norma iso 31000

1

1

A NORMAISO 31000:2009

Gestão de Riscos: Princípios e Diretrizes

Prof. ROGERSEng° Mecânico, Eng° Segurança do Trabalho, Eng° Qualidade,

IPMA Certified Project Management Associate

THERSA

2

A Norma ISO 31.000 Norma ISO 31000:2009 Risk management - principles and

guidelines (Gestão de riscos - princípios e diretrizes); Publicada em 13/11/2009; Abrangente e convergente; No Brasil, a ABNT criou a Comissão de Estudo Especial de

Gestão de Riscos (CEE-63); e publicou a NBR ISO 31000 em 30/11/2009.

THERSA

2

3

Os DestinatáriosA quem se endereça a NBR ISO 31000:

a) Responsáveis pelo desenvolvimento da Política de Gestão deRiscos no âmbito de suas organizações;

b) Responsáveis por assegurar que os riscos são gerenciados demodo eficaz na organização como um todo ou em um setor,atividade ou projeto específicos;

c) Quem precisa avaliar a eficácia de uma organização nogerenciamento de riscos;

d) Desenvolvedores de normas, guias, procedimentos e códigosde práticas que, no todo ou em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico dessesdocumentos.

THERSA

4

O Escopo da Norma ISO 31000

PRINCÍPIOSPRINCÍPIOS

ESTRUTURA PARA GERENCIAR

RISCOS

(Framework)

ESTRUTURA PARA GERENCIAR

RISCOS

(Framework)

PROCESSOS ..PARA..

GERENCIAR RISCOS

PROCESSOS ..PARA..

GERENCIAR RISCOS

THERSA

3

5

Os Princípios1. Criar valor para os processos da organização; 2. Ser parte integrante de quaisquer processos da organização;3. Integrar os processos decisórios;4. Responder às incertezas explicitadas;5. Processo deve ser estruturado e sistemático (retroalimentado);6. Basear-se na melhor informação disponível no momento;7. Ser customizada: a relação custo-benefício deve ser

balanceada;8. Considerar o fator humano, valorizando a expertise,

conhecimento, experiência e abordagem lógico-intuitiva emcontraste à mera aplicação de tecnologia;

THERSA

6

Os Princípios (continuação)

9. Zelar pela transparência e inclusão das partes interessadas;10. Ser dinâmica, interativa e responder às mudanças;11. Promover a melhoria contínua em seus processos

organizacionais.

THERSA

4

7

A Estrutura da Gestão de Riscos THERSA

8

4.2. Mandato e Comprometimento:Atributos da Alta Direção:

Articular e endossar a Política de Gestão de Riscos; Determinar que os Indicadores de Desempenho GR sejam alinhados

aos Indicadores de Desempenho organizacionais; Garantir o alinhamento dos objetivos GR aos objetivos e estratégias

da organização; Assegurar a conformidade com os requisitos legais e

regulamentares; Designar responsabilidades gerenciais e também nos respectivos

níveis dentro da organização; Assegurar que os recursos necessários serão alocados ao GR; Comunicar os benefícios do GR às partes interessadas; Assegurar a manutenção da Estrutura de Gestão de Riscos.


5

9

4.3. Concepção da Estrutura para Gerenciar Riscos:4.3.1 Entendimento da Organização e seu contexto: Compreender o contexto interno e externo da organização.Aspectos do Contexto Externo incluem: Ambiente cultural, político, legal, regulamentar, financeiro,

tecnológico, econômico, material e competitivo. Seja internacional, nacional, regional ou local;

Cenários e tendências que vem impactando os objetivos da empresa; Percepções e valores das partes interessadas externas.Aspectos do Contexto Interno incluem: Capacidades em termos de recursos e conhecimentos; Sistemas de fluxo de informação e processos de tomada de decisões

(formais e informais); Partes interessadas internas;


10

4.3.1 Entendimento da Organização e seu contexto (continuação):Aspectos do Contexto Interno incluem (continuação): Políticas, objetivos e estratégias adotadas para alcançá-las; Percepções, valores e cultura interna; Padrões e modelos de referência adotadas pela empresa; Estruturas (governança corporativa, etc).

4.3.2 Estabelecimento da Política de Gestão de Riscos:Deve esclarecer os objetivos da organização p/ GR e especificar: Relação entre a Política GR e os objetivos e outras políticas da

organização; Tolerância organizacional e responsabilidades para gerenciar riscos; Modo de resolução de conflitos de interesses; Apetite ou aversão ao risco (específico) pela organização;


6

11

4.3.2 Estabelecimento da Política G.Riscos (continuação):Deve esclarecer os objetivos da org. p/ GR e especificar (continuação): Processos, métodos e ferramentas utilizadas para gerenciar riscos; Recursos disponíveis para auxiliar os responsáveis pela GR; O método pelo qual o desempenho da gestão de riscos será

mensurado e reportado; Compromisso de revisão periódica e verificação da Política GR, sua

Estrutura e Melhoria Contínua.

4.3.3 Responsabilidade:

A organização deve garantir a responsabilidade e autoridade para gerenciar riscos, incluindo a implementação e manutenção do Processode Gestão de Riscos; bem como a garantia, adequação e eficácia dequaisquer controles de riscos, facilitados através de:


12

4.3.3 Responsabilidade (continuação): Determinar quem é responsável pelo desenvolvimento,

implementação e manutenção da Estrutura GR; Determinar quem são os Donos dos Riscos, a fim de implementar as

respostas e manter os controles de riscos. Reportando informações relevantes;

Estabelecer relatórios de desempenho interno e externo e escalonamento do processo;

Assegurar níveis adequados de reconhecimento, recompensa, aprovação e sanção (penalidades).

4.3.4 Integração nos processos organizacionais:A GR deve estar incluída em todos os processos da organização paraque seja relevante, efetiva e eficiente. Particularmente, a GR deve serincluída na Política de Desenvolvimento, Planejamento Estratégico enos Processos de Gerenciamento de Mudanças.


7

13

4.3.5 Recursos: Pessoas, habilidades, experiências e competências; Recursos necessários para cada etapa do Processo GR; Processos e procedimentos DOCUMENTADOS; Sistemas de Informação e de gestão do conhecimento.

4.3.6 Estabelecimento de Mecanismos de Comunicação e Reporte Internos:

A fim de assegurar: Os componentes-chave da Estrutura GR e as subsequentes

modificações sejam comunicadas de modo apropriado; Ocorra o reporte adequado e efetivo na Estrutura GR; A informação relevante seja disponibilizada aos níveis apropriados; Haja processos de consulta com as partes interessadas internas.


14

4.3.7 Estabelecimento de Mecanismos de Comunicação e Reporte Externos:

Os quais devem envolver: Engajamento das partes interessadas externas que sejam

adequadas, assegurando a efetiva troca de informações; Reportar externamente em conformidade com os requisitos legais,

regulamentares e de governança corporativa; Comunicar descobertas quando requeridas; Prover feedback e reporte na comunicação e consulta; Usar a comunicação para consolidar a confiança na organização; Comunicar as partes interessadas no caso da ocorrência de um

evento de crise ou de uma contingência.


8

15

4.4. Implementação da Gestão de Riscos:4.4.1 Implementação da Estrutura para Gerenciar Riscos:A organização deve: Determinar um ritmo e estratégia de implementação da Estrutura GR; Aplicar a Política GR e seus processos aos processos

organizacionais existentes; Assegurar conformidade aos requisitos legais e regulamentares; Documentar as justificativas das tomadas de decisão, incluindo o

desenvolvimento e preparação dos objetivos alinhados com as saídas do Processo GR;

Armazenar a informação e treinar os setores; Comunicar e consultar as partes interessadas para garantir que a

Estrutura GR continua adequada.


16

4.4. Implementação da Gestão de Riscos:4.4.2 Implementação do Processo para Gerenciar Riscos: O gerenciamento de riscos é implementado pela garantia

de que o Processo GR é aplicado em todos os níveis e funções relevantes da organização, como parte das práticas e processos de negócios organizacionais.


9

17

4.5. Monitoramento e Análise Crítica da Estrutura:

A fim de garantir que a GR é efetiva e continua a sustentar o desempenhoda organização, a organização deve:

Estabelecer medidas de desempenho; Medir periodicamente o realizado, comparando com o planejado e

reportando desvios do Plano de Gerenciamento de Riscos; Rever periodicamente se a Estrutura, a Política e o Plano GR ainda

são adequados aos contextos interno e externo da organização; Reportar o progresso no Plano GR para os riscos identificados e

assegurar que a Política GR está sendo obedecida; Revisar a efetividade da Estrutura GR.


18

4.6. Melhoria Contínua da Estrutura:Baseada nas revisões, promover melhorias: Na Estrutura da Gestão de Riscos; Na Política de Gestão de Riscos; No Plano de Gerenciamento de Riscos.


10

19

O Processo da Gestão de Riscos THERSA

20

5.2. Comunicação e Consulta com as Partes Interessadas: comunicação interna (endomarketing) e externa.

5.3. Estabelecimento do Contexto Estratégico: Como a organização pensa a gestão de riscos em relação aos seus

objetivos estratégicos? Como as variáveis externas não controláveis afetam os objetivos

estratégicos? Com a Política GR define a Estrutura e a(s) Metodologia(s)?

5.4. Processo de Avaliação de Riscos:5.4.2 Identificação de Riscos: Identificar e listar os riscos; Identificar os fatores de riscos que potencializam a concretização do

risco;


11

21

5.4.2 Identificação de Riscos (continuação): Avaliar os fatores de riscos: Análise SWOT e/ ou Matriz de Impacto

Cruzada.

5.4.3 Análise de Riscos: Determinar os critérios universais; Classificar os riscos; Definir a matriz de probabilidade e impacto (matriz de riscos).

5.4.4 Avaliação dos Riscos: Determinar os Grau de Criticidade de cada risco em função do

apetite ou aversão da empresa em relação ao risco avaliado; Priorizar os riscos de acordo com os quadrantes da Matriz de Riscos.


22

5.5. Tratamento de Riscos: Decisão de tratar, aceitar, transferir, explorar ou rejeitar os riscos; Definir Plano de Ação: preventivo, detectivo ou contingencial.

5.6. Monitoramento e Análise Crítica: Criar indicadores de controle de riscos para avaliar mudanças dos

fatores de riscos.

5.7. Registro e Rastreabilidade do Processo de Gestão de Riscos:Decisões relativas à criação de registros devem considerar: Benefícios de reutilização da informação p/ propósitos gerenciais; Custos envolvidos na criação e manutenção de registros; Requisitos regulamentares, legais e operacionais dos registros; Método de acesso, recuperação e armazenamento de mídias; Período de retenção e sensibilidade da informação.


12

23

Prováveis impactos oriundos da implantação dos requisitos da Família de Normas ISO 31000:

Tendência de baixa tolerância a riscos por parte do mercado; Valorização do Gerenciamento de Projetos, particularmente os

processos de planejamento; Valorização do Escritório G.Projetos (PMO) na empresa; Valorização do Gerenciamento Estratégico de Projetos,

Programas e Portfólios; Quebra de paradigmas: troca do primeiro pelo segundo viés

Viés técnico: foco no uso ferramentas de análise de riscos; Viés humano: foco na investigação sistêmica de riscos (detetive);

Mudança de paradigma para as Auditorias de Gestão de Riscos: Conceito de “evidência” -» documentos do planejamento do

projeto.

CONCLUSÕES THERSA

24

PERGUNTAS? THERSA

norma iso 31000

Documents