da ISO 31000:2018.
	1. O “patrocínio” executivo é fundamental
	O documento inclui uma linguagem clara sobre a importância de uma liderança forte e compromisso com o programa de gerenciamento de risco. Os executivos devem garantir que o processo de gerenciamento de riscos esteja totalmente integrado em todos os níveis da organização e fortemente alinhado com os objetivos, estratégia e cultura.
	2. Considere os riscos nas decisões de negócios
	A ISO 31000:2018 também inclui um lembrete de que os conselhos são responsáveis ​​por garantir que os riscos recebam a devida consideração quando as decisões estão sendo tomadas, uma vez que esses riscos podem afetar a capacidade da organização de agregar valor.
	3. Enfatize a implementação adequada
	Os conselhos também precisam garantir que o processo de gerenciamento de riscos seja implementado adequadamente e que os controles tenham o efeito pretendido. Os diretores podem não ter o domínio adequado para compreender totalmente o significado e o impacto que os riscos apresentam à organização. Nesses casos, eles devem contratar um consultor externo para fornecer o contexto e garantir que as ações da gerência estejam alinhadas com a importância estratégica do assunto.
	4. A gestão de riscos não é de tamanho único
	O documento tem uma clara articulação da gestão de riscos como um processo cíclico, com amplo espaço para personalização e aprimoramento. Mas, em vez de prescrever uma abordagem de tamanho único, o documento da ISO aconselhou a alta liderança a personalizar suas recomendações para a organização – em particular, seu perfil de risco, cultura e apetite de risco.
	5. Seja proativo
	Embora o documento não aborde especificamente alguns tipos de riscos, ele fornece uma orientação poderosa para ajudar os executivos a adotar uma postura proativa em relação ao risco e garantir que o gerenciamento de riscos seja integrado a todos os aspectos da tomada de decisões em todos os níveis da organização. Isso inclui continuidade de negócios, conformidade, gerenciamento de crises, RH, TI e resiliência organizacional.
	6. Padronize seu vocabulário
	O documento fornece uma linguagem comum com definições simples e descomplicadas de riscos, eventos, conseqüências e probabilidade. 
	Os gestores devem alinhar o uso dos termos para garantir que as comunicações estejam ocorrendo sem o obstáculo da linguagem complexa. Se uma métrica é muito complexa, ela não deve ser compartilhada com destaque. No entanto, ainda pode ser útil como parte de uma métrica maior que represente linhas de tendência na integridade e na resiliência global da organização.
	7. Use a melhor informação disponível
	Grande parte da gestão de risco está centrada na melhor informação disponível, com toda a ambigüidade e imperfeições que o termo implica. Em vez de procurar apenas compartilhar informações de risco absoluto, os gestores devem adotar esse entendimento nebuloso e refletir sobre os dados que fornecem para solidificar seu papel como consultores eficazes para os negócios.
	8. Avalie o sucesso
	As diretrizes também enfatizam o valor da medição, avaliação e melhoria do próprio sistema de gerenciamento de risco. A ideia não é acertar tudo na primeira vez, mas melhorar a cada vez que o ciclo é concluído. Mesmo os dados de risco imperfeitos podem ser úteis, desde que sejam apresentados junto com uma linha do tempo mostrando uma tendência. Em última análise, os relatórios de riscos devem fornecer informações de qualidade aos executivos.
	
	Conclusão
	As organizações que gerenciam riscos de maneira eficaz têm mais possibilidades de se proteger e de serem bem-sucedidas na expansão de seus negócios. O desafio de qualquer empresa é integrar boas práticas em suas operações diárias e aplicá-las aos aspectos mais amplos de sua prática organizacional. Atualmente nas organizações, os departamentos agem isoladamente, avaliando os seus riscos, por meio de diversas ferramentas, dessa forma, o propósito fundamental da norma será que as organizações desenvolvam, programem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, na estratégia e planejamento, na gestão, nos processos de reportar dados e resultados, nas políticas, valores e cultura de toda a organização.
	Portanto, a característica chave da Norma NBR-ISO 31000 será a inclusão do contexto como uma atividade no início do processo genérico de gestão de riscos.
	Referências Bibliográficas
· https://iso31000.net/norma-iso-31000-de-gestao-de-riscos/
· http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos
· https://gestravp.files.wordpress.com/2013/06/iso31000-gestc3a3o-de-riscos.pdf
· https://www.bsigroup.com/pt-BR/ISO-31000-Gestao-de-Risco/
· https://blog.softexpert.com/8-topicos-importantes-iso-31000-versao-2018/
· https://www.normastecnicas.com/iso/serie-iso-31000/
· http://www.administradores.com.br/artigos/tecnologia/nbr-iso-31000-gestao-de-riscos-principios-e-diretrizes/35284/
· https://computerworld.com.br/2018/02/20/nova-versao-da-norma-iso-31000-gestao-de-riscos-inclui-crimes-ciberneticos/
13