NORMA DE GESTÃO DE RISCOS€¦ · NORMA DE GESTÃO DE RISCOS 2 Introdução A Norma de Gestão de Riscos é o resultado do trabalho de uma equipa composta por elementos das principais

N O R M A D E G E S T Ã O D E R I S C O S

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

NORMA DE GESTÃO DE RISCOS

2

IntroduçãoA Norma de Gestão de Riscos é o resultado dotrabalho de uma equipa composta porelementos das principais organizações degestão de riscos do Reino Unido - The Instituteof Risk Management (IRM), The Association ofInsurance and Risk Managers (AIRMIC) eALARM The National Forum for RiskManagement in the Public Sector.

Esta equipa procurou, ao longo de um períodode consulta prolongado, os pontos de vista deum grande número de organismosprofissionais com interesses na gestão deriscos.

A gestão de riscos é uma disciplina em rápidodesenvolvimento. Existem diversos pontos devista, assim como descrições sobre o queengloba, como deve ser conduzida e para queserve. São necessárias normas para garantiruma concordância em relação a:

• terminologia utilizada,• processos para implementação da gestão

de riscos,• estrutura organizacional para a gestão de

risco,• objectivo da gestão de riscos.

Importa referir que esta norma reconhece queo risco apresenta duas vertentes, não só anegativa, mas também a positiva.A gestão de riscos não é apenas um tema paraempresas ou organizações públicas, mastambém para qualquer actividade ou projectode curto ou longo prazo. As vantagens e

oportunidades devem ser vistas não só nocontexto da própria actividade, mas tambémem relação às muitas e diversas partesinteressadas que podem ser afectados,doravante designadas por intervenientes.

Existem muitas formas de atingir os objectivosda gestão de riscos e seria tarefa impossíveltentar defini-las todas num único documento.Por conseguinte, nunca foi nosso objectivoproduzir uma norma prescritiva, que conduziriaa uma abordagem do tipo lista de verificação,nem estabelecer um processo de certificação.Ao cumprirem as várias componentes destanorma e podendo fazê-lo de formas diversas,as organizações ficarão em posição deinformar sobre a sua conformidade com amesma. A norma representa as melhorespráticas em relação às quais as organizaçõesse podem auto-avaliar.

A norma utilizou, sempre que possível, aterminologia para o risco definida pelaOrganização Internacional de Normalização(ISO) no seu recente documento, ISO/IECGuide 73 Risk Management - Vocabulary -Guidelines for use in standards.

Devido aos rápidos desenvolvimentos a que seassiste nesta área, os autores gostariam dereceber comentários por parte dasorganizações que coloquem a norma emprática (as moradas estão indicadas nacontracapa deste Guia). Pretende-se que anorma evolua regularmente, à luz das melhorespráticas.


3

1. Risco O risco pode ser definido como a combinaçãoda probabilidade de um acontecimento e dassuas consequências (ISO/IEC Guide 73).O simples facto de existir actividade, abre apossibilidade de ocorrência de eventos ousituações cujas as consequências constituemoportunidades para obter vantagens (ladopositivo) ou então ameaças ao sucesso (ladonegativo).A gestão de riscos é cada vez mais identificadacomo dizendo respeito aos aspectos positivose negativos do risco. Por conseguinte, estanorma considera o risco nestas duasperspectivas.No campo da higiene e segurança, porexemplo, é quase um dado adquirido que asconsequências são apenas negativas e, porisso, a gestão destes riscos concentra-se naprevenção ou diminuição do dano.

2. Gestão de riscos A gestão de riscos é um elemento central nagestão da estratégia de qualquer organização.É o processo através do qual as organizaçõesanalisam metodicamente os riscos inerentes àsrespectivas actividades, com o objectivo deatingirem uma vantagem sustentada em cadaactividade individual e no conjunto de todas asactividades.O ponto central de uma boa gestão de riscos éa identificação e tratamento dos mesmos. Oseu objectivo é o de acrescentar valor de formasustentada a todas as actividades daorganização. Coordena a interpretação dospotenciais aspectos positivos e negativos de

todos os factores que podem afectar aorganização. Aumenta a probabilidade de êxitoe reduz tanto a probabilidade de fracassocomo a incerteza da obtenção de todos osobjectivos globais da organização.A gestão de riscos deve ser um processocontínuo e em constante desenvolvimentoaplicado à estratégia da organização e àimplementação dessa mesma estratégia. Deveanalisar metodicamente todos os riscosinerentes às actividades passadas, presentese, em especial, futuras de uma organização.Deve ser integrada na cultura da organizaçãocom uma política eficaz e um programaconduzido pela direcção de topo. Deve traduzira estratégia em objectivos tácticos eoperacionais, atribuindo responsabilidades nagestão dos riscos por toda a organização,como parte integrante da respectiva descriçãode funções. Esta prática sustenta aresponsabilização, a avaliação do desempenhoe respectiva recompensa, promovendo destaforma a eficiência operacional em todos osníveis da organização.

2.1 Factores externos e internosOs riscos que uma organização e respectivasactividades apresentam podem ter origem emfactores que podem ser internos ou externos àorganização.O diagrama (2.1.1) propõe exemplos de riscosprincipais e mostra que alguns delesrespondem a factores tanto internos comoexternos. A classificação dos riscos pode serajustada, fazendo a distinção dos maisrelevantes de entre os riscos puros e os deordem estratégicos, financeiros, operacionais,etc.



4


2.1 Exemplos de factores internos e externos

ORIGEM EXTERNA

ORIGEM EXTERNA

RISCOS FINANCEIROS RISCOS ESTRATÉGICOS

RISCOS OPERACIONAIS PERIGOS

CREDITOTAXAS DE JURODIFERENÇA MBIAIS

CONCORRRENCIAALTERAÇÕES NO

ALTERAÇÕES DA ACTIVIDADEPROCURA

FUSÕESAQUISIÇÕESINTEGRAÇÕES

CASH FLOW &LIQUIDEZ

INVESTIGAÇÃO EDESENVOLVIMENTO &CAPITAL INTELECTUAL

ORIGEM INTERNA

SISTEMAS DE CONTROLOFINANCEIRO & SISTEMAS

DE INFORMAÇÃO

RECRUTAMENTOCADEIADE ABASTECIMENTO

ACESSO PÚBLICOEMPREGADOSPROPRIEDADEBENS E SERMÇOS

REGULAMENTAÇÕESCULTURACOMPOSIÇÃO DA GESTÃODE TOPO

CONTRATOSEVENTOS NATURAIS

FORNECEDORESMEIO AMBIENTE


5

A gestão de riscos protege e acrescenta valor àorganização e aos diversos intervenientes,apoiando da seguinte forma os objectivos daorganização:

• criação de uma estrutura na organizaçãoque permita que a actividade futura sedesenvolva de forma consistente econtrolada

• melhoria da tomada de decisões, doplaneamento e da definição de prioridades,através da interpretação abrangente eestruturada da actividade do negócio, davolatilidade dos resultados e dasoportunidades/ameaças do projecto

• contribuição para uma utilização/atribuiçãomais eficiente do capital e dos recursosdentro da organização

• redução da volatilidade em áreas denegócio não essenciais

• protecção e melhoria dos activos e daimagem da empresa

• desenvolvimento e apoio à base deconhecimentos das pessoas e daorganização

• optimização da eficiência operacional.


2.2 Processo de gestão de riscos

Modific

ação

Auditori

a Form

al

Os ObjectivosEstratégicos da Organização

Avaliação do Risco

Análise do RiscoIdentificação do Risco

Descrição do RiscoEstimação do Risco

Comparação do Risco

Reporte do RiscoAmeaças e Oportunidades

Decisão

Tratamento do Risco

Reporte do riscoResidual

Monitorização


6

3. Avaliação de riscosA avaliação de riscos é definida pelo documentoISO/IEC Guide 73 como o processo geral deanálise de riscos e estimativa de riscos.(Consulte o anexo)

4. Análise de riscos

4.1 Identificação dos riscosA identificação dos riscos tem como objectivoidentificar a exposição de uma organização aoelemento de incerteza. Esta identificação exigeum conhecimento profundo da organização, domercado no qual esta desenvolve a suaactividade, do ambiente jurídico, social, político ecultural onde está inserida, assim como odesenvolvimento de uma sólida interpretação dassuas estratégias e objectivos operacionais,incluindo os factores fundamentais para o seuêxito e as ameaças e oportunidades relativas àobtenção dos referidos objectivos.A identificação dos riscos deve ser abordada deforma metódica, de modo a garantir que todas asactividades significativas dentro da organizaçãoforam identificadas e todos os riscos delasdecorrentes definidos. Toda a volatilidadeassociada relativa a estas actividades deve seridentificada e classificada por categorias.

As actividades e decisões podem serclassificadas de várias forma, entre as quais:

• Estratégicas - Relacionadas com os objectivosestratégicos da organização a longo prazo.Podem ser afectadas por áreas comodisponibilidade de capital, riscos de soberaniae políticos, alterações jurídicas eregulamentares, reputação e alteração aomeio ambiente físico.

• Operacionais - Relacionadas com os assuntosquotidianos com os quais a organização éconfrontada quando se esforça para atingir osseus objectivos estratégicos.

• Financeiras - Relacionadas com a gestão econtrolo eficazes dos meios financeiros daorganização e com os efeitos de factoresexternos como, por exemplo, disponibilidadede crédito, taxas de câmbio, movimento das

taxas de juro e outro tipo de orientações domercado.

• Gestão do conhecimento - Relacionadas coma gestão e controlo eficazes dos recursos doconhecimento e com a produção, protecção ecomunicação destes. Esta categoria englobafactores externos como a utilização nãoautorizada ou abusiva da propriedadeintelectual, as falhas de energia na zona etecnologia competitiva. Do lado dos factoresinternos podem referir-se avarias nossistemas ou a perda de funcionários chave.

• Conformidade - Relacionadas com temascomo saúde e segurança, meio ambiente,práticas comerciais, protecção do consumidor,protecção de dados, assuntos regulamentareslegislação laboral.

Apesar da identificação dos riscos poder serrealizada por consultores externos, umaabordagem interna com processos e ferramentasbem comunicados, consistentes e coordenados(consulte o anexo) será provavelmente maiseficaz. É essencial que sejam os actores internosos ‘proprietários’ do processo de gestão deriscos.

4.2 Descrição dos riscosO objectivo da descrição dos riscos centra-se naapresentação dos riscos identificados numformato estruturado, por exemplo, através deuma tabela. A tabela (4.2.1) de descrição dosriscos pode facilitar a descrição e avaliação deriscos. A utilização de uma estrutura bemconcebida é necessária para garantir umprocesso abrangente de identificação, descrição eavaliação de riscos. Ao considerar-se aconsequência e probabilidade de cada um dosriscos definidos na tabela, deve ser possívelidentificar os riscos chave e estabelecerprioridades na análise detalhada dos mesmos. Aidentificação dos riscos associados a actividadesde negócio pode ser dividida em estratégica, deprojecto/táctica, operacional. É importanteincorporar a gestão de riscos em toda a fase devida do projecto, desde a concepção, passandopela execução até à sua conclusão.



7

4.3 Estimativa dos riscosA estimativa dos riscos pode ser quantitativa,semi-quantitativa ou qualitativa em termos deprobabilidade de ocorrência e possívelconsequência.Por exemplo, as consequências em termos deameaças (riscos de aspectos negativos) eoportunidades (riscos de aspectos positivos)podem ser altas, médias ou baixas (consulte atabela 4.3.1). As probabilidades podem seraltas, médias ou baixas, mas exigem definiçõesdiferentes em relação a ameaças eoportunidades (consulte as tabelas 4.3.2 e4.3.3).

São fornecidos exemplos nas tabelasapresentadas. Cada organização poderáconsiderar diferentes metodologias, quer namedição das consequências, quer dasprobabilidades, adequando-as às suasnecessidades. Por exemplo, muitasorganizações consideram que avaliar asconsequências e probabilidades como altas,médias ou baixas se adequa às respectivasnecessidades e podem ser apresentadas numamatriz de 3 x 3. Outras consideram que avaliaras consequências e probabilidades através deuma matriz de 5 x 5 proporciona uma melhorestimativa.


4.2.1 Tabela - Descrição dos riscos

1. Designação do risco

2. Âmbito do risco

3. Natureza do risco

4. Intervenientes

5. Quantificação do risco

6. Tolerância/Apetênciapara o risco

7. Tratamento emecanismos de controlodo risco

8. Possíveis acções demelhoria

9. Desenvolvimento deestratégias e políticas

Descrição qualitativa de acontecimentos, como dimensão, tipo,número e dependências

Ex. estratégicos, financeiros, operacionais, de conhecimento ouconformidade

Intervenientes e respectivas expectativas

Importância/relevância e probabilidade

Potencial de perda e impacto financeiro do riscoValor em risco (value at risk)Probabilidade e dimensão de perdas/ganhos potenciaisObjectivo(s) do controlo do risco e nível de desempenho pretendido

Principais meios através dos quais o risco é actualmente geridoNíveis de confiança do controlo existenteIdentificação dos protocolos de monitorização e revisão

Recomendações para redução do risco

Identificação da função responsável pelo desenvolvimento deestratégias e políticas


8


4.3.1. Tabela - Consequências para ameaças e oportunidades

Alta

Média

Baixa

O impacto financeiro sobre a organização deve ultrapassar os x€Impacto significativo sobre a estratégia ou actividades operacionais da organizaçãoGrande preocupação dos intervenientes

O impacto financeiro sobre a organização deve ser entre x€ e y€Impacto moderado sobre a estratégia ou actividades operacionais da organizaçãoPreocupação moderada dos intervenientes

O impacto financeiro sobre a organização deve ser inferior a y€Impacto baixo sobre a estratégia ou actividades operacionais da organizaçãoPouca preocupação dos intervenientes

4.3.2. Tabela - Probabilidade de ocorrência (Ameaças)

Estimativa

Alta (Provável)

Média (Possível)

Baixa (Remota)

Descrição

Com possibilidade de ocorrênciatodos os anos ou hipótese deocorrência superior a 25%.

Com possibilidade de ocorrência emcada dez anos ou hipótese deocorrência inferior a 25%.

Sem possibilidade de ocorrência emcada dez anos ou hipótese deocorrência inferior a 2%.

Indicadores

Potencial para ocorrer diversas vezesdentro do período de tempo (porexemplo - dez anos). Ocorreurecentemente.

Pode ocorrer mais do que uma vezdentro do período de tempo (porexemplo - dez anos). Pode ser difícilde controlar devido a algumasinfluências externas. Existe umhistorial de ocorrências ?

Não ocorreu. Improvável que ocorra.


9


4.4. Métodos e técnicas de análise de riscos Podem ser utilizadas diversas técnicas paraanalisar riscos. Estas técnicas podem serespecíficas de riscos com aspectos positivosou negativos ou podem ter a capacidade deanalisar ambos os tipos. (consulte o anexopara obter exemplos).

4.5. Perfil dos riscosO resultado do processo de análise de riscospode ser utilizado para gerar um perfil dosriscos que classifica cada risco segundo a suaimportância e fornece uma ferramenta para

determinar a prioridade dos esforços detratamento. Este perfil classifica cada riscoidentificado, de modo a dar uma ideia da suaimportância relativa.Este processo permite atribuir o risco à área denegócio afectada, descreve os principaisprocedimentos de controlo implementados eindica as áreas onde o nível de investimento nocontrolo de riscos deve ser aumentado,diminuído ou redistribuído.A responsabilização ajuda a identificarclaramente o ‘proprietário’ do risco e garantirque lhe são afectados os recursos adequados.

4.3.3. Tabela - Probabilidade de ocorrência (Oportunidades)

Estimativa

Alta (Provável)

Média (Possível)

Baixa (Remota)

Descrição

É provável a obtenção de umresultado positivo num ano ouhipótese de ocorrência superior a75%.

Perspectivas razoáveis deresultados favoráveis num ano ouhipótese de ocorrência entre 25% a75%.

Alguma hipótese de resultadosfavoráveis a médio prazo ouhipótese de ocorrência inferior a25%.

Indicadores

Clara oportunidade, com certezarazoável, a ser atingida a curto prazo,com base nos processos de gestãoactuais.

Oportunidades que podem seratingíveis, mas exigem uma gestãocuidadosa.Oportunidades que podem surgirpara além do plano.

Possível oportunidade que aindadeve ser totalmente investigada peladirecção. Oportunidade cujaprobabilidade de sucesso é baixa,com base nos recursos de gestão queestão a ser aplicados.


10

5. Comparação de riscosQuando o processo de análise de riscos estiverconcluído, é necessário comparar os riscosestimados com os critérios de riscos definidospela organização. Os critérios de riscos podemenglobar os custos e receitas associados,exigências legais, factores socio-económicos eambientais, preocupações dos intervenientes,etc. Desta forma, a estimativa de riscos esubsequente comparação apoia na tomada dedecisões sobre a importância dos riscos para aorganização e sobre a possibilidade de cadarisco específico ser aceite ou corrigido.

6. Tratamento de riscosO tratamento de riscos é o processo deseleccionar e implementar medidas paramodificar um risco. O elemento principal dotratamento de riscos é o controlo/diminuiçãodos riscos, mas engloba, num contexto maisvasto, por exemplo, o evitar de riscos, atransferência, o financiamento, etc.

NOTA: Nesta norma, o financiamento de riscosrefere-se aos mecanismos (ex. programas deseguros) para constituição de fundos para assuas consequências financeiras. De modogeral, não se considera o financiamento deriscos como uma provisão de fundos parasuportar os custos da implementação dotratamento de riscos (conforme definido pelodocumento ISO/IEC Guide 73; consulte apágina 17).

No mínimo, qualquer sistema de tratamentode riscos deve:

• proporcionar um funcionamento eficaz eeficiente da organização

• garantir controlos internos eficazes

• cumprir com leis e regulamentações

O processo de análise de riscos apoia ofuncionamento eficaz e eficiente daorganização através da identificação dos riscosaos quais a gestão deve prestar maior atenção.

Assim devem ser definidas prioridades nasacções de controlo em termos do seu potencialpara benefício da organização.A eficácia do controlo interno mede-se pelograu de eliminação ou redução do risco atravésdas medidas propostas.A eficácia em termos de custos dos controlosinternos está relacionada com os custos da suaimplementação quando comparados com osbenefícios esperados pela redução dos riscos.

Para avaliar os mecanismos de controlopropostos é necessário medir e comparar :

• potencial efeito económico se estes nãoforem implementados

• custos da implementação destesmecanismos

Invariavelmente são necessárias informações epressupostos com maior detalhe do queaqueles que estão disponíveis no imediato.Em primeiro lugar, devem ser determinados oscustos da implementação com rigor e precisão,uma vez que se tornará a base para a mediçãoda eficácia em termos de custos. As perdasesperadas , caso não sejam tomadas acções,devem ser estimadas, para, através dacomparação dos resultados, a gestão podedecidir se deve ou não implementar asmedidas de controlo dos riscos.O cumprimento de leis e regulamentações nãoé opcional. Uma organização deve entender asleis aplicáveis e implementar um sistema decontrolo para estar em conformidade. Só podehaver alguma flexibilidade ocasional quandoos custos da redução de um risco foremtotalmente desproporcionais aos seusimpactos.Um dos métodos para a protecção financeiracontra o impacto dos riscos é o financiamentoatravés da contratação de seguros. Contudo,deve reconhecer-se que algumas perdas ouelementos de perdas podem não serseguráveis, como por exemplo, certos custosrelacionados com a saúde, segurança eincidentes ambientais, que englobem danosmorais a empregados e à reputação daorganização.



11

7. Comunicação de riscos

7.1. Comunicação internaDentro de uma organização os vários níveisnecessitam de diferentes tipos de informaçõesque serão obtidos através do processo degestão de riscos.

O Conselho de Administração deve:

• conhecer os riscos mais importantes que aorganização enfrenta

• conhecer os possíveis efeitos no valoraccionista provocados pelos desviosrelativamente aos níveis de desempenhoesperados

• garantir níveis adequados de sensibilizaçãoaos riscos em toda a organização

• saber de que forma a organização vai geriruma crise

• conhecer o nível de confiança dosintervenientes na organização

• saber como gerir as comunicações com osinvestidores, quando aplicável

• ter a certeza de que o processo de gestãode riscos é eficaz

• publicar uma política de gestão de riscosclara que abranja a abordagem geral e asresponsabilidades da gestão de riscos

As Unidades de Negócio devem:

• estar conscientes dos riscos inerentes àsrespectivas áreas de responsabilidade, dospossíveis impactos que estes podem ternoutras unidades e das consequências queoutras unidades lhes podem provocar

• dispor de indicadores de desempenho quelhes permitam monitorizar nas actividadeschave, quer financeiras quer operacionais,os progressos para o cumprimento dosobjectivos

• identificar intervenções necessárias àcorrecção de desvios (por exemplo,previsões e orçamentos)

• dispor de sistemas que informem sobrevariações orçamentais e de previsões, comuma frequência adequada, que permitamreacções apropriadas

• comunicar, sistemática e imediatamente, àdirecção de topo todos os riscos novos oufalhas constatadas nas medidas de controloexistentes

Cada indivíduo deve:

• compreender o seu nível deresponsabilização relativamente a riscosindividuais

• compreender de que forma podemcontribuir para a melhoria contínua dagestão de riscos

• compreender que a gestão de riscos e asensibilização para a existência de riscossão elementos chave da cultura daorganização

• comunicar, sistemática e imediatamente, àdirecção de topo todos os riscos novos oufalhas constatadas nas medidas de controloexistentes

7.2. Comunicação externaRegularmente, uma empresa precisa de prestarcontas aos intervenientes, definindo asrespectivas políticas de gestão de riscos e aeficácia na obtenção de objectivos.Cada vez mais, os intervenientes pretendemque as organizações apresentem provas deuma gestão eficaz do desempenho nãofinanceiro, em áreas como assuntos dacomunidade, direitos humanos, legislaçãolaboral, saúde e segurança e meio ambiente.

A boa gestão empresarial exige que asempresas adoptem uma abordagemmetodológica para a gestão de riscos que:



12

• proteja os interesses dos intervenientes

• garanta que o Conselho de Administraçãocumpre os seus deveres relativamente àdirecção da estratégia, construa valor emonitoriza o desempenho da organização

• garanta que os controlos de gestão estãoimplementados e funcionam correctamente

As disposições relativas à comunicação formalda gestão de riscos devem ser claramentedefinidas e estar disponíveis para osintervenientes.

A comunicação formal deve tratar de:

• métodos de controlo – em particular,responsabilidades de gestão relativas àgestão de riscos

• processos utilizados para identificar riscos ea forma como estes são tratados pelossistemas de gestão

• principais sistemas de controloimplementados para gerir os riscos maissignificativos

• sistema de monitorização e revisãoimplementado

Todas as deficiências significativas nãoabrangidas pelo sistema, ou do própriosistema, devem ser comunicadas em conjuntocom os passos dados para corrigi-las.

8. Estrutura e administração dagestão de riscos

8.1. Política de gestão de riscosUma política de gestão de riscos deve definir aatitude e apetência para o risco e a abordagempara a gestão de riscos. A política devetambém definir as responsabilidades relativasà gestão de riscos em toda a organização.Além disso, esta declaração de intenções devetambém referir todos os requisitos legaisaplicáveis, como por exemplo a nível de saúdee segurança.Ligado ao processo de gestão de riscos estáum conjunto de ferramentas e técnicas quedeve ser utilizado nas várias etapas doprocesso de negócio.

Para funcionar de forma eficaz, o processo degestão de riscos exige:

• empenho por parte do Presidente e dosrestantes membros do Conselho deAdministração da organização

• a atribuição de responsabilidades dentro daorganização

• a atribuição dos recursos adequados para aformação e o desenvolvimento de umasensibilização ao risco de todos osintervenientes

8.2. Papel do Conselho de AdministraçãoO Conselho de Administração tem aresponsabilidade de definir a direcçãoestratégica da organização e criar o ambiente eas estruturas necessárias para que a gestão deriscos funcione de forma eficaz.Estes deveres podem ser materializadosatravés de um grupo executivo, de um comiténão executivo, de um comité de auditoria oude outra função que se adeque ao modo defuncionamento da organização e que sejacapaz de actuar como ‘patrocinador’ da gestãode riscos.



13

O Conselho de Administração deve, quandoavaliar o sistema de controlo interno, pelomenos, considerar :

• a natureza e extensão dos riscos deaspectos negativos aceitáveis para umaempresa, no contexto da sua actividade

• a probabilidade de esses riscos se tornaremuma realidade

• a forma como os riscos inaceitáveis devemser geridos

• a capacidade da empresa minimizar aprobabilidade e o impacto na actividade

• os custos e benefícios do risco e daactividade de controlo efectuada

• a eficácia do processo de gestão de riscos

• as implicações dos riscos nas decisõesadministrativas

8.3. Papel das unidades de negócio

Dentro das suas competências, estabelece oseguinte:

• as unidades de negócio têm aresponsabilidade de gerir diariamente osriscos

• as direcções das unidades de negócio sãoresponsáveis pela promoção dasensibilização sobre a existência de riscosnas respectivas actividades; devemintroduzir objectivos de gestão de riscosnas suas unidades

• a gestão de riscos deve ser um tema regulardas agendas das reuniões de direcção, demodo a permitir a consideração deexposições a riscos e a redefinição deprioridades das tarefas à luz de uma análiseeficaz dos riscos

• as direcções das unidades de negóciodevem garantir que a gestão de riscos éincorporada tanto na fase de concepçãodos projectos, como ao longo da execuçãode cada um deles

8.4. Papel da Função gestão de riscos

Dependendo da dimensão da organização, onúmero de elementos envolvidos na gestão deriscos pode ir desde um único responsável atéum departamento de grande escala.

A Função gestão de riscos deve incluir :

• a definição de políticas e estratégias degestão de riscos

• o principal responsável pela gestão deriscos a nível estratégico e operacional

• o desenvolvimento da sensibilização para aexistência de riscos dentro da organização,incluindo formação e informaçãoadequadas

• o estabelecimento de políticas e estruturasde risco internas nas unidades de negócio

• a concepção e revisão de processos degestão de riscos

• a coordenação de diversas actividadesfuncionais que forneçam aconselhamentosobre questões de gestão de riscos

• o desenvolvimento de processos deresposta a riscos, incluindo programas e/ouplanos de contingência e de continuidadedas actividades

• a preparação de relatórios sobre riscos parao Conselho de Administração e para osintervenientes

8.5. Função da auditoria internaA função da auditoria interna será, comcerteza, diferente em cada organização.

Na prática, a função da auditoria internapoderá incluir alguns ou todos os seguintespontos:

• focar o trabalho da auditoria interna nosriscos significativos que foram identificadospela gestão da organização e fazerauditorias aos processos de gestão deriscos

• fornecer garantias sobre a gestão de riscos



14

• proporcionar um apoio e um envolvimentoactivos ao processo de gestão de riscos

• possibilitar a identificação/avaliação deriscos e dar formação aos funcionáriossobre gestão de riscos e controlo interno

• coordenar a comunicação de riscos aoConselho de Administração, ao comité deauditoria, etc.

Ao determinar a sua função mais adequada nocontexto de uma determinada organização, aauditoria interna deve garantir que osrequisitos profissionais de independência eobjectividade não são postos em causa.

8.6. Recursos e implementaçãoOs recursos necessários para a implementaçãoda política de gestão de riscos da organizaçãodevem ser claramente definidos para cadanível de gestão e dentro de cada unidade denegócio.Para além de outras funções operacionais quepossam ter, os elementos envolvidos na gestãode riscos devem ter as respectivas funções decoordenação de políticas/estratégias de gestãode riscos claramente definidas. Esta mesmadefinição é também necessária para oselementos envolvidos na auditoria e revisão decontrolos internos e no facilitar do processo degestão de riscos.A gestão de riscos deve ser incorporada naorganização através dos processos normais dedefinição de estratégias e orçamentos. Devemerecer destaque em todos os programas deindução, formação e desenvolvimento, assimcomo nos processos operacionais, como nocaso dos projectos de desenvolvimento deprodutos/serviços.

9. Monitorização e revisão doprocesso de gestão de riscosA gestão de riscos eficaz necessita de umaestrutura de comunicação e revisão queassegure que os riscos são identificados eavaliados de forma eficaz e que os controlos erespostas adequados são implementados.Devem ser executadas auditorias regulares aocumprimento de políticas e normas e odesempenho, de acordo com as mesmas, deveser revisto para identificar oportunidades demelhoria. É preciso não esquecer que asorganizações são dinâmicas e funcionam emambientes dinâmicos. As alterações àorganização e ao ambiente no qual aquelafunciona devem ser identificadas, para quesejam efectuadas as modificações adequadasaos sistemas.O processo de monitorização deve garantir queestão implementados os controlos adequadospara as actividades da organização e que osprocedimentos são compreendidos e seguidos.As alterações à organização e ao ambiente noqual se insere devem ser identificadas, paraque sejam efectuadas as mudanças adequadasaos sistemas.

Qualquer processo de monitorização e revisãodeve determinar se:

• as medidas adoptadas alcançaram osresultados pretendidos

• os procedimentos adoptados e asinformações recolhidas para a realização daavaliação foram os adequados

• um melhor nível de conhecimento teriaajudado a tomar melhores decisões e aidentificar a possibilidade de tirar ilaçõespara futuras avaliações.


ANEXOS

15

10. AnexosTécnicas de identificação de riscos exemplos

• Brainstorming

• Questionários

• Estudos que analisem cada processo daactividade e descrevam os factores internose externos que possam influenciar osreferidos processos

• Análises comparativas do sector

• Análises de cenários

• Oficinas de avaliação de riscos (workshops)

• Investigação de incidentes

• Auditorias e inspecções

• HAZOP (Hazard & Operability Studies)

Métodos e técnicas de análise de riscosexemplos

Riscos de aspectos positivos

• Estudos de mercado

• Prospecções

• Testes de marketing

• Investigação e desenvolvimento

• Análises do impacto sobre a actividade

Ambos

• Modelos de dependência

• Análises SWOT (Pontos fortes, Pontosfracos, Oportunidades, Ameaças)

• Árvore/Análises de eventos

• Planos de Contingência e Continuidade doNegócio

• Análises NPEST (Negócio, Política,Económica, Social, Tecnológica)

• Modelos de opções reais

• Tomadas de decisões em condições de riscoe incerteza

• Inferências estatísticas

• Medições de tendência central e dispersão

• PESTLE (Políticos, Económicos, Sociais,Técnicos, Legais, Ambientais)

Riscos de aspectos negativos

• Análises de ameaças

• Árvore de falhas

• FMEA (Failure Mode and Effect Analyses)

As páginas seguintes contêm excertos dodocumento PD ISO/IEC Guide 73: 2002

reproduzidos por autorização do BritishStandards Institution ao abrigo da licença como número

2002SK/0313. As Normas Britânicas podem serobtidas através do Customer Services (Serviçoao Cliente) da BSI,

389 Chiswick High Road, London W4 4AL. (Tel +44 (0) 20 8996 9001


FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel : + 34-91-562.84.25– Fax : + 34-91-561.54.05– Email : [email protected]

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel : + 44-207-480.76.10 – Fax : + 44-207-702.37.52 – Email : [email protected]: www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel : + 33-1-42.89.33.16 – Fax : + 33-1-42.89.33.14 – Email : [email protected]: www.amrae.asso.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALYTel : + 39-02-58.10.33.00 – Fax : + 39-02-58.10.32.33 – Email : [email protected] – Web: www.anra.it

APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – Portugal Tel : (+351) 22 608 24 62 – Fax : (+351) 22 608 24 73 – E-mail : [email protected]

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel : + 32-2-380.03.94 – Fax : + 32-2-370.34.93 – Email : [email protected] – Web: www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.Hattenbergstrasse 10, 55122 Mainz - DTel : + 49 - 6131 – 662226 - Fax : + 49 - 6131 – 662059 - Email : [email protected]: www.bfv-fvv.de

DARIM - Dansk Industris Risk Management ForeningDK-1787 Copenhagen – DENMARKTel : + 45-33-77.33.77 – Fax : + 45-33-77.33.00 – Email : [email protected]

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GermanyTel : + 49-228-98.22.30 - Fax : + 49-228-63.16.51- Email : [email protected]: www.dvs-schutzverband.de

NARIM - Nederlandse Associatie van Risk en Insurance ManagersPostbus 65707 – 2506 EA Den Haag – THE NETHERLANDSTel : + 31-70-345.74.26 – Fax : + 31-70-427.32.63 – Email : [email protected] – Web: www.narim.com

RUSRISK - Russian Risk Management SocietyAddress Expert Institute, Staraya Ploshchad 10/4, Moscow, 103070, RussiaPhone: +7 (095) 748-4313 - Fax : +7 (095) 748-4316 - Email : sh.tatiana@relcom

SIRM - Swiss Association of Insurance and Risk ManagersRoute du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLANDTel : + 41-26-347.12.20 – Fax : + 41-26-347.12.39 – Email : [email protected] – Web: www.sirm.ch

SWERMA - Swedish Risk Management AssociationGränsvägen 15 ˆ SE-135 47 Tyresö - SwedenPhone: +468 742 13 07 - Fax : + 468 798 83 11- E-mail : [email protected]

FERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: [email protected] 1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEB: www.ferma-asso.org

FOR MORE INFORMATION ABOUT FERMA

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: 01395 223399 - Fax: 01395 223304 - Email [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: 020 7709 9808 - Facsimile 020 7709 0716 - Email [email protected] - www.theirm.org

Documents

NORMA DE GESTÃO DE RISCOS€¦ · NORMA DE GESTÃO DE RISCOS 2 Introdução A Norma de Gestão de Riscos é o resultado do trabalho de uma equipa composta por elementos das principais