a) Criação e Proteção de Valor: A gestão de riscos deve contribuir para a criação e proteção de valor dentro da organização

ISO 31000 – Gestão de Riscos – Princípios e Diretrizes: Padrão internacional amplamente adotado para gestão de riscos, fornece diretrizes genéricas e flexíveis.

PMBOK: Aborda a gestão de riscos no contexto de gerenciamento de projetos, estabelecendo práticas recomendadas

RISCO é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa ocorrência sobre os resultados pretendidos.

GESTÃO DE RISCOS consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos.

O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de modo eficaz, no contexto dos objetivos e da estrutura de cada organização.

Modelo proporciona maior alinhamento às expectativas em torno das responsabilidades das instâncias de governança e da alta administração no cumprimento das suas obrigações de accountability.

ISO 31.000: Estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos (ABNT, 2009)

b) Integração: Os processos de gestão de riscos devem ser integrados às práticas e processos organizacionais, particularmente ao planejamento estratégico.

f) Baseada nas melhores informações disponíveis

g) Feita sob medida / Customização: Cada organização deve adaptar os processos de gestão de riscos ao seu contexto específico, levando em consideração fatores como cultura, setor de atuação e tamanho da organização

j) Dinâmica, interativa e capaz de reagir a mudanças

Durante todas as etapas ou atividades da aplicação do processo de gestão de riscos deve haver comunicação informativa e consultiva entre a organização e as partes interessadas, internas e externas

Garantir que todos os envolvidos estejam cientes de seus papéis e responsabilidades, e avalizem e apoiem o tratamento dos riscos.

Auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente, reunindo áreas diferentes de especialização

Identificação das partes interessadas ( matriz RECI (RACI matrix ou chart, em inglês) e matriz de responsabilidades)

Conjunto de critérios mais importantes para analisar e avaliar os níveis de risco

Lista abrangente de riscos, incluindo fontes e eventos de risco que possam ter algum impacto na consecução dos objetivos identificados

Descrição de cada risco, pelo menos com a fonte de risco, as causas, o evento e as consequências.

Nível de risco antes da consideração das respostas que a Administração adota para reduzir a probabilidade do evento ou os seus impactos nos objetivos

Risco que ainda permanece depois de considerado o efeito das respostas adotadas pela gestão para reduzir a probabilidade e o impacto dos riscos, incluindo controles internos e outras ações

Nível de risco residual = Nível de risco inerente x Risco do Controle

Estabelecido mediante análise dos atributos do desenho e da implementação do controle

Envolve comparar o nível de risco com os critérios de risco estabelecidos quando o contexto foi considerado: aceitável ou tolerável ou se algum tratamento é exigido

(a) se um determinado risco precisa de tratamento e a prioridade para isso

(b) se uma determinada atividade deve ser realizada ou descontinuada

(c) se controles internos devem ser implementados ou, se já existirem, se devem ser modificados, mantidos ou eliminados

decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto sujeito ao risco.

adotar medidas para reduzir a probabilidade ou a consequência dos riscos ou até mesmo ambos

por meio da transferência ou compartilhamento de uma parte do risco, mediante contratação de seguros ou terceirização de atividades nas quais a organização não tem suficiente domínio.

é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a consequência do risco. Ocorre quando o risco está dentro do nível de tolerância

c) se não forem, definição e implementação de tratamento adicional; e

(a) detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco

(b) obter informações adicionais para melhorar a política, a estrutura e o processo de gestão de riscos

(c) analisar eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e fracassos e aprender com eles

(d) assegurar que os controles sejam eficazes e eficientes no projeto e na operação

a) monitoramento contínuo (ou pelo menos, frequente) pelas funções que gerenciam e têm propriedade de riscos e pelas funções que supervisionam riscos

b) análise crítica dos riscos e seus tratamentos realizada pelas funções que gerenciam e têm propriedade de riscos e/ou pelas funções que supervisionam riscos, por meio de autoavaliação de riscos e controles

c) auditorias realizadas pelas funções que fornecem avaliações independentes, seja por meio de auditoria interna ou externa

A MATRIZ DE RISCOS é conhecida como “matriz de probabilidade/consequência”

Ainda que a gestão de riscos deva ser parte integrante de todos os processos organizacionais (princípio previsto pela ISO 31000), ela não deve ser aplicada a todos os seus processos com a mesma intensidade, visto que os recursos da organização são limitados.

b) materialidade, que indica a representatividade dos recursos financeiros alocados ao processo

Útil para identificar riscos de novas atividades, novas tecnologias ou em situações em que não há dados disponíveis.

O produto gerado é a visão dos entrevistados sobre as questões propostas, as quais buscam normalmente identificar eventos de risco, fontes, consequências e controles.

Aplicável em qualquer etapa do processo, em especial na identificação, análise e avaliação

Os participantes consideram as informações existentes, tais como atividades, recursos, ambiente, interfaces entre os diversos elementos e os objetivos a alcançar e produzem, de comum acordo, uma lista de situações perigosas ou de riscos. (PERCEPÇÕES DE RISCO)

Uso de listas pré-existentes de perigos ou riscos, como instrumento de apoio a outras técnicas de avaliação de riscos.

Pode ser utilizada desde a etapa de análise dos riscos, na qual contribui para a estimativa da probabilidade, até a etapa de tratamento dos riscos, na qual permite direcionar ações para as causas principais

Os resultados da aplicação da técnica geralmente são: listas de possíveis eventos, fontes de riscos, consequências e controles, bem como de ações de tratamento priorizadas.

O produto resultante dessa análise é o próprio diagrama esquemático gerado, bem como as informações a ele associadas que foram identificadas: evento de risco, fontes, causas, controles preventivos ou intensificadores (oportunidades / riscos positivos) e controles reativos de atenuação.

Na gestão de riscos, a técnica pode ser útil para classificar riscos ou priorizar ações de tratamento, entre outras aplicações.

Conjunto de conceitos, comportamentos e ferramentas que auxiliam na compreensão de estruturas interdependentes de sistemas complexos.

Representam condições que precisam estar incorporadas à estrutura e ao processo para que a gestão de riscos seja eficaz e se torne parte da cultura da organização, traduzindo-se em um conjunto compartilhado de atitudes, valores e comportamentos que caracterizam como a organização aborda o risco.

ISO 31000 e COSO: Ambos destacam a importância de integrar a gestão de riscos ao processo de planejamento estratégico, garantindo que os riscos sejam considerados na definição de objetivos e na alocação de recursos.

PMBOK: Enfatiza a necessidade de incorporar a gestão de riscos ao planejamento de projetos para mitigar impactos negativos.

Concepção do Framework / modelo / estrutura de gestão de riscos

CGU (Controladoria-Geral da União): Destaca a importância de processos de comunicação claros e de uma cultura organizacional que suporte a gestão de riscos.

Estruturação e Abrangência: A gestão de riscos deve ser estruturada e estar alinhada aos objetivos da organização, cobrindo uma ampla gama de riscos, incluindo operacionais, financeiros, estratégicos e de conformidade.

Participação de Stakeholders: Envolver partes interessadas no processo de gestão de riscos é essencial para garantir a relevância e eficácia das ações tomadas.

Cultura de Risco: Promover uma cultura organizacional que reconheça a importância da gestão de riscos em todos os níveis da organização.

Treinamento e Capacitação: Oferecer programas de capacitação para gestores e equipes, garantindo que todos compreendam e sejam capazes de aplicar as práticas de gestão de riscos

Documentação e Transparência: Manter registros detalhados e transparentes das atividades de gestão de riscos, facilitando auditorias e análises futuras.

Uso de Tecnologia: Integrar sistemas de informação e softwares específicos para a gestão de riscos, permitindo um monitoramento mais preciso e em tempo real.

8 Mantenha canais de comunicação com as partes interessadas

9 Incorpore a gestão de riscos aos processos organizacionais

Ao desenvolver a estratégia da organização, é importante identificar os riscos potenciais que podem afetar a sua implementação.

Ao elaborar o plano de ação para implementar a estratégia, os riscos devem ser analisados para garantir que sejam considerados na alocação de recursos e na definição de metas.

Durante a implementação do plano, os riscos devem ser continuamente avaliados e monitorados para garantir que sejam gerenciados de forma eficaz e que não afetem adversamente o alcance dos objetivos estratégicos.

A escalação é apropriada quando a equipe do projeto ou o seu patrocinador concorda que uma ameaça está fora do escopo do projeto ou que a resposta proposta exceda a autoridade do gerente do projeto.

A estratégia de escalar o risco é uma das novidades do PMBOK (6º edição)

A prevenção de riscos ocorre quando a equipe do projeto atua para eliminar a ameaça ou proteger o projeto de seu impacto. Pode ser apropriado para ameaças de alta prioridade com alta probabilidade de ocorrência e um impacto negativo importante.

A transferência envolve passar a responsabilidade de uma ameaça a terceiros para gerenciar o risco e suportar o impacto, caso a ameaça ocorra.

Na mitigação de riscos a ação é realizada para reduzir a probabilidade de ocorrência e/ou o impacto de uma ameaça. A ação de mitigação antecipada é quase sempre mais efetiva do que tentar reparar o dano depois que a ameaça ocorreu.

A aceitação de risco reconhece a existência de uma ameaça, mas nenhuma ação proativa é tomada. Essa estratégia pode ser correta para ameaças de baixa prioridade e também pode ser adotada quando não é possível, nem econômico, resolver a ameaça de qualquer outra forma.