Text page

A gestão de riscos nas empresas

Como deve ser feita a integração da gestão de riscos? Como deve ser executada a implementação da estrutura de gestão de riscos? O que envolve o processo de gestão de riscos? Qual o propósito da identificação de riscos? Qual o propósito do monitoramento e análise crítica? Essas perguntas estão sendo mostradas no texto sobre as diretrizes para a gestão de riscos.

11/04/2018 - Equipe Target

NBR ISO 31000 de 03/2018: as diretrizes para a gestão de risco

A NBR ISO 31000 de 03/2018 - Gestão de riscos - Diretrizes fornece diretrizes para gerenciar riscos enfrentados pelas organizações. A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto. Este documento fornece uma abordagem comum para gerenciar qualquer tipo de risco e não é específico para qualquer indústria ou setor. Este documento pode ser usado ao longo da vida da organização e aplicado a qualquer atividade, incluindo a tomada de decisão em todos os níveis.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a integração da gestão de riscos?

Como deve ser executada a implementação da estrutura de gestão de riscos?

O que envolve o processo de gestão de riscos?

Qual o propósito da identificação de riscos?

Qual o propósito do monitoramento e análise crítica?

Este documento é para uso por pessoas que criam e protegem valor nas organizações, gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o desempenho. As organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e internos que tornam incerto se elas alcançarão seus objetivos. Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas.

Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão. Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas.

Risco

Clique na imagem acima para uma melhor visualização

Gerenciar riscos considera os contextos externo e interno da organização, incluindo o comportamento humano e os fatores culturais. Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento, como ilustrado na figura. Estes componentes podem já existir total ou parcialmente na organização. Contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente.

O propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos. Os princípios fornecem orientações sobre as características da gestão de riscos eficaz e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os princípios são a base para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura e os processos de gestão de riscos da organização.

Convém que estes princípios possibilitem uma organização a gerenciar os efeitos da incerteza nos seus objetivos. A gestão de riscos eficaz requer os elementos descritos e pode ser explicada como a seguir. Ela é parte integrante de todas as atividades organizacionais, tem uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis.

A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos. O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada.

Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna. As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras.

A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes. O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de riscos em cada nível e estágio.

A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências. O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interessadas, em particular da Alta Direção.

O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da organização. Convém que a organização avalie suas práticas e processos existentes de gestão de riscos, avalie quaisquer lacunas e aborde estas lacunas no âmbito da estrutura. Convém que os componentes da estrutura e o modo como funcionam em conjunto sejam personalizados para as necessidades da organização.

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento por: personalizar e implementar todos os componentes da estrutura; emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos; assegurar que os recursos necessários sejam alocados para gerenciar riscos; atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização.

Isto vai ajudar a organização a: alinhar a gestão de riscos com seus objetivos, estratégia e cultura; reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários; estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas; comunicar o valor da gestão de riscos para a organização e suas partes interessadas; promover o monitoramento sistemático de riscos; assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.

O termo accountability foi traduzido como responsabilização com o sentido de responsabilidade por atribuições e atos, ou seja, por prestar contas. Assim, o termo accountable é entendido como responsabilizado. A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são responsabilizados por supervisionar a gestão de riscos.

Com frequência, é requerido ou esperado que os órgãos de supervisão: assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização; compreendam os riscos aos quais a organização está exposta na busca de seus objetivos; assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente; assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização; assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada.

A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização. O risco é gerenciado em todas as partes da estrutura da organização. Todos na organização têm responsabilidade por gerenciar riscos.

A governança orienta o rumo da organização, suas relações externas e internas, e as regras, processos e práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho sustentável e viabilidade a longo prazo. Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização.

Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, estratégia, objetivos e operações. Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno.

Examinar o contexto externo da organização pode incluir, mas não está limitado a: fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; direcionadores-chave e tendências que afetem os objetivos da organização; relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; relações e compromissos contratuais; complexidade das redes de relacionamento e dependências.

Examinar o contexto interno da organização pode incluir, mas não está limitado a: visão, missão e valores; governança, estrutura organizacional, papéis e responsabilizações; estratégia, objetivos e políticas; cultura da organização; normas, diretrizes e modelos adotados pela organização; capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); dados, sistemas de informação e fluxos de informação; relacionamentos com partes interessadas internas, levando em consideração suas percepções e valores; relações contratuais e compromissos; interdependências e interconexões.

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização.

Convém que o comprometimento inclua, mas não se limite a: o propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; reforçar a necessidade de integrar a gestão de riscos na cultura global da organização; liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; autoridades, responsabilidades e responsabilizações; tornar disponíveis os recursos necessários; a maneira pela qual os objetivos conflitantes são tratados; medição e relato no âmbito dos indicadores de desempenho da organização; análise crítica e melhoria.

Convém que o comprometimento com a gestão de riscos seja comunicado na organização e às partes interessadas, como apropriado. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que: enfatizem que a gestão de riscos é uma responsabilidade principal; identifiquem indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos riscos).

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem a alocação de recursos apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a: pessoas, habilidades, experiência e competência; processos, métodos e ferramentas da organização a serem usados na gestão de riscos; processos e procedimentos documentados; sistemas de gestão da informação e do conhecimento; necessidades de treinamento e desenvolvimento profissional. Convém que a organização considere as capacidades e restrições dos recursos existentes.

Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos. A comunicação envolve compartilhar informação com públicos-alvo. A consulta também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá para as decisões e sua formulação ou outras atividades.

Convém que os métodos e conteúdo da comunicação e consulta reflitam as expectativas das partes interessadas, onde for pertinente. Convém que a comunicação e a consulta sejam oportunas e assegurem que a informação pertinente seja coletada, consolidada, sintetizada e compartilhada, como apropriado, e que o retorno seja fornecido e as melhorias sejam implementadas.

Para a implementação, convém que a organização implemente a estrutura de gestão de riscos por meio de: desenvolvimento de um plano apropriado, incluindo prazos e recursos; identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por quem; modificação dos processos de tomada de decisão aplicáveis, onde necessário; garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados.

A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão, enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à medida que ela surja. Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que o processo de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as mudanças nos contextos externo e interno serão adequadamente capturadas.

FONTE: Equipe Target

Baseado nos documentos visitados

Normas recomendadas para você

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Sistemas de gestão da qualidade - Fundamentos e vocabulário
NBRISO9000 de 09/2015

Sistemas de gestão da qualidade - Fundamentos e vocabulário

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos
NBRISO22301 de 06/2020

Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Gestão de riscos - Diretrizes
NBRISO31000 de 03/2018

Gestão de riscos - Diretrizes

Sistemas de gestão da qualidade - Requisitos
NBRISO9001 de 09/2015

Sistemas de gestão da qualidade - Requisitos

Diretrizes para a documentação de sistema de gestão da qualidade.
ABNT ISO/TR10013 de 07/2021

Diretrizes para a documentação de sistema de gestão da qualidade.

Sistemas de gestão ambiental - Requisitos com orientações para uso
NBRISO14001 de 10/2015

Sistemas de gestão ambiental - Requisitos com orientações para uso

Gestão de riscos - Vocabulário
ABNT ISO GUIA73 de 11/2009

Gestão de riscos - Vocabulário

Gestão de projetos, programas e portfólio - Orientação sobre gestão de programas
NBRISO21503 de 12/2017

Gestão de projetos, programas e portfólio - Orientação sobre gestão de programas

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Gestão de riscos — Guia para implementação da ABNT NBR ISO 31000
ABNT ISO/TR31004 de 10/2015

Gestão de riscos — Guia para implementação da ABNT NBR ISO 31000

Sistemas de gestão antissuborno - Requisitos com orientações para uso
NBRISO37001 de 03/2017

Sistemas de gestão antissuborno - Requisitos com orientações para uso

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Produtos para saúde — Aplicação de gerenciamento de risco a produtos para saúde
NBRISO14971 de 07/2020

Produtos para saúde — Aplicação de gerenciamento de risco a produtos para saúde

Gestão de riscos - Técnicas para o processo de avaliação de riscos
NBRISO/IEC31010 de 08/2021

Gestão de riscos - Técnicas para o processo de avaliação de riscos

Diretrizes para auditoria de sistemas de gestão
NBRISO19011 de 12/2018

Diretrizes para auditoria de sistemas de gestão

Gerenciamento de riscos em projetos — Princípios e diretrizes gerais
NBR16337 de 04/2020

Gerenciamento de riscos em projetos — Princípios e diretrizes gerais

Sistemas de prevenção e proteção contra explosão - Gerenciamento de riscos de explosões
NBR15662 de 01/2009

Sistemas de prevenção e proteção contra explosão - Gerenciamento de riscos de explosões