3.

3 Identificação do risco

3.3.1 Geral

Esta etapa procura identificar os riscos a serem gerenciados. Uma identificação de risco
usando um processo sistemático bem estruturado é importante, pois um risco potencial
não identificado neste estágio está excluído de uma análise maior. A identificação deve
incluir todos os riscos estando eles sob controle ou não da organização.

3.3.2 O que pode acontecer, onde e quando?

O objetivo é gerar uma lista de riscos e eventos que podem gerar impactos em cada
objetivo identificado no sistema. Os eventos e riscos identificados podem degradar
atrasar ou aumentar a importância de cada objetivo. Estas são então consideradas em
mais detalhes para identificar o que pode acontecer.

3.3.3 Como e porque isto pode acontecer?

Tendo identificado uma lista de eventos, é necessário considerar possíveis causas e

cenários. Existem muitas maneiras que um evento possa ocorrer. É importante que
nenhuma causa significativa seja omitida.

3.3.4 Ferramentas e técnicas

Abordagens usadas para identificar os riscos incluem listas de verificações, julgamento

baseado sobre experiência e registros anteriores, fluxogramas, brainstorming, análise de
sistemas, análise de cenário e técnicas de engenharia de sistemas. A abordagem usada
dependerá da natureza das atividades sob revisão e os tipos de risco. Estas técnicas e
ferramentas são discutidas com mais detalhes no HB 436.
3.4 Análise do Risco

3.4.1 Geral

A análise de risco tem por objetivo entender cada risco identificado. Ela gera as
informações necessárias para decidirmos como o risco será tratado baseado na melhor
estratégia traçada ou custo-benefício. A análise envolve considerações baseadas nas
causas do risco, sua positiva ou negativa conseqüência e na probabilidade que o evento
ocorra. Os fatores de efeito ou a probabilidade que ocorra devem ser identificados. O
risco é analisado através da combinação das conseqüências e das probabilidades no
contexto das medidas existentes de controle.
Uma análise preliminar pode ser realizada de maneira que riscos similares ou de baixo
impacto são excluídos do estudo detalhado. Os riscos excluídos podem, onde possível,
ser listados para demonstrar a integridade da análise de risco.

3.4.2 Avaliação dos controles existentes

Identificar os processos, equipamentos ou processos que minimizam os riscos negativos

ou potencializa os riscos positivos e avaliar suas forças e fraquezas. Os controles devem
levantar as saídas dos riscos previstos nas atividades anteriores.

3.4.3 Efeitos e probabilidades

A magnitude dos efeitos de um evento, podendo este acontecer, e a probabilidade do

evento associados aos seus efeitos são avaliados no contexto dos controles e estratégias
existentes. Qualquer evento pode gerar diferentes efeitos em diferentes partes do
sistema. Efeitos e probabilidades são combinados para determinar o nível de risco. Os
efeitos e as probabilidades podem ser determinados usando cálculos e análises
estatísticas. Alternativamente onde informações passadas não estejam disponíveis,
estimativas subjetivas podem ser feitas de modo que reflitam um evento gerado por um
grupo ou por uma pessoa em particular.

As fontes de informação disponíveis e técnicas podem ser usadas quando analisamos os

efeitos e as probabilidades. As fontes de informação podem incluir o seguinte:

• Registros passados;
• Práticas e experiência relevante;
• Literaturas relevantes publicadas;
• Pesquisa de mercado;
• Resultados de consultas públicas;
• Experimentos e protótipos;
• Modelos de engenharia, econômicos, ou outros;
• Julgamentos de especialistas no assunto.
As técnicas incluem:

• Entrevistas estruturadas com especialistas na área de interesse;

• Uso de grupos multidisciplinares;
• Avaliações individuais utilizando questionários; e
• Uso de modelos e simulações.

Onde possível, a segurança dos dados colocados nos níveis estimados de risco deve ser
incluída.

As hipóteses levantadas na análise deverão estar claramente declaradas.

3.4.4 Tipos de análise

A análise de risco pode ser tomada em vários graus de detalhes dependendo do risco, da
proposta da análise, das informações e dos recursos disponíveis. A análise pode ser
qualitativa, semi–quantitativa, quantitativa ou uma combinação destas dependendo da
situação. Os níveis de complexidade e de custos destas análises em ordem crescente são
qualitativa, semi-quantitativa e quantitativa. Na prática, análises qualitativas são
freqüentemente usadas em primeiro lugar para se obter uma indicação geral do nível de
risco e indicação dos maiores riscos. Depois pode ser necessário empreender uma
análise quantitativa nos maiores riscos identificados.

O tipo de análise deverá ser consistente com o critério de avaliação do risco definido no
contexto (ver capítulo 3.2).

Em detalhes, os tipos de análises são os seguintes:

a) Análise qualitativa

A análise qualitativa usa forma de palavras ou escalas descritivas para descrever os

potenciais efeitos e a probabilidade que acontecerão. Estas escalas podem ser adaptadas
ou ajustadas como convém, e diferentes descrições podem ser usadas para diferentes
riscos.

A análise qualitativa é usada:

• Como uma atividade de filtro inicial para identificar riscos que requerem
análises mais detalhadas;
• Quando este tipo de análise for apropriado; ou
• Onde os dados numéricos são inadequados para uma análise quantitativa

A análise qualitativa deve ser feita a partir de dados e informações disponíveis.

b) Análise semi-quantitativa

Nas análises semi-quantitativas, são dados valores as escalas utilizadas na análise

qualitativa. O objetivo é definir mais precisamente os graus dos riscos identificados
do que é feito a partir da análise qualitativa, não são sugeridos valores reais, pois
 estes são usados na análise quantitativa. O número distribuído a cada uma das
descrições não exibe uma relação precisa com a magnitude real das probabilidades e
efeitos. Os números podem ser combinados por qualquer uma de uma faixa de
fórmula desde que o sistema usado para a priorização combine com o sistema
escolhido para atribuir os números e combiná-los.

Cuidados devem ser tomados com o uso da análise semi-quantitativa, pois os

números escolhidos podem não refletir adequadamente os níveis de riscos que
levam a resultados inconsistentes. Análise semi-quantitativa pode não diferenciar
adequadamente os riscos, particularmente quando as probabilidades ou os seus
efeitos são extremos.

c) Análise quantitativa

A análise quantitativa usa valores numéricos (ao invés de escalas descritivas usadas
nas análises qualitativas e semi-quantitativas) tanto para os efeitos como para as
probabilidades usando dados a partir de fontes diversas (tais como àquelas referidas
no Capítulo 3.4.3). A qualidade da análise depende da precisão e integridade dos
valores numéricos usados.

Os efeitos podem ser estimados modelando-se os resultados de um evento ou um

conjunto de eventos, ou através de estudos experimentais ou dados passados. As
conseqüências podem ser expressas em termos monetários, técnicos ou impactos
humanos, ou qualquer um dos outros critérios referidos no Capítulo 3.2.5. Em
alguns casos, mais de um valor numérico é requerido para especificar os efeitos para
diferentes tempos, lugares, grupos ou situações.

A forma como um efeito ou uma probabilidade são expressas variam conforme são
combinados determinando o nível do risco e como ele será trabalhado.

As incertezas e das variações dos efeitos e probabilidades devem ser consideradas nas
análises.

3.4.5 Análise de sensibilidade

Visto que algumas das estimativas feitas nas análises quantitativas são imprecisas. Uma
análise de sensibilidade pode ser realizada para testar o efeito das mudanças nas
hipóteses e nos dados. Análises de sensibilidade pode ser o caminho também para testar
se os controles dos riscos e os tratamentos dados descritos no capítulo 3.6.2 são efetivos
ou não.

3.5 Avaliação do risco

O objetivo da avaliação de risco é tomar decisões baseadas nas saídas das análises dos
riscos determinando quais riscos precisam ser tratados e priorização deste tratamento.

A análise do risco e o critério dos riscos são comparados na avaliação de risco devem
ser considerado sobre a mesma base.
Os objetivos da organização e os efeitos gerados pela oportunidade gerada pelo risco
positivo devem ser considerados. Onde a escolha é feita baseando-se em opções, como
por exemplo, as maiores perdas potenciais associados aos maiores ganhos serão
escolhidos conforme critérios estabelecidos pela organização no contexto na análise.

As decisões são tomadas baseando-se no contexto que podem ocorrer os riscos e inclui
qual é a tolerância que a organização poderá ter caso este risco aconteça em relação aos
benefícios de não se tomar nenhuma ação.

Em algumas circunstâncias, a avaliação do risco pode levar a decisão de se fazer futuras

análises.

3.6 Tratamento de risco

3.6.1 Introdução

O tratamento de risco envolve a identificação da faixa de opções para o tratamento de

risco, avaliando aquelas opções, preparando os planos de tratamento de riscos e
implementando-os.

3.6.2 Identificando opções para o tratamento de risco em saídas

positivas

O tratamento das opções dos riscos pode resultar em saídas positivas (oportunidades),
mas não necessariamente recíprocas em todas as circunstâncias, podendo ser:

• Ao identificar uma oportunidade, decidir se inicia ou continua a

atividade que gerou o risco positivo;
Buscas inapropriadas de oportunidades, sem considerar os potenciais
impactos negativos, podem comprometer outras oportunidades resultando
em perda de tempo.
• Alterando a probabilidade de a oportunidade ocorrer, aumentando a
probabilidade de ganhos.
• Alterando os efeitos, aumentando os ganhos.
• Dividindo as oportunidades
Isto envolve outra parte que pode se beneficiar da oportunidade gerada.
Normalmente com aumento de recursos ou capacidades a probabilidade
da oportunidade ocorrer ou ganho ocorrerá. Mecanismos incluem o uso
de contratos para formação de estruturas organizadas como parcerias,
join-ventures ou royalties. A divisão das oportunidades normalmente
inclui a divisão dos custos envolvidos.
A divisão das responsabilidades pode introduzir novos riscos, onde a
outra parte pode não fornecer a capacidade ou o recurso combinado.
 • Reter oportunidades residuais.
Depois que uma oportunidade foi alterada ou dividida as sobras delas
devem ser retidas para serem usadas sem qualquer ação imediata
requerida.

3.6.3 Identificando opções para o tratamento de risco em saídas

negativas

O tratamento de riscos com saídas negativas possuem um conceito similar ao tratamento

com saídas positivas, porém as interpretações ou implicações são claramente diferentes.

Opções, que não são necessariamente exclusivas ou adequadas em todas as

circunstâncias, incluem o seguinte:

• Evitar o risco decidindo não prosseguir com a atividade provável em

gerar o risco (onde isto for possível).
Evitar o risco pode ocorrer inadequadamente por causa de uma atitude de
aversão ao risco, que é uma tendência de muitas pessoas e organizações.
Evitar maneira inadequada o risco pode aumentar a importância de outros
riscos ou perda de oportunidades.
• Alterar a probabilidade da ocorrência reduzindo a probabilidade de risco.
• Reduzir os efeitos, reduzindo a extensão de perda.
• Dividir o risco;
Isto envolve que a outra parte suporte ou compartilhe alguma parte do
risco. Os mecanismos incluem o uso de contratos, arranjos de garantia e
uma estrutura organizacional tal como uma parceria e consorcio (joint-
ventures). A transferência de um risco a outras partes, ou transferência
física a outros lugares, reduzirá o risco para a organização original, mas
pode não diminuir o nível global de risco para a sociedade. Onde os
riscos são transferidos no todo ou em parte, a organização transferindo o
risco adquiri um novo risco, onde a organização a qual o risco foi
transferido, pode não gerenciar o risco efetivamente.
• Reter o risco;
Após o risco ter sido reduzido ou transferido, podem existir riscos
residuais que são conservados. Os planos podem ser colocados em
prática para gerenciar as conseqüências destes riscos caso eles venham a
ocorrer, inclusive identificando meios de financiamento do risco. Os
riscos podem também serem retidos por default, seja, quando existir
adequadamente uma falha para identificar e/ou senão tratar o risco. A
redução das conseqüências e da probabilidade pode ser referida como
controle de risco. O controle do risco envolve a determinação dos
benefícios relativos do novo controle em vista da efetividade do controle
existente. Os controles podem envolver políticas efetivas, procedimentos
ou mudanças físicas.

3.6.4 Avaliando as opções de tratamento do risco

As opções podem ser avaliadas com base da extensão da redução do risco, e a extensão
de quaisquer benefícios adicionais ou oportunidades criadas. Um número de opções
pode ser considerado e aplicado individualmente ou em combinações. A seleção da
opção mais adequada envolve o balanceamento do custo da implementação de cada uma
das opções contra os benefícios derivados dessas opções. Em geral, o custo do
gerenciamento de riscos precisa ser comensurado com os benefícios obtidos. Onde
grandes reduções no risco podem ser obtidas com relativamente pouca despesa, tais
opções podem ser implementadas. Opções maiores para as melhorias podem não ser
econômicos e um julgamento precisa ser exercido como se eles fossem justificáveis. As
decisões devem levar em conta da necessidade de cuidadosamente considerar raros, mas
riscos severos, que podem garantir a redução de risco medidas que não justificáveis
sobre estritamente terrenos econômicos.

Em geral o impacto adverso dos riscos deve ser feito tão baixo como razoavelmente
praticável, independente de qualquer critério absoluto. Se o nível de risco é alto, mas
consideráveis oportunidades possam resultar a partir de tomando-se os risco, tal como o
uso de uma tecnologia nova, então a aceitação do risco precisa estar baseada sobre uma
avaliação dos custos do tratamento do risco, e os custos de retificação da conseqüência
potencial versus as oportunidades proporcionadas pela tomada do risco. Em muitos
casos, é improvável que qualquer uma opção de tratamento de risco seja uma absoluta
solução para um problema em particular.

Freqüentemente a organização se beneficiará substancialmente através de uma

combinação de opções tal como reduzindo a probabilidade dos riscos, reduzindo suas
conseqüências, e transferindo ou retendo qualquer risco residual. Um exemplo é o uso
efetivo de contratos e financiamento de riscos suportados por um programa de redução
de risco.

Onde os custos cumulativos de implementação excedem o budget disponível, o plano

deve claramente identificar a ordem de prioridade para que o tratamento individual dos
riscos deva ser implementado. A ordem de prioridade poder ser estabelecida usando
várias técnicas, incluindo a classificação de risco e a análise de custo benefício. O
tratamento do risco que não pode ser implementado dentro do limite do budget
disponível deve ou aguardar a disponibilidade de um maior aporte financeiro ou, se por
qualquer outra razão qualquer todos os tratamentos remanescentes são considerados
importantes, um exemplo deve ser feito para assegurar finanças adicionais. As opções
de tratamento de risco devem considerar como o risco é percebido pelas partes afetadas
e as maneiras mais adequadas para se comunicar com aquelas partes.

3.6.5 Preparando e Implementando os planos de tratamento de

riscos

O objetivo do tratamento do plano é documentar como as opções escolhidas deverão ser

implementadas. Os planos de tratamento incluem:
• Ações propostas;
• Requisitos de recursos;
• Responsabilidades;
• Tempo de ação;
• Avaliação de desempenho; e
 • Requisitos de monitoramento e relatório.

O plano de tratamento deve ser integrado com o gerenciamento e o processo

orçamentário da organização.

3.7 Monitoramento e revisão

A revisão é essencial para garantir o gerenciamento efetivo do plano. Fatores podem

afetar a probabilidade e os efeitos dos riscos, também pode afetar os custos das opções
de tratamento. Regularmente devemos revisar o plano de gerenciamento de riscos.

O progresso dos planos de tratamento dos riscos propicia informações de desempenho

que podem ser incorporados ao plano de gerenciamento de desempenho da organização.

O monitoramento e revisão envolvem lições aprendidas vindos do processo de

gerenciamento dos riscos, por eventos revistos, planos de tratamento dos riscos e outros.

3.8 Registro do processo de Gerenciamento de Risco

Cada estágio do processo de gerenciamento de riscos deve registrados apropriadamente.

Concepções, métodos, dados históricos, análises, resultados de análises e decisões
devem ser documentadas.

A documentação de cada processo é um importante aspecto da boa governança

corporativa.

Decisões baseadas em documentos de processos devem ser levadas em conta para:

• Necessidades legais e de negócios;

• O custo de criação de manutenção dos registros;
• Benefícios do uso destes registros.
(Referência AS ISO 15489)

4 Estabelecendo um Gerenciamento de riscos efetivos

4.1 Objetivo

O objetivo desta seção é descrever como desenvolver, executar e manter um sistema de

gerenciamento de riscos na sua organização.

Toda organização deve desenvolver uma política de gerenciamento de riscos, planejá-lo

e executá-lo. Isto permitira a empresa implementá-lo efetivamente em toda a empresa.
O plano deverá direcionar o processo de gerenciamento de riscos, dos sistemas,
processos e práticas da organização.
Enquanto este documento detalha como fazer em grandes empresas, todos os aspectos
são relevantes para grande parte das pequenas empresas. O mesmo pode ser aplicado em
empresas públicas, ONGs e setores privados.

4.2 Avaliando práticas existentes e necessidades

Em várias organizações existem planos de gerenciamento de práticas e processos que

incluem o processo de gerenciamento de riscos. Algumas empresas adotam o processo
de gerenciamento de riscos para algumas categorias particulares de riscos.

Antes de desenvolver o plano de gerenciamento de riscos, a organização deverá revisar

os processos de gerenciamento de riscos que existem hoje na empresa. Esta revisão
auxilia as necessidades de gerenciamentos de riscos e o seu contexto.

Esta revisão entregará uma avaliação estruturada de:

• Maturidade, características e efetividade dos negócios, sistemas e cultura de

gerenciamento de riscos existentes;
• O grau de integração e consistência do gerenciamento de riscos dentro da
organização e dentro dos diferentes tipos de riscos;
• Os processos ou sistemas que poderão ser modificados ou estendidos;
• Restrições que podem limitar a implantação do sistema de gerenciamento de
riscos;
• Requisitos de legislação ou acordo; e
• Restrição de recursos.

4.3 Planejando o gerenciamento de riscos

4.3.1 Desenvolver o plano de gerenciamento de riscos

O plano de gerenciamento de risco definirá como o gerenciamento de riscos será

conduzido dentro da organização. O plano de tratamento dos riscos poderá estar
separado ou junto com o plano de gerenciamento de riscos.

O objetivo do plano de ger. de riscos deverá incluir o gerenciamento de todas as práticas

e processos importantes da organização, por este motivo isto é relevante. O plano de
ger. de riscos pode ser usado nas políticas de desenvolvimento, de negócios e
estratégicos da organização. É aceitável também usá-lo em outros planos e processos,
como auditoria, continuidade de negócios, engenharia ambiental, controle de fraude,
recursos humanos, investimentos e gerenciamento de projetos.

O plano de ger. de riscos inclui seções específicas para funções particulares, áreas,
projetos, atividades e processos. Na prática, estas seções são planos separados, mas
devem ser condizentes com a política de gerenciamento de riscos da empresa.

4.3.2 Assegurar o apoio da alta gerência

Qualquer de comprometimento da alta gerência com o gerenciamento de riscos é
importante, com isto é possível:

• Obter o apoio e suporte dos diretores e média gerencia para o ger. de riscos e
também durante o desenvolvimento e implementação da política e do plano na
organização;
• Apontar um gerente sênior ou similar como líder ou patrocinados do plano; e
• Conseguir o comprometimento e apoio de todos os gerentes para execução do
plano de ger. de riscos.

4.3.3 Desenvolver e comunicar a política de gerenciamento de

riscos

A direção da empresa comunicará a política de ger. de riscos, incluindo seus objetivos.

A política pode incluir:

• Os objetivos e os argumentos necessários para se fazer o gerenciamento de

riscos;
• A ligação entre a política e os planos estratégicos da empresa;
• Os níveis e os tipos de risco que a organização tratará e o como fará o equilíbrio
entre ameaças e oportunidades;
• Os processos a serem usados para gerenciar tipos de riscos;
• As responsabilidade em gerenciar tipo de riscos;
• Detalhes de conhecimentos e expertise disponíveis para auxiliar o responsável
em gerenciar o risco;
• A descrição de como o monitoramento do gerenciamento de riscos será feita e
relatada;
• O compromisso de revisões periódicas do sistema de ger. de riscos; e
• A declaração de comprometimento da alta direção da empresa com a política.

Comunicando e publicando esta declaração demonstra o comprometimento da direção

da empresa com o ger. de riscos dentro de sua política. A comunicação pode incluir:

• A criação de um time, incluindo gerentes seniores, responsável pela

comunicação da política de ger. de riscos;

4.3.5 Adaptar o processo de gerenciamento de riscos

O processo de gerenciamento de riscos pode ser adaptado para a organização,

subordinando-o as políticas, procedimentos e culturas da empresa conforme processo de
revisão previsto no capítulo 4.2.

4.3.6 Assegurar recursos necessários

A organização deverá identificar os recursos necessários para o gerenciamento de riscos,

isto inclui considerar os recursos:
 • Pessoas e habilidades;
• Processos documentados e procedimentos;
• Sistemas de informação e banco de dados; e
• Recursos financeiros e outros recursos que sejam necessário em atividades
específicas.

O plano de ger. de riscos deverá especificar como as habilidades em gerenciamento de

riscos dos gerentes e sua equipe serão desenvolvidos e mantidos.

Um sistema de gerenciamento de riscos poderá ter as seguintes capacidades:

• Registrar detalhes dos riscos, controles e prioridades e mostrar qualquer

alteração neles;
• Registrar os tratamentos dos riscos e os recursos necessário para fazê-lo.
• Registrar detalhes de incidentes, eventos perdidos e lições aprendidas;
• Rastrear as responsabilidades, controles e tratamentos dos riscos;
• Rastrear os progressos e registros das ações de tratamento dos riscos finalizadas;
• Mostrar os progressos em relação ao plano de ger. de riscos, podendo medi-los;
• Disparar o monitoramento e assegurar a atividade.