INTERNACIONAL NORMA. ISO Primera edição Gestão de Riscos - Princípios e Diretrizes. Introdução

Transcrição

1 INTERNACIONAL NORMA ISO Primera edição Gestão de Riscos - Princípios e Diretrizes Introdução Organizações de todos os tipos e tamanhos de fatores internos e externos e influências que tornam incerto, e quando eles vão atingir seus objetivos. O efeito que isso tem sobre a incerteza dos objetivos de uma organização "em risco". Todas as atividades de uma organização que envolve risco. Organizações de gestão de riscos, identificando-o, em seguida, analisar e avaliar se o risco deve ser modificado pelo tratamento do risco, a fim de satisfazer os seus critérios de risco. Durante todo este processo, a comunicação e a consulta das partes interessadas e acompanhamento e avaliação de riscos e controles que estão mudando o risco, a fim de evitar qualquer risco requer tratamento. Esta Norma descreve o processo sistemático e lógica em detalhes. Embora todas as organizações de gestão de risco, em certa medida, esta norma internacional prevê um conjunto de princípios que devem ser atendidos antes gestão eficaz dos riscos. Esta Norma recomenda que as organizações devem desenvolver, implementar e melhorar continuamente um quadro que visa integrar o processo de gestão de risco na gestão global da organização, planejamento e estratégia, gestão, processos de informação, políticas, valores e cultura. A gestão do risco pode ser aplicado a uma organização inteira, em suas áreas e níveis, a qualquer momento, assim como para tarefas específicas, projetos e atividades. Embora a prática da gestão de risco tem sido desenvolvido ao longo do tempo e em muitos setores, para atender as diversas necessidades, a adoção de processos consistentes dentro de um quadro global pode ajudar a garantir que o risco é gerido de forma eficaz, eficiente e consistente em toda a organização. A abordagem genérica descritas nesta declaração estabelece princípios e diretrizes para a gestão de qualquer forma de risco de forma sistemática, transparente e credível e em qualquer situação e contexto. Setor específico ou a aplicação de gestão de risco implica necessidades individuais, a percepção do público e dos critérios. Portanto, uma característica-chave

2 deste padrão internacional é a inclusão de "definição do contexto como uma atividade que, no início deste processo genérico de gestão de risco. Estabelecer o contexto capta os objetivos da organização, o ambiente na prossecução destes objetivos, os atores e da diversidade de critérios de risco - todos os quais ajudam a revelar e apreciar a natureza e complexidade de seus riscos. A relação entre os princípios de gestão de risco, o quadro em que ocorre e risco processo de gestão descritas nesta Norma Internacional são mostrados na Figura 1. Quando implementados e mantidos de acordo com esta norma internacional, a gestão de risco permite que uma organização, por exemplo:

3 aumentar a probabilidade de atingir os objetivos; promover uma gestão pró-ativa; estar ciente da necessidade de identificar e tratar os riscos em toda a organização; melhorar a identificação de oportunidades e ameaças; cumprir os requisitos legais e regulamentares e as normas internacionais; melhorar as informações obrigatórias e voluntárias; melhorar a governação; melhorar a confiança dos interessados e confiança; fornecer uma base confiável para a tomada de decisão e planejamento; melhorar os controles; alocar e utilizar recursos de forma eficaz para o tratamento de riscos; melhorar a eficácia operacional e eficiência; melhorar a proteção da saúde e segurança e meio ambiente; melhorar a prevenção de perdas e gestão de incidentes; minimizar as perdas; melhorar a aprendizagem organizacional, e aumentar a resiliência da organização. Esta regra destina-se a atender às necessidades de uma vasta gama de interessados, incluindo: a) os responsáveis pela formulação de políticas de gestão de risco dentro da sua organização; b) responsável por garantir que os riscos sejam geridos de forma eficaz dentro da organização como um todo ou dentro de uma área específica, projeto ou atividade; c) necessidade de avaliar a eficácia de uma organização em gestão de riscos e; d) os desenvolvedores de normas, diretrizes, procedimentos e códigos de conduta, no todo ou em parte, ao estabelecer como risco está a ser gerido no contexto específico desses documentos. As atuais práticas de gestão e processos de muitas organizações, incluindo os componentes de gestão de risco, e muitas empresas já adotaram um processo formal de gestão de risco para certos tipos de risco ou circunstâncias. Em tais casos, uma organização pode decidir realizar uma revisão crítica de suas práticas e processos, à luz desta norma internacional. Nesta Norma, as expressões "gestão de risco" e "gestão de risco" são usados. Globalmente, "gestão de risco" se refere à arquitetura (princípios, estruturas e processos) para gerir o risco eficazmente, enquanto a "gestão de risco" refere-se à implementação desta arquitetura a certos riscos. Gestão de Riscos - Princípios e Diretrizes 1 Ãmbito

4 Esta norma internacional estabelece princípios e diretrizes para o gerenciamento de risco genérico. Esta Norma pode ser utilizado por qualquer instituição pública, particular ou empresa da comunidade, grupo ou indivíduo. Portanto, esta Norma não é específico para qualquer indústria ou setor. NOTA: Para maior comodidade, todos os diferentes utilizadores desta Norma são referidas pelo termo geral "Organização". Esta Norma pode ser aplicada em toda a vida de uma organização e para uma ampla gama de atividades, incluindo estratégias e decisões, operações, processos, funções, projetos, produtos, serviços e bens. Esta Norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, sejam elas positivas ou negativas consequências. Embora esta Norma fornece orientações genéricas, que não se destina a promover a uniformidade das organizações de gestão de risco. A concepção e implementação de planos de gestão de risco e quadros terão de ter em conta as diferentes necessidades de uma organização específica, nomeadamente os seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou bens específicos e práticas empregadas. Pretende-se que esta Norma será utilizada para harmonizar os processos de gestão de risco nos padrões atuais e futuros. Fornece uma abordagem comum em apoio das regras relativas a riscos específicos e / ou setores, e não substituem as normas. Esta Norma não se destina para fins de certificação Definições Risco

5 Efeito da incerteza sobre os objetivos NOTA 1: Um efeito é um desvio do esperado - positivos e / ou negativos. NOTA 2: podem ter aspectos diferentes (por exemplo, a saúde financeira e de segurança, e os objetivos ambientais) e pode ser aplicado a diferentes níveis (como estrategicamente em toda a organização, projeto, produto e processo). NOTA 3: O risco é muitas vezes caracterizado por referência a eventos potenciais (2,17) e conseqüências (2,18), ou uma combinação. NOTA 4: O risco é frequentemente expressa em termos de uma combinação das conseqüências de um evento (incluindo as alterações nas circunstâncias) e probabilidade associada (2,19) de ocorrência. NOTA 5: A incerteza é o Estado, mesmo que parcial, da carência de informações relacionadas à compreensão ou ao conhecimento de um caso, sua conseqüência ou de mera semelhança. Estrutura da Gestão de Risco Conjunto de componentes que fornecem as bases e formas de organização para projetar, executar, controlar (2,28), revisão e melhoria contínua da gestão de risco (2,2) em toda a organização NOTA 1: Os termos incluem a política, os objetivos, o mandato e compromisso com a gestão de risco (2,1). NOTA 2: Os acordos incluem planos de organização, os relacionamentos, responsabilidades, recursos, processos e atividades. Nota 3: A estrutura de gestão do risco é incorporado no âmbito das políticas estratégicas e operacionais da organização global e suas práticas. Atitude em relação ao risco Foco da organização para avaliar e, eventualmente, continuar, manter ou longe de assumir riscos (2,1) Plano de Gestão Regime no contexto da gestão de risco (2,3) especificando a abordagem, a gerência de componentes e recursos a serem aplicados à gestão do risco (2,1)

6 NOTA 1: Os componentes geralmente incluem procedimentos de gestão, práticas de atribuição de responsabilidades, a seqüência eo calendário de atividades. NOTA 2: O plano de gerenciamento de risco pode ser aplicado a um produto, processo e projeto, e parte ou a totalidade da organização. Gestão de Risco A aplicação sistemática de políticas de gestão, procedimentos e práticas para actividades de comunicação, consultoria, criação do contexto e da identificação, análise, avaliação, tratamento, acompanhamento (2,28) ea análise de risco (2,1 ) Estabelecer o contexto A definição de parâmetros internos e externos de ser tidos em conta na gestão dos riscos, e estabelece o âmbito e os critérios de risco (2,22) para a política de gestão de risco (2,4) Ambiente externo Ambiente externo em que a organização pretende atingir os seus objetivos NOTA: ambiente externo podem incluir: A culturais, sociais, políticas, legais, regulamentares, financeiros, tecnológicos, económicos, naturais e competitivo, quer a nível internacional, nacional, regional ou local; fatores-chave e tendências de impacto sobre os objetivos da organização e com as relações e as percepções. Contexto Interno Ambiente interno no qual a organização pretende atingir os seus objetivos NOTA: contexto nacional podem incluir: governança, estrutura organizacional, funções e responsabilidades; As políticas, objetivos e estratégias são utilizados para realizar; A competência, entendida em termos de recursos e conhecimento (capital, por exemplo, tempo, pessoas, processos, sistemas e tecnologias);

7 sistemas de informação, fluxos de informação e tomada de decisão (formais e informais); As relações e as percepções e valores, as partes internas; cultura organizacional; normas, orientações e modelos adoptados pela organização, e A forma e o âmbito das relações contratuais. Comunicação e consulta Processo contínuo e interativo que uma organização realiza a fornecer, partilhar e obter informações e para dialogar com as partes interessadas (2,13) em relação à gestão de risco (2,1) NOTA 1: As informações podem referir-se à existência, à natureza, a forma, a probabilidade (2,19), o significado, avaliação, aceitação e tratamento de gestão de risco. NOTA 2: A consulta é um processo de duas vias de comunicação informou entre uma organização e seus públicos de interesse sobre um assunto antes de tomar uma decisão ou determinar um rumo sobre esta questão. A consulta é: um processo que afeta a decisão da influência, em vez de poder, e um contributo para a tomada de decisões, e não a decisão conjunta tomada de decisões. Interessados (Stackholder) Pessoa ou organização que podem afetar, ser afetado por ou perceber-se afetado por decisão ou atividade NOTA: A tomada de decisão pode ser uma das partes interessadas. A identificação dos riscos Processo de encontrar, reconhecer e descrever os riscos (2,1) Nota 1: A identificação dos riscos envolve a identificação das fontes de risco (2,16), eventos (2,17), suas causas e possíveis conseqüências (2,18). NOTA 2: Identificação de risco podem incluir dados históricos, análise teórica e opiniões de especialistas e das partes interessadas (2.13) precisa. Fonte de risco

8 Elemento que, individualmente ou em associação tem o potencial para dar origem a risco intrínseco (2,1) NOTA Uma fonte de risco podem ser tangíveis ou intangíveis. Evento A aparência ou a mudança de um determinado conjunto de circunstâncias NOTA 1: Um evento pode ser um ou mais casos, e pode ter várias causas. Nota 2: Um evento pode ser algo que não acontece. Nota 3: Um evento pode às vezes ser referido como um "incidente" ou "acidente". NOTA 4: Um acontecimento sem conseqüências (2,18) também pode ser referido como um "quase acidente", "incidente", perto de bater "ou" close call ". Probabilidade Possibilidade de algo acontecer NOTA 1: Na terminologia de gestão de risco, a palavra "risco" é usado para se referir à possibilidade de algo acontecer, se definido, medido, ou determinada de forma objetiva ou subjetivamente, quantitativa ou qualitativamente, e são descritos utilizando generalizado ou matemática (como uma probabilidade ou frequência para um período de tempo). NOTA 2 Inglês O termo "risco" não tem equivalente direto em algumas línguas, no entanto, o equivalente do termo "probabilidade" é frequentemente utilizado. No entanto, em Inglês, "probabilidade" é muitas vezes interpretado restritivamente como um termo matemático. Portanto, na terminologia de gestão de risco, "probabilidade" é usada com a intenção de que eles deveriam ter a mesma interpretação ampla do termo "probabilidade" item em muitas línguas diferentes do Inglês. O tratamento do risco O processo para modificar o risco (2,1) Nota 1: tratamento de risco podem incluir:

9 evitar riscos ao decidir não iniciar ou continuar a atividade que deu origem ao risco; ou aumentar o risco de tomar a fim de buscar uma oportunidade; eliminando a fonte de risco (2,16); alterar a probabilidade (2,19); mudando as conseqüências (2,18); Partes: o risco com a outra parte ou partes (incluindo os contratos de financiamento e de risco) e manter o risco informado decisão. NOTA 2: tratamentos de risco para lidar com as consequências negativas são muitas vezes referidos como "redução do risco", "eliminação do risco", "prevenção de riscos" e "redução do risco". NOTA 3: tratamento de riscos pode criar novos riscos ou alterar os riscos existentes. Monitoramento Controle contínuo, supervisionar, observar criticamente ou determinar o estado para determinar a alteração do nível de desempenho exigido ou acompanhamento NOTA esperado pode ser aplicada a uma estrutura de gerenciamento de risco (2,3), o processo de gestão de risco (2,8), o risco de (2,1) ou controle (2,26). Revisar Atividade realizada para determinar a aptidão, adequação e eficácia do assunto para atingir metas estabelecidas NOTA revisão pode ser aplicada a uma estrutura de gerenciamento de risco (2,3), o processo de gestão de risco (2,8), o risco (2,1) ou controle (2,26). Princípios Para o gerenciamento de risco para ser eficaz, uma organização em todos os níveis devem respeitar os princípios abaixo. uma gestão de riscos), cria e protege o valor. A gestão de riscos contribui para atingir os objetivos e demonstráveis melhoria desempenho, por exemplo, o cumprimento da saúde humana e segurança, legais e regulamentares, a aceitação do público, a proteção ambiental, qualidade de produto, gerenciamento de projeto, a eficiência nas operações, governança e reputação. b) é parte integrante de todos os processos organizacionais. A gestão do risco não é uma atividade isolada, separada das principais atividades e processos da organização. A gestão do risco faz parte das responsabilidades de gestão e uma parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os projetos e processos de gestão de mudança. c) A gestão de riscos é parte do processo decisório. A gestão de risco ajuda os tomadores

10 de decisão a tomar decisões, priorizar ações e distinguir entre cursos alternativos de ação. d) aborda explicitamente a incerteza. A gestão do risco explicitamente leva em conta a incerteza, a natureza do que é a incerteza, e como requerido. e) A gestão de riscos é sistemático, estruturado e oportuna. Uma abordagem sistemática, oportuna e estruturada, a gestão de riscos contribui para a eficiência e resultados consistentes, fiáveis e comparáveis. f) é baseada na melhor informação disponível. Os ingressos para o processo de gestão de risco com base em fontes de informação, tais como dados históricos, a experiência, as reacções dos interessados, observação, previsões e opiniões de especialistas. No entanto, os tomadores de decisão devem ser informados, e deverão ter em conta as limitações de dados ou modelos usados ou a possibilidade de desacordo entre os especialistas. g) A gestão do risco é a medida. A gestão do risco está alinhado com o ambiente externo ea organização interna e perfil de risco. A gestão de riscos leva fatores humanos e culturais em conta. A gestão do risco reconhece as capacidades, intenções e percepções de pessoas interno e externo podem facilitar ou dificultar a realização dos objetivos organizacionais. i) Gestão do risco é transparente e inclusiva. Participação adequada e atempada dos interessados e, em particular, os tomadores de decisão em todos os níveis da organização, garante que a gestão de risco continua a ser relevante e atual. Ele também permite a participação das partes estão devidamente representadas e que suas opiniões são tidas em conta critérios de avaliação de risco. j) Gestão do risco é dinâmica, interativa e sensível a alterações. A gestão de riscos continuamente sentidos e responde às mudanças. Como eventos externos e internos ocorrer, o contexto e o intercâmbio de conhecimentos, acompanhamento e avaliação dos riscos ocorrem, surgem novos riscos, algumas mudanças e outras desaparecem. k) A gestão do risco facilita a melhoria contínua da organização. As organizações devem desenvolver e implementar estratégias para melhorar a sua maturidade de gestão de riscos juntamente com todos os outros aspectos da sua organização. Anexo A: fornece aconselhamento adicional para as organizações que pretendam gerir os riscos mais eficaz. Estrutura do Guia. 4.1 Geral

11 Gestão de risco bem sucedida dependerá de um quadro de gestão eficaz, que fornece a base e as disposições incorporá-lo em toda a organização em todos os níveis. O quadro ajuda na gestão eficaz dos riscos através da implementação do processo de gerenciamento de riscos (ver ponto 5) em diferentes níveis e contextos específicos da organização. O quadro garante que informações sobre os riscos do processo de gestão de risco é devidamente informado e é usado como base para a tomada de decisão e responsabilidade a todos os níveis relevantes da organização. Esta cláusula descreve os componentes necessários do quadro de gestão de risco e como eles se inter-relacionam de forma interativa, como mostrado na figura 2. Este quadro não se destina a estabelecer um sistema de gestão, mas sim para ajudar a organização a integrar a gestão de risco em seu sistema de gestão global. Portanto, as organizações devem adaptar os componentes do quadro as suas necessidades específicas. Se as práticas de gestão na organização e processos incluem componentes de gestão de risco ou se a organização adaptou um processo formal de gestão de risco para certos tipos de riscos ou situações, estas devem ser criticamente analisada e avaliada contra esta norma internacional, incluindo os atributos listados no Anexo A para determinar a sua adequação e eficácia.

12 Mandato e compromisso A introdução da gestão de risco é garantir a sua eficácia continuada, requer forte e sustentado compromisso da gestão da organização, bem como o planejamento estratégico e rigoroso para atingir empenho em todos os níveis. A gerência deve: definir e aprovar a política de gestão de risco; garantir que eles estejam alinhados à cultura organizacional e política de gestão de risco; identificar os indicadores de gestão de risco de inadimplência que estão alinhados com os indicadores de desempenho organizacional; alinhar os objetivos de gestão de risco e estratégias com os objetivos da organização; garantir a conformidade legal e regulamentar; - Atribuir responsabilidades e as responsabilidades aos níveis apropriados dentro da organização; garantir que os requisitos para a gestão de risco; comunicar os benefícios do gerenciamento de riscos para todos os interessados, garantir que o quadro de gestão de riscos ainda é apropriado. Design do quadro de gestão de risco Compreender a organização e seu contexto Antes de iniciar a concepção e implementação do quadro de gestão de risco é importante para avaliar e compreender tanto o contexto externo e interno da organização, uma vez que estes podem reduzir significativamente a influência do design do quadro. Avaliação do contexto externo da organização podem incluir, mas não limitados a: a) física e cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico e ambiente competitivo, quer a nível internacional, nacional, regional ou local; b) os fatores-chave e tendências de impacto sobre os objetivos da organização; c) as relações com as percepções e valores, os interessados externos. Avaliar contexto interno da organização podem incluir, mas não estão limitados a: governança, estrutura organizacional, funções e responsabilidades; As políticas, objetivos e estratégias são utilizados para realizar;

13 Capacidades: entendida em termos de recursos e conhecimento (capital, por exemplo, tempo, pessoas, processos, sistemas e tecnologias); sistemas de informação, fluxos de informação e tomada de decisão (formais e informais); com as relações e as percepções e valores, as partes internas; cultura organizacional; normas, orientações e modelos adoptados pela organização, e A forma e o âmbito das relações contratuais. O estabelecimento da política de gestão de risco A política de gestão de risco deve indicar claramente os objetivos da organização e empenho, gestão de risco e, normalmente, abrange os seguintes tópicos: base da organização para a gestão de riscos; ligações entre os objetivos organizacionais e políticas e da política de gestão de riscos; A prestação de contas e responsabilidades para a gestão de riscos; A maneira em que os interesses em conflito são tratados Compromisso de disponibilizar os recursos necessários para ajudar os decisores e os responsáveis pela gestão de riscos; A forma como os resultados da gestão de risco serão medidos e relatados, e O compromisso de rever e melhorar a política de gestão de risco e quadro periodicamente e em resposta a um evento ou alteração nas circunstâncias. A política de gestão de risco deve ser comunicada de forma apropriada. Responsabilidade: A organização deve assegurar que haja responsabilidade, autoridade e competências adequadas à gestão de riscos, incluindo a implementação e manutenção do processo de gestão de risco e garantir a adequação, eficiência e eficácia dos controles. Isso pode ser facilitado por: A identificação dos proprietários de risco que têm a responsabilidade e a autoridade para gerir o risco; Identificar quem é responsável pelo desenvolvimento, implementação e manutenção do quadro de gestão de riscos; Outras responsabilidades de identificação de indivíduos em todos os níveis da organização para o processo de gestão de riscos; A medição do desempenho e estabelecer externas e / ou relatórios internos e processos

14 de escalada e; Assegurar níveis adequados de reconhecimento. Integração em processos organizacionais A gestão de riscos deve ser integrada em todas as práticas e processos organizacionais de uma forma que é relevante, eficaz e eficiente. O processo de gerenciamento de risco deve ser parte, não estão separados, os processos organizacionais. Em particular, gestão de riscos devem ser integradas em políticas e planejamento estratégico, desenvolvimento empresarial e revisão, processos e gestão da mudança. Deve haver uma organização do plano de gestão de riscos para garantir que a política de gestão de riscos é implementado e que a gestão de risco está integrada em todas as práticas organizacionais e processos. O plano de gerenciamento de risco pode ser integrado com outros planos organizacionais, tais como um plano estratégico. Recursos A organização deve alocar recursos adequados para a gestão de risco. Você deve considerar o seguinte: As pessoas, habilidades, experiência e competência; Os recursos necessários para cada etapa do processo de gestão de riscos; os processos organizacionais, métodos e instrumentos utilizados na gestão de riscos; processos e procedimentos documentados; Os sistemas de informação e gestão do conhecimento e programas de treinamento. A criação de mecanismos para comunicação interna e comunicação A organização deve estabelecer a comunicação interna e os mecanismos para apoiar e incentivar a responsabilidade ea participação de risco. Esses mecanismos devem assegurar que: componentes fundamentais da estrutura de gerenciamento de risco, bem como eventuais alterações são comunicadas de forma adequada; há adequado relatórios internos sobre o quadro, a sua eficácia e resultados; Informações relevantes, derivado da aplicação de gestão de risco em níveis adequados e tempos, sem processos de consulta com as partes internas.

15 Estes mecanismos deverão, quando apropriado, incluir os processos de reforçar a informação sobre o risco de uma variedade de fontes, e pode levar em conta a sensibilidade da informação Mecanismos para a comunicação externa e comunicação A organização deve desenvolver e implementar um plano de como você irá se comunicar com o exterior as partes interessadas. Isto envolve: Envolver as partes interessadas externas adequada e assegurar o intercâmbio eficiente de informações; relatórios externos para atender aos requisitos legais e regulamentos governamentais; O fornecimento de feedback e relatórios sobre a comunicação e consulta; - Comunicação para construir a confiança na organização, e comunicação com as partes interessadas, no caso de uma crise ou de emergência. Estes mecanismos deverão, quando apropriado, incluir os processos de reforçar a informação sobre o risco de uma variedade de fontes, e pode levar em conta a sensibilidade da informação. A aplicação de gestão de risco Aplicação de um enquadramento para a gestão de risco Como parte da implementação da organização para a gestão de riscos, a organização deve: Definir o calendário e estratégia para a implementação do quadro regulamentar; implementar a política de gestão de riscos e processo de processos organizacionais; respeitam os requisitos legais e regulamentares; garantir que a tomada de decisões, incluindo o desenvolvimento e estabelecimento de objetivos, está alinhado com os resultados dos processos de gestão de risco; realizar sessões de informação e formação, e comunicação e consulta com as partes interessadas para garantir que o seu quadro de gestão de risco continua a ser adequado A implementação do processo de gestão de risco A gestão dos riscos devem ser implementadas para assegurar que o processo de gestão do risco descritos no ponto 5, é aplicado através de um plano de gestão de riscos em

16 todos os níveis e funções relevantes da organização como parte de suas práticas e processos. Acompanhamento e revisão do Quadro Para garantir que a gestão do risco é eficaz e continua a apoiar o desempenho organizacional, a organização deve: medida de gestão de risco de indicadores de desempenho, que são revistos periodicamente para relevância; medir o progresso periodicamente contra, eo desvio do plano de gestão de risco; revisar periodicamente se no âmbito da política de gestão de riscos e do plano ainda são adequados, tendo em conta as realidades internas e externas das organizações; Relatório sobre o risco, o progresso do plano de gestão de risco e como a política de gestão de risco é seguido, revisão da eficácia da estrutura de gerenciamento de risco. Quadro de melhoria contínua Com base nos resultados da monitorização e avaliação, as decisões devem ser feitas sobre como quadro de gestão de risco, a política eo plano pode ser melhorado. Estas decisões devem levar a melhorias na organização de gestão de riscos e de sua cultura de gestão de risco. Processo geral O processo de gerenciamento de risco deve ser Uma parte integrante da gestão, enraizada na cultura e práticas, Adaptado para os processos de negócio da organização. Inclui as atividades descritas nos pontos 5.2 a 5.6. O processo de gestão de risco é mostrado na Figura 3.

17 Comunicação e consulta Comunicação e consulta com as partes interna e externa deve ocorrer durante todas as fases da gestão de risco. Portanto, a comunicação e os planos de consulta devem ser desenvolvidas em um estágio inicial. Estes devem abordar questões relacionadas com o risco em si, suas causas, suas conseqüências (se conhecida), e as medidas tomadas para tratá-lo. A comunicação eficaz interna e externa e consulta devem ser tomadas para garantir que os responsáveis pela execução do processo de gestão de risco e as partes interessadas compreender a base sobre a qual as decisões são tomadas, e por que as medidas são necessários, em particular. Uma abordagem de equipe de consultoria pode: ajudar a estabelecer o contexto; garantir que os interesses das partes interessadas sejam entendidas e consideradas; ajudar a garantir que os riscos são devidamente identificados; trazer diferentes áreas de atuação em conjunto para discutir os riscos; garantir que os diferentes pontos de vista sejam devidamente consideradas na definição dos critérios de risco e avaliação de riscos; Backup seguro e apoiar um plano de tratamento; - Melhorar a gestão da mudança adequada para o processo de gestão de risco,

18 desenvolver a comunicação interna e externa e plano de consulta. Comunicação e consulta com as partes interessadas é importante, fazendo julgamentos sobre o risco com base em suas percepções de risco. Essas percepções podem variar devido às diferenças de valores, necessidades, premissas, conceitos e preocupações das partes interessadas. Em seus pontos de vista pode ter um impacto significativo sobre as decisões, as percepções das partes interessadas devem ser identificadas, registadas e tidas em conta na tomada de decisão processo. Comunicação e consulta devem proporcionar o intercâmbio de informações precisas, relevantes, precisas e compreensível, tendo em conta as questões de confidencialidade e integridade pessoal. Estabelecer o contexto Geral Ao estabelecer o contexto, a organização articula os seus objectivos, definir o exterior e interior parâmetros que devem ser tidas em conta na gestão de riscos, e estabelece o âmbito e os critérios de risco para o processo restante. Embora muitos desses parâmetros são similares àquelas consideradas na concepção dos riscos do quadro de gestão (ver 4.3.1), definindo o contexto para o processo de gestão de risco, devem ser considerados com maior detalhe e, em particular como eles se relacionam com o âmbito do processo especial de gestão de risco. Estabelecer o contexto externo O ambiente externo é o ambiente externo em que a organização pretende alcançar seus objetivos. Compreender o ambiente externo é importante para assegurar que os objetivos e as preocupações das partes interessadas externas são consideradas no desenvolvimento de critérios de risco. Baseia-se na organização mais ampla, mas com informações específicas sobre os requisitos legais e regulamentares, as percepções das partes interessadas e outros aspectos de riscos específicos para o âmbito do processo de gestão de risco. O ambiente externo podem incluir, mas não limitados a: Natural sociais e culturais, políticas, legais, regulamentares, financeiros, tecnológicos, econômicos e ambiente competitivo, quer a nível internacional, nacional, regional ou local; fatores-chave e tendências de impacto sobre os objetivos da organização, e A relação com as percepções e valores dos agentes externos.

19 Estabelecer o contexto interno O contexto interno é o ambiente interno no qual a organização pretende alcançar seus objetivos. O processo de gerenciamento de risco devem ser alinhadas com a cultura organizacional, processos, estrutura e estratégia. Contexto interno, é qualquer coisa dentro da organização que podem influenciar a maneira pela qual uma organização é gerir o risco. Deve ser estabelecido porque: a) uma gestão de risco tem lugar no âmbito dos objetivos da organização; b) Os objetivos e os critérios de um projeto específico, processo ou actividade deve ser considerada à luz dos objetivos da organização como um todo e c) algumas organizações reconhecem as oportunidades para alcançar os seus negócios estratégicos e objetivos, e isso afeta o contínuo compromisso institucional, credibilidade, confiança e valor. Você precisa entender o contexto nacional. Isso pode incluir, mas não limitados a: governança, estrutura organizacional, funções e responsabilidades; As políticas, objetivos e estratégias são utilizados para realizar; Capacidades entendidas em termos de recursos e conhecimento (capital, por exemplo, tempo, pessoas, processos, sistemas e tecnologias); As relações e as percepções e valores dos grupos de interesse nacional; cultura organizacional; sistemas de informação, fluxos de informação e tomada de decisão (formais e informais); normas, orientações e modelos adoptados pela organização, e A forma eo âmbito das relações contratuais. Estabelecer o contexto do processo de gestão de risco Os objetivos, estratégias, o alcance e os parâmetros das atividades da organização, ou partes da organização no processo de gestão de risco está a ser implementado, deve ser estabelecida. Gerenciamento risco deve ser feita com plena consideração a necessidade de justificar os recursos utilizados na realização de gestão de risco. Os recursos necessários, as responsabilidades e autoridades, e registros a serem mantidos também ser especificado. O contexto do processo de gerenciamento de risco pode variar de acordo com as necessidades de uma organização. Pode envolver, mas não estão limitados a: a definição de metas e objetivos das atividades de gestão de risco; para a definição de responsabilidades e do processo de gestão de risco; a definição do escopo e da profundidade e amplitude de atividades de gestão de risco a ser realizada, incluindo as inclusões e exclusões específicas;

20 a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e lugar; a definição das relações entre um projeto específico, processo ou atividade e outros projetos, processos ou atividades da organização; a definição de metodologias de avaliação de risco; definir a forma como é avaliado o desempenho ea eficácia da gestão de riscos; identificar e especificar as decisões que têm de ser feito, e identificação, especificação e desenvolvimento dos estudos necessários, o âmbito e objetivos, e Os recursos necessários para tais estudos. Atenção a estes e outros fatores relevantes devem ajudar a garantir que a abordagem de gestão de risco adotada é adequada às circunstâncias, a organização e os riscos para a concretização dos seus objetivos. Definição de critérios de risco A organização deve definir os critérios utilizados para avaliar o grau de risco. Os critérios devem refletir os valores da organização, objetivos e recursos. Alguns critérios podem ser impostas por, ou derivados, os requisitos legais e regulamentares e outros requisitos a que a organização subscreva. Os critérios de risco deve ser coerente com a política de gestão da organização em risco (ver 4.3.2), que definiu o início de qualquer processo de gestão de risco e revisados continuamente. Na definição dos critérios de risco, fatores a considerar devem incluir o seguinte: A natureza e os tipos de causas e conseqüências que podem ocorrer e como ele é medido; Como provavelmente será definido; O termo (s) da probabilidade e / ou conseqüência (s); Como o nível de risco é determinado; Os pontos de vista das partes interessadas; O nível em que o risco se torna aceitável ou tolerável, e Se combinações de múltiplos riscos de ser tidos em conta e, em caso afirmativo, como e quais combinações devem ser considerados. A avaliação de riscos Geral A avaliação dos riscos é o processo geral de identificação de riscos, análise de risco e avaliação de riscos. NOTA ISO / IEC fornece orientação sobre técnicas de avaliação de risco

21 A identificação dos riscos A organização deve identificar as fontes de risco, áreas de impacto, a evolução (incluindo alterações nas circunstâncias) e as suas causas e possíveis consequências. O objetivo desta etapa é gerar uma lista completa dos riscos baseadas em eventos que possam criar, melhorar, prevenir, diminuir, acelerar ou retardar o cumprimento de objectivos. É importante identificar os riscos associados a não perseguir uma oportunidade. A identificação completa é crítica, porque não o risco de que não é identificado nesta fase incluídos na análise. Deve incluir os riscos ou não a sua fonte está sob o controle da organização, mesmo se a fonte de risco ou de causa não pode ser óbvio. Identificação dos riscos deve incluir a análise dos efeitos sobre a cadeia especial de consequências, incluindo os efeitos em cascata e cumulativo. Você também deve considerar uma série de conseqüências, mesmo que a fonte de risco ou causa não pode ser óbvio. E a identificação do que pode acontecer, temos de considerar as possíveis causas e situações que mostram as consequências que podem ocorrer. Todas as causas, conseqüências e devem ser considerados. A organização deve implementar as ferramentas de identificação de riscos e técnicas que se adequam aos seus objectivos e capacidades, e os riscos que enfrentam. Dados relevantes e atualizados é importante para identificar os riscos. Isto deve incluir a informação de fundo adequada possível. Aqueles com competências adequadas devem participar na identificação de riscos. A análise de risco A análise de risco envolve o desenvolvimento de uma compreensão dos riscos. A análise de risco fornece uma porta de entrada para avaliação de risco e as decisões sobre se os riscos precisam ser tratados, e às estratégias de tratamento mais adequado e métodos. A análise de risco também podem contribuir na tomada de decisões nas eleições devem ser realizadas e as opções para a participação de diferentes tipos e níveis de risco. A análise de risco envolve a análise das causas e fontes de risco, suas conseqüências positivas e negativas ea probabilidade de que essas conseqüências podem ocorrer. Fatores que afetam as conseqüências e riscos devem ser identificados. O risco é analisado, determinando as conseqüências e probabilidade, e outros atributos de riscos. Um evento pode ter muitas conseqüências e pode afetar múltiplos alvos. Os controles existentes e sua eficácia e eficiência também deve ser tida em conta. A forma pela qual o impacto e probabilidade são expressas e como eles se combinam para determinar um nível de risco que deve refletir o tipo de risco, as informações disponíveis e os fins para que a saída da avaliação de risco será utilizado. Isso deve ser coerente com os critérios de risco. Também é importante considerar a interdependência

22 dos diferentes riscos e suas fontes. Confiança na determinação do nível de risco e de sensibilidade para as condições prévias e pressupostos devem ser considerados na análise, e comunicada de forma eficaz aos tomadores de decisão e, se for caso disso, outras partes interessadas. Fatores como a divergência de opinião entre os especialistas, a incerteza, disponibilidade, qualidade, quantidade e relevância permanente das informações, ou as restrições sobre a modelagem deve ser declarado e pode ser destacada. A análise de risco pode ser realizada com diferentes graus de detalhe, dependendo do risco, para efeitos de análise e informação, dados e recursos. Análise pode ser qualitativa, quantitativa ou semi - quantitativa, ou uma combinação dos mesmos, dependendo das circunstâncias. Conseqüências e probabilidade pode ser determinada pela modelagem dos resultados de um evento ou série de eventos, ou por extrapolação a partir de estudos experimentais ou dados disponíveis. As conseqüências podem ser expressos em termos de efeitos tangíveis e intangíveis. Em alguns casos, mais de um descritor numérico ou é para especificar as conseqüências e as probabilidades de diferentes épocas, lugares, grupos ou situações. A avaliação de riscos O objetivo da avaliação de risco é auxiliar na tomada de decisão, com base nos resultados da análise de riscos, riscos que requerem tratamento prioritário e entrega de tratamento. Avaliação de risco consiste em comparar o nível de risco identificados durante o processo de análise com critérios de risco estabelecidos quando se considera o contexto. Com base nessa comparação, a necessidade de tratamento pode ser considerado. As decisões devem levar em conta o contexto mais amplo de risco e incluir a análise da tolerância de riscos assumidos por outras partes da organização que beneficia os riscos. As decisões devem ser feitas de acordo com disposições legislativas, regulamentares e outros. Em algumas circunstâncias, a avaliação de risco pode levar a uma decisão de efectuar uma análise mais aprofundada. A avaliação de risco também pode conduzir não a uma decisão de tratar os riscos de qualquer outra forma de manter os controles existentes. Esta decisão será influenciado pela atitude de risco da organização e os critérios de risco que têm sido.

23 O tratamento do risco Geral O tratamento do risco é selecionar uma ou mais opções para a alteração dos riscos, e implementar essas opções. Uma vez implementado, os tratamentos fornecer ou alterar os controles. A gestão de riscos envolve um processo cíclico: avaliação de tratamento de riscos; se os níveis de risco residual são toleráveis; se não tolerável, gerando um novo tratamento de risco a avaliação da eficácia do tratamento. As opções de tratamento dos riscos não são necessariamente mutuamente exclusivos ou adequado em todas as circunstâncias. As opções podem incluir: a) evitar o risco, ao decidir não dar início ou prosseguir a atividade que deu origem ao risco; b) ter ou aumentar o risco, a fim de buscar uma oportunidade; c) remoção da fonte de risco; d) mudanças na probabilidade; e) alterar as conseqüências; f) partilha de riscos com a outra parte ou partes (incluindo os contratos de financiamento e de risco) e g) manter o risco informado decisão. Seleção de opções de tratamento de risco Selecionar o tratamento mais adequado é equilibrar os custos de risco e os esforços de aplicação da lei contra os ganhos realizados com respeito das disposições legislativas, regulamentares ou de outra forma, como a responsabilidade social ea protecção do ambiente natural. As decisões devem também levar em conta os riscos que podem justificar um tratamento de risco não se justifica por razões econômicas, por exemplo, grave (alta conseqüência negativa), mas o risco (raro baixo). Um número de opções de tratamento podem ser considerados e aplicados individualmente ou em combinação. A organização, normalmente podem se beneficiar da adoção de uma combinação de opções de tratamento. Quando a seleção de opções de tratamento dos riscos, a organização deve considerar os valores e as percepções das partes interessadas e os meios mais adequados para se comunicar com eles. Quando as opções de tratamento de risco pode ter impacto sobre o risco em outras partes da organização com as partes interessadas, devem participar na decisão.

24 Embora igualmente eficazes, alguns tratamentos de risco pode ser mais aceitável para algumas partes do que outras. O plano de tratamento devem identificar claramente a ordem de prioridade em que os tratamentos de risco individual deve ser implementado. O tratamento do risco em si pode ser perigoso. Um risco significativo pode ser a falta ou ineficácia das medidas de gestão de risco. O monitoramento deve ser uma parte integrante do plano de tratamento de risco para fornecer garantias de que as medidas permanecem eficazes. A gestão do risco também pode introduzir riscos secundários a serem avaliados, tratados, controlados e revisados. Estes riscos secundários devem ser incorporadas no plano de tratamento que o risco original e não tratado como um novo risco. A ligação entre os dois riscos devem ser identificados e mantido. Elaboração e implementação de planos de tratamento de risco O objetivo dos planos de tratamento de risco é documentar como as opções de tratamento escolhido será realizada. As informações fornecidas sobre os planos de tratamento deve incluir: As razões para a seleção de opções de tratamento, incluindo os benefícios esperados para ser adquirida; Aqueles que são responsáveis pela aprovação do plano e os responsáveis pela execução do plano; ações propostas; Os recursos necessários incluindo contingências; medidas de desempenho e limitações; Relatórios e requisitos de monitorização, e Agenda. Planos de tratamento deve ser integrado com os processos de gestão da organização e discutido com as partes interessadas. Os tomadores de decisão e outras partes interessadas devem estar cientes da natureza e extensão do risco residual após o tratamento de risco. O risco residual deve ser documentado e objecto de acompanhamento, revisão e, onde o tratamento adequado, ainda mais. Supervisão e revisão Acompanhamento e avaliação deve ser uma parte planejada do processo de gestão de riscos e controlo de assiduidade ou de acompanhamento. Pode ser regular ou ad hoc. Responsabilidades de acompanhamento e avaliação deverão ser claramente definidas.

25 Controle da organização e processos de revisão deve abranger todos os aspectos do processo de gestão de risco para efeitos de: garantir que os controles são eficazes e eficientes, tanto na concepção e funcionamento; A obtenção de mais informações para melhorar a avaliação dos riscos; Analisar e aprender as lições dos eventos (incluindo quase acidentes), as mudanças, tendências, sucessos e fracassos; A detecção de mudanças no contexto interno e externo, incluindo alterações nos critérios de risco eo risco se pode exigir uma revisão do tratamento de riscos e prioridades, e A identificação de riscos emergentes. Progressos na implementação dos planos de tratamento de risco fornece uma medida de desempenho. Os resultados podem ser incorporadas em gestão do desempenho global da organização, a medição interna e externa e as actividades de informação. Os resultados da monitorização e revisão devem ser registados e comunicados interna e externamente quando necessário, e também deve ser usado como entrada para a revisão do quadro de gestão de risco (ver 4.5). Gravação do processo de gestão de risco As atividades de gerenciamento de risco devem ser rastreáveis. No processo de gestão de riscos, fornecer registros da Fundação para a Melhoria de métodos e ferramentas, bem como em todo o processo. As decisões relativas à criação de registos deve ter em conta: necessidades da organização para a aprendizagem contínua; Os benefícios da reutilização de informações para fins de gestão; custos eo esforço envolvidos na criação e manutenção de registros; requisitos legais, os registros regulamentares e operacionais; O método de acesso, facilidade de recuperabilidade e meios de armazenamento; período de retenção, e A sensibilidade da informação. Atributos da melhor gestão de risco Geral Todas as organizações devem ter como objectivo o nível adequado de retorno do seu quadro de gestão de risco de acordo com a criticidade das decisões que deve ser feito. A lista de atributos abaixo representa um elevado nível de desempenho na gestão de risco. Para ajudar as organizações a medir o seu próprio desempenho em função destes critérios, alguns indicadores tangíveis são dadas para cada atributo.

26 Resultados da organização A.2.1 A organização tem um conhecimento actual, correcta e completa dos riscos. A organização A.2.2 dos riscos estão dentro de seus critérios de risco. Melhoria contínua A ênfase na melhoria contínua na gestão de riscos, estabelecendo metas de desempenho organizacional, medição, análise e as subsequentes alterações de processos, sistemas, recursos, habilidades e conhecimentos. Isto pode ser indicado pela existência de metas explícitas de desempenho contra o qual a organização e o indivíduo Performance Manager é medido. O desempenho da organização pode ser publicado e comunicado. Normalmente, há pelo menos uma avaliação anual de desempenho e metas, em seguida, uma revisão de processos e definição de desempenho para o período seguinte revisto. Esta avaliação de risco de gestão de desempenho é uma parte integrante do desempenho organizacional global de avaliação e medição do sistema de departamentos e indivíduos. Integral responsabilidade pelos riscos Melhor gestão do risco inclui abrangente, totalmente definido e aceito a total responsabilidade pelos riscos, controles e os esforços de tratamento de risco. As pessoas nomeadas aceitar plenamente a responsabilidade estão devidamente qualificados e dispõe de recursos suficientes para verificar os controles para monitorar os riscos, melhorar os controles e comunicar eficazmente sobre os riscos e sua gestão às partes interessadas internas e externas. Isto pode ser indicado por todos os membros de uma organização está plenamente ciente dos riscos, controles e funções para as quais são responsáveis. Normalmente, este será gravado no trabalho / descrições de trabalho, bancos de dados ou sistemas de informação. A definição de funções de gestão de riscos, responsabilidades e obrigações devem ser parte de programas de indução de toda a organização. A organização garante que os responsáveis estão preparados para cumprir esse papel, fornecendo-lhes a autoridade, tempo, treinamento, recursos e competências suficientes para satisfazer as suas responsabilidades. Aplicação da gestão de risco em todas as decisões Todas tomada de decisão dentro da organização, independentemente do nível de importância e significado, envolve a consideração explícita dos riscos ea implementação da gestão de risco, em certa medida adequada. Isso pode ser indicado pelos registros das reuniões e decisões para mostrar que as discussões explícitas sobre o aumento dos riscos. Além disso, deve ser possível ver que todos os componentes dos processos de gestão de risco são representados na tomada

27 de decisões-chave na organização, por exemplo, as decisões sobre alocação de capital em grandes projetos e reestruturação e mudanças organizacionais. Por estes motivos, o risco de um sólido é visto dentro da organização e fornecer as bases para uma governação eficaz. Comunicação continua Melhor gestão do risco inclui a comunicação permanente com os agentes externos e internos incluindo o desempenho pleno e frequente de gestão de risco como parte da boa governação. Isto pode ser indicado pela comunicação com as partes interessadas, como parte integrante e essencial da gestão de risco. A comunicação é justamente visto como um processo de duas vias, para que as decisões devidamente informadas podem ser feitas sobre o nível de risco e necessidade de tratamento para o bem-estabelecida de risco e critérios de risco global. Global e comunicação interna e externa comum em ambos e gestão de riscos desempenho contribui substancialmente para a gestão eficaz de uma organização. A plena integração na gestão da organização, estrutura A gestão do risco é vista como fundamental para a gestão de processos da organização, de modo que os riscos são considerados em termos de impacto de incerteza sobre os objectivos. A estrutura de governança eo processo é baseado em gestão de riscos. Gestão eficaz dos riscos é considerada pelos gestores como essencial para atingir os objetivos da organização. Isto é indicado pela linguagem dos gestores e importante documentação escrita da empresa, usando o termo "incerteza" quanto aos riscos. Este atributo é normalmente também reflectidas nas demonstrações da organização da política, em especial as relativas à gestão do risco. Normalmente, este atributo será verificada por meio de entrevistas com gerentes e pela evidência de suas ações e declarações.