Академический Документы
Профессиональный Документы
Культура Документы
MERCOSUR
ASOCIACIÓN
MERCOSUR DE Número de referencia
NORMALIZACIÓN NM ISO/TR 31004:2016
NM ISO/TR 31004:2016
Índice Sumário
Prefacio Prefácio
Introducción Introdução
1 Objeto 1 Escopo
Anexo B (informativo) Aplicación de los principios Anexo B (informativo) Aplicação dos principios da
de la Norma ISO 31000 ISO 31000
Bibliografía Bibliografia
NM ISO/TR 31004:2016
Prefacio Prefácio
Las Normas MERCOSUR son elaboradas en Normas MERCOSUL são elaboradas de acordo
acuerdo con las reglas dadas en las Directivas com as regras dadas nas Diretivas AMN, Parte 2.
AMN, Parte 2.
Esta Norma fue elaborada por el Comisión Esta Norma foi elaborada pela Comissão
Especial MERCOSUR CE 90:06 - Gestión de Especial MERCOSUL CE 90:06 - Gestão de
Riesgos. Riscos.
Se solicita atención a la posibilidad de que algunos Solicita-se atenção para a possibilidade de que
elementos de este documento puedan ser objeto alguns elementos deste documento possam ser
de derechos de patente. La AMN no es objetos de direitos de patente. A AMN não é
responsable por la identificación de cualquier o responsável pela identificação de qualquer ou tais
tales derechos de patente. direitos de patente.
NM ISO/TR 31004:2016
La tarea principal de los comités técnicos es la de A tarefa principal dos comitês técnicos é elaborar
preparar normas internacionales. Los proyectos de Normas Internacionais. Os projetos de Normas
normas internacionales adoptadas por los comités Internacionais adotados pelos comitês técnicos
técnicos son circulados a los organismos são distribuídos aos organismos membros para
nacionales y sometidos a votación. La publicación votação. A publicação como Norma Internacional
como norma internacional requiere la aprobación requer aprovação de pelo menos 75% dos
de al menos el 75% de los organismos nacionales. organismos membros com direito a voto.
Es importante señalar la posibilidad de que Atenção para a possibilidade de que alguns dos
algunos elementos de esta norma internacional elementos deste documento podem ser objeto de
pueden estar sujetos a derechos de patente. ISO direitos de patente. A ISO não deve ser
no es responsable de la identificación de alguno o considerada responsável pela identificação de
todos esos derechos de patentes. quaisquer direitos de patente.
La ISO/TR 31004 fue preparada por el Comité de A ISO/TR 31004 foi elaborada pela Comissão
Gestión Técnica de ISO responsable por la gestión Técnica ISO responsável pela gestão do Grupo de
del Grupo de Trabajo sobre Gestión de riesgos. Trabalho sobre gestão de riscos.
NM ISO/TR 31004:2016
Introducción Introdução
Las organizaciones utilizan varios métodos para Organizações usam vários métodos para
gestionar el efecto de la incertidumbre en el logro gerenciar o efeito da incerteza nos seus objetivos,
de sus objetivos, por ejemplo la gestión del riesgo, isto é, para gerenciar riscos, pela detecção e
identificando y comprendiendo los riesgos, y compreensão do risco, e modificando-o onde
tratándolos cuando sea necesario. necessário.
La intención de este Informe Técnico es asistir a Este Relatório Técnico destina-se a assistir as
las organizaciones en la mejora de la eficacia de organizações a aumentar a eficácia dos seus
los esfuerzos empleados en la gestión del riesgo esforços de gestão de riscos, pelo alinhamento
alineándola con la ISO 31000:2009. La com a ISO 31000:2009. A ISO 31000 fornece uma
ISO 31000 provee de un enfoque genérico de la abordagem de gestão de riscos genérica que pode
gestión del riesgo que puede ser aplicado por ser aplicada a todas as organizações para ajudar
todas las organizaciones para ayudarlas a a atingir os seus objetivos.
alcanzar sus objetivos.
La intención de este Informe Técnico es que sea Este Relatório Técnico destina-se a ser utilizado
utilizado en las organizaciones por aquellos que por aqueles que, dentro das organizações, tomam
toman las decisiones que impactan en el logro de decisões que impactam no alcance de seus
los objetivos, incluyendo aquellos responsables de objetivos, incluindo aqueles responsáveis pela
la gobernanza y aquellos que proveen de governança e aqueles que fornecem às
asesoramiento y servicio de soporte para la organizações, serviços de aconselhamento e
gestión del riesgo. Es intención de este Informe suporte em gestão de riscos. Este Relatório
Técnico que sea utilizado por cualquier persona Técnico também se destina a ser utilizado por
interesada en los riesgos y su gestión, incluyendo qualquer pessoa interessada em riscos e em sua
los profesores, estudiantes, legisladores y gestão, incluindo professores, estudantes,
reguladores. legisladores e reguladores.
La intención de este Informe Técnico es que sea Este Relatório Técnico destina-se a ser lido em
leído conjuntamente con la ISO 31000 siendo el conjunto com a ISO 31000 e é aplicável a todos os
mismo aplicable a las organizaciones de cualquier tipos e tamanhos de organização. Os conceitos
tipo y tamaño. Los conceptos y definiciones centrais e definições que são fundamentais para a
básicas que son centrales para la comprensión de compreensão ISO 31000 são explicados no
la ISO 31000 se explican en el Anexo A. Anexo A.
El Capítulo 3 provee una metodología genérica A Seção 3 fornece uma metodologia genérica para
para ayudar a las organizaciones en la transición ajudar a transição dos arranjos de gestão de
de los mecanismos de gestión del riesgo para que riscos existentes nas organizações para
se alinee con la ISO 31000, de una forma alinhamento com a ISO 31000, de forma planejada
planificada y estructurada. También provee de un e estruturada. Ela também fornece ajustes
ajuste dinámico tal como los cambios que ocurren dinâmicos à medida que mudanças ocorrem no
en el contexto interno y externo de la organización. ambiente interno e externo da organização.
Los ejemplos provistos en este Informe Técnico Exemplos fornecidos neste Relatório Técnico
podrían ser o no directamente aplicables a podem ou não ser diretamente aplicáveis a
situaciones u organizaciones particulares, y son situações ou organizações específicas, e são
dados sólo con fines ilustrativos. apenas para fins ilustrativos.
NM ISO/TR 31004:2016
La ISO 31000 establece una lista de once A ISO 31000 lista onze princípios para a gestão de
principios para la gestión eficaz del riesgo. La riscos eficaz. O papel dos princípios é informar e
función de los principios es de informar y guiar en orientar sobre todos os aspectos da abordagem da
todos los aspectos del enfoque de la organización organização para gestão de riscos. Os princípios
para la gestión del riesgo. Los principios describen descrevem as características de uma gestão de
las características de una gestión del riesgo eficaz. riscos eficaz.
En este Informe Técnico se utilizan las Neste Relatório Técnico, as expressões “Alta
expresiones “alta dirección” y “órgano de Direção” e ”organismo de supervisão” são ambas
supervisión”. La alta dirección se refiere a la utilizadas: “Alta Direção” refere-se à pessoa ou
persona o grupo de personas que dirigen y grupo de pessoas que dirige e controla uma
controlan la organización al más alto nivel, organização no mais alto nível, enquanto
mientras que el organismo de supervisión se “organismo de supervisão” refere-se à pessoa ou
refiere a la persona o grupo de personas que grupo de pessoas que governa uma organização,
gobiernan una organización, establecen las define direções, e a quem a Alta Direção presta
directivas, y rinden cuentas a la alta dirección. contas.
NOTA En algunas organizaciones, el órgano de supervisión NOTA Em muitas organizações, o organismo de supervisão
podría ser llamado consejo de directores, junta directiva, pode ser chamado de conselho diretor, conselho de curadores,
consejo supervisor. conselho de supervisão etc.
NM ISO/TR 31004:2016
1 Objeto 1 Escopo
Este Informe Técnico provee a las organizaciones Este Relatório Técnico fornece orientações para
de una guía para la gestión del riesgo eficaz que as organizações gerenciem riscos de forma
implantando la ISO 31000. Provee de: eficaz por meio da implementação da
ISO 31000:2009. Este Relatório Técnico fornece:
- una guía sobre los aspectos de los principios y - orientações sobre os aspectos dos princípios e
el marco de la gestión del riesgo, que son da estrutura para gerenciar riscos descritos na
descritos en la ISO 31000. ISO 31000.
Este Informe Técnico puede ser utilizado por Este Relatório Técnico pode ser usado por
cualquier organización pública, privada, qualquer empresa pública, privada ou comunitária,
comunitaria, una asociación, un grupo o en forma associação, grupo ou indivíduo.
individual.
NOTA Por conveniencia todos los usuarios de este Informe NOTA Por conveniência, todos os diferentes usuários deste
Técnico son incluidos en el término general de “organización”. Relatório Técnico são referidos pelo termo geral
“organização”.
Este Informe Técnico no es específico para Este Relatório Técnico não é específico para
ninguna industria o sector, o para un tipo particular qualquer indústria ou setor, ou para qualquer tipo
de riesgo, y puede ser aplicado a cualquier tipo de de risco específico, e pode ser aplicado a todas as
actividad y a todas las partes de la organización. atividades e a todas as partes das organizações.
Este Capítulo provee de una guía para aquellas Esta Seção fornece orientações para
organizaciones que desean alinear su enfoque y organizações que buscam alinhar sua abordagem
sus prácticas de gestión del riesgo con la e práticas de gestão de riscos com a ISO 31000 e
ISO 31000 y para mantener estas prácticas manter essas práticas alinhadas de forma
alineadas de manera continua. contínua.
1
NM ISO/TR 31004:2016
Provee de una metodología general que es Fornece uma metodologia geral que é adequada
adecuada para ser aplicada, de una forma para aplicação, de maneira planejada, por
planificada, por cualquier organización qualquer organização, independente da natureza
independientemente de la naturaleza de sus de seus atuais arranjos de gestão de riscos. Esta
disposiciones vigentes de gestión del riesgo. Esta metodologia envolve o seguinte:
metodología implica lo siguiente:
- la identificación de los cambios necesarios, la - identificar o que necessita ser mudado e preparar
preparación y la implantación de un plan para e implementar um plano para tal;
realizarlos;
Esto le permite obtener a las organizaciones una Isto habilitará a organização a obter uma
comprensión de sus riesgos presentes, y compreensão atualizada e abrangente de seus
asegurarse que esos riesgos son consistentes con riscos, e assegurar que esses riscos sejam
sus actitudes frente al riesgo y sus criterios de consistentes com a sua atitude perante o risco e
riesgo. os seus crité- rios de risco.
Más allá de los motivos de implantar la ISO 31000, Independentemente do motivo para a
se espera que la organización sea capaz de implementação da ISO 31000, ao fazê-la, espera-
gestionar mejor el riesgo, apoyando a sus se possibilitar a uma organização gerenciar melhor
objetivos. Todas las organizaciones gestionan los seus riscos, em apoio aos seus objetivos. Todas
riesgos de alguna forma. Se recomienda que la as organizações gerenciam riscos em alguma
estrategia para implantar la ISO 31000, reconozca extensão. Convém que a estratégia para a
como la organización ya está gestionando el implementação da ISO 31000 reconheça como
riesgo. uma organização já está gerenciando riscos.
La ISO 31000 identifica varios elementos de un A ISO 31000 identifica vários elementos de uma
marco de gestión del riesgo. Existen muchas estrutura para gerenciar riscos. Há diversas
ventajas que pueden surgir cuando los elementos vantagens que podem surgir quando os
del marco de gestión del riesgo se integra con la elementos desta estrutura são integrados na
gobernanza, las funciones y los procesos de la governança, funções e processos de uma
organización. Estos se relacionan con la eficacia organização. Estas relacionam-se com a eficácia
de la organización, la toma de decisiones y la organizacional, sólida tomada de decisões e
eficiencia. eficiência.
a) El marco de gestión del riesgo debería a) Convém que a estrutura para gerenciar riscos
realizarse integrando sus elementos con el seja realizada pela integração de seus
sistema de gestión global de la organización y la componentes dentro do sistema global de gestão
toma de decisiones, indistintamente si el sistema e tomada de decisões da organização, não
es formal o informal, los procesos de gestión importando se o sistema é formal ou informal; os
pueden ser mejorados al referirlos a la ISO 31000. processos de gestão existentes podem ser
melhorados pela referência à ISO 31000.
2
NM ISO/TR 31004:2016
e) Los informes de gestión del riesgo están e) O reporte da gestão de riscos é integrado com
integrados con otros informes de gestión. outros reportes de gestão.
i) Las áreas de actividad de gestión del riesgo se i) Silos de atividades de gestão de riscos dentro da
centralizan en un foco común para el logro de los organização centram-se em atingir os objetivos
objetivos de la organización. Es posible que haya organizacionais como um foco comum. Pode
beneficios sociales indirectos ya que las partes haver benefícios indiretos à sociedade, uma vez
interesadas externas de la organización pueden que as partes interessadas externas à
motivarse para mejorar sus respectivas organização podem estar motivadas a melhorar
actividades de gestión del riesgo. suas respectivas atividades de gestão de riscos.
3.2 Cómo implantar la ISO 31000 3.2 Como implementar a ISO 31000
A pesar que la ISO 31000 explica como gestionar Embora a ISO 31000 explique como gerenciar
el riesgo eficazmente, no explica como integrar la riscos de forma eficaz, ela não explica como
gestión del riesgo en los procesos de gestión de la integrar a gestão de riscos nos processos de
organización. Aunque las organizaciones son gestão da organização. Mesmo que as
diferentes y sus puntos de partida pueden ser organizações sejam diferentes e os seus pontos
diferentes, se puede aplicar en todos los casos un de partida possam ser diferentes, uma abordagem
enfoque genérico y sistemático para la de implementação genérica e sistemática é
implantación. aplicável em todos os casos.
Es conveniente que la organización determine los Convém que a organização determine se são
cambios que son necesarios en su marco de necessárias mudanças na estrutura existente para
trabajo existente para la gestión del riesgo, antes gerenciar riscos antes de planejar e implementar
de planificar e implantar esos cambios, y luego essas mudanças, e então monitorar a eficácia
realizar el seguimiento de la eficacia del marco contínua da estrutura alterada. Isso permitirá à
modificado. Esto le permitirá a la organización: organização:
- alinear sus actividades de gestión del riesgo - alinhar suas atividades de gestão de riscos com
con los principios de eficacia de gestión del riesgo os princípios para gestão de riscos eficaz descritos
descritos en el Capítulo 3 de la ISO 31000; na ISO 31000:2009, Seção 3;
- aplicar el proceso de gestión del riesgo - aplicar o processo de gestão de riscos descrito
descrito en la ISO 31000:2009, Capitulo 5; na ISO 31000:2009, Seção 5;
3
NM ISO/TR 31004:2016
- satisfacer los atributos de una gestión del - satisfazer aos atributos de uma gestão de riscos
riesgo fortalecida en la ISO 31000:2009, Capítulo avançada na ISO 31000:2009, Seção A.3;
A.3;
- así de este modo lograr los resultados claves - assim, atingir os resultados-chave da
de la Norma ISO 31000:2009, Capítulo A.2. ISO 31000:2009, Seção A.2.
3.3 Integración de la ISO 31000 en los procesos 3.3 Integração da ISO 31000 nos processos de
de gestión de la organización gestão da organização
La ISO 31000 proporciona un marco y un proceso A ISO 31000 fornece uma estrutura e um processo
genérico para la gestión del riesgo en toda o parte genérico para gerenciar riscos em toda ou em
de cualquier tipo de organización. Este Apartado parte de qualquer tipo de organização. Esta
provee de una guía para la integración de los Subseção fornece diretrizes para integrar os
elementos de la ISO 31000 en el enfoque de elementos da ISO 31000 na abordagem gerencial
gestión de la organización, incluyendo sus de uma organização, incluindo suas atividades,
actividades, procesos y funciones. Las processos e funções. As organizações podem
organizaciones pueden elegir la integración de los escolher integrar os conceitos da
conceptos con sus procesos existentes, o pueden ISO 31000 aos seus processos existentes ou
elegir el diseño y establecimiento de un nuevo podem escolher conceber e estabelecer uma nova
enfoque basado en la ISO 31000. Este Apartado abordagem baseada na ISO 31000. Esta
describe los elementos claves del marco y Subseção descreve os elementos centrais para a
proceso, y las acciones necesarias para una estrutura e processo, e as ações necessárias para
integración exitosa de estos elementos para uma integração bem-sucedida destes elementos
alcanzar los objetivos de la organización. Existen de modo a atender aos objetivos organizacionais.
muchas formas para integrar la ISO 31000 en la Existem várias maneiras de integrar a ISO 31000
organización. La elección y el orden de los em uma organização. Convém que a escolha e a
elementos deberían adaptarse según las ordem dos elementos sejam ajustadas às
necesidades de la organización y sus partes necessidades da organização e suas partes
interesadas. Se debería aplicar esta guía para interessadas. Convém que se tome cuidado ao
asegurar esta integración de apoyo a la estrategia aplicar estas diretrizes para assegurar que a
global de gestión del negocio. Esto conduce los integração suporte a estratégia global de gestão
esfuerzos al logro de los objetivos de la do negócio. Isto direciona o esforço para que se
organización de proteger y crear valor. Este atenda aos objetivos da organização de proteger e
enfoque también necesita la consideración de la criar valor. A abordagem também precisa
cultura de la organización, así como las considerar a cultura da organização, bem como as
metodologías de gestión de proyectos y de los metodologias de gestão de projeto e de mudança.
cambios.
Este Apartado describe los elementos claves del Esta Subseção descreve os elementos centrais da
marco y del proceso, y las acciones necesarias estrutura e processo, e as ações necessárias para
para la integración exitosa de estos elementos uma integração bem-sucedida destes elementos
para lograr los objetivos de la organización. de modo a atender aos objetivos organizacionais.
4
NM ISO/TR 31004:2016
Cualquier actividad de gestión del negocio Qualquer atividade de gestão de negócio se inicia
comienza con un análisis racional y de las etapas com uma análise da fundamentação e etapas dos
del proceso, y un análisis de costo-beneficio. Esto processos e uma análise de custo-benefício. Isto é
es seguido por la decisión de la alta dirección y el seguido por uma decisão da Alta Direção e do
órgano de supervisión de implantar y proveer del organismo de supervisão para implementar e
compromiso y los recursos necesarios. fornecer o comprometimento e os recursos
necessários.
d) la evaluación de los riesgos asociados con la d) avaliação dos riscos associada à transição;
transición;
3.3.3 Diseño del marco de gestión del riesgo 3.3.3 Concebendo a estrutura
3.3.3.1 Se debería evaluar los enfoques existentes 3.3.3.1 Convém que as abordagens existentes
de la organización para la gestión del riesgo, para a gestão de riscos na organização sejam
incluyendo el contexto y la cultura. avaliadas incluindo contexto e cultura.
5
NM ISO/TR 31004:2016
Para el diseño del nuevo marco de gestión del Convém que, ao conceber a nova estrutura,
riesgo, específicamente se debería evaluar lo especificamente, seja avaliado o seguinte:
siguiente:
- el marco de gestión del riesgo anterior, - a estrutura anterior, em cuja avaliação convém
la evaluación debería comparar particularmente que se compare em particular as práticas correntes
las prácticas vigentes con los requisitos de com os requisitos das seguintes subseções da
los apartados siguientes de la Norma ISO 31000:2009:
ISO 31000:2009:
- el proceso, la evaluación del mismo debería - o processo, em cuja avaliação convém que se
comparar los elementos existentes con los comparem os elementos dos processos existentes
indicados en la Norma ISO 31000:2009, com aqueles da ISO 31000:2009, Seção 5, assim
Capítulo 5, así como también los principios que como os princípios subjacentes que direcionam e
conducen y proveen la racionalidad al proceso, fornecem a fundamentação do processo com os
con los principios de la Norma ISO 31000:2009, princípios estabelecidos na ISO 31000:2009,
Capítulo 3 (ejemplo, cuando este proceso está Seção 3 (por exemplo, se este processo é de fato
siendo aplicado realmente en la toma de aplicado à tomada de decisões em todos os
decisiones en todos los niveles de la níveis):
organización);
6
NM ISO/TR 31004:2016
- evaluar si los procesos existentes proveen a - avaliar se o processo corrente fornece aos
los que toman decisiones, de la información de tomadores de decisão a informação de risco de
riesgo que necesitan para realizar decisiones de que eles necessitam para tomar decisões de
calidad y lograr o exceder los objetivos; qualidade e atender ou superar os objetivos;
3.3.3.2 Los requisitos del diseño del marco 3.3.3.2 Convém que os requisitos de concepção
deberían ser identificados. da estrutura sejam identificados.
Sobre la base de la evaluación descrita en 3.3.3.1, Com base nas avaliações descritas em 3.3.3.1,
la organización debería decidir sobre cuáles convém que a organização decida quais aspectos
aspectos del enfoque de la gestión del riesgo da abordagem de gestão de riscos corrente:
actual:
a) podrían ser utilizados en un futuro (posible a) poderiam continuar a ser usados no futuro
extensión a otros tipos de toma de decisiones); (possivelmente os estendendo para outros tipos
de tomada de decisões);
c) no agregan valor y es conveniente c) não mais agregam valor e convém que sejam
discontinuarlos. descontinuados.
- el riesgo se gestiona en toda la organización - riscos são gerenciados por toda a organização
utilizando enfoques consistentes; usando abordagens consistentes;
- las partes interesadas internas y externas están - tanto as partes interessadas internas quanto
involucradas, adecuadamente, a través de la externas são envolvidas, como apropriado, por
comunicación y la consulta; meio de uma comunicação e consulta
abrangentes;
- se registra la información de los riesgos y de los - a informação sobre riscos e a saída de todas as
resultados de todas las aplicaciones del proceso aplicações do processo de gestão de riscos são
de gestión del riesgo, de una forma consistente y registradas de maneira consistente e segura, com
segura, con el acceso apropiado. acesso apropriado.
Se debería establecer una frecuencia para la Convém que também seja feita provisão para
revisión periódica de los requisitos de la análise crítica periódica dos requisitos
organización, las herramientas, la formación y los organizacionais, ferramentas, treinamento e
recursos para la gestión del riesgo, si existen recursos para gerenciar riscos, se houver
cambios en la organización y su contexto, o si se mudanças subsequentes na organização e no seu
7
NM ISO/TR 31004:2016
3.3.3.3 Para la fase de implantación, se debería 3.3.3.3 Convém que o escopo, os objetivos, as
definir el alcance, los objetivos, las metas, los metas, os recursos, as medidas para o sucesso e
recursos, los indicadores de éxito, el seguimiento y os critérios para o monitoramento e análise crítica
revisión de los criterios. na fase de implementação sejam definidos.
3.3.3.4 Se debería establecer los mecanismos de 3.3.3.4 Convém que a comunicação interna e
comunicación y presentación de informes internos externa e os mecanismos de reporte sejam
y externos. estabelecidos.
El plan se debería apoyar con los recursos Convém que o plano seja suportado pelos
necesarios para su implantación, lo que puede recursos necessários para sua implementação, o
requerir asignaciones específicas de presupuesto, que pode demandar alocações orçamentárias
que es conveniente que sean parte del proceso de específicas, cujo desenvolvimento conviria que
planificación. fosse parte do processo de planejamento.
El plan en sí mismo debería ser sujeto a la Convém que o próprio plano seja submetido a
evaluación del riesgo de acuerdo a la uma avaliação de riscos de acordo com a
Norma ISO 31000:2009, 5.4; y que se tomaran las ISO 31000:2009, 5.4, e quaisquer ações
acciones necesarias para el tratamiento del riesgo. necessárias de tratamento de riscos,
implementadas.
El plan debería requerir y permitir realizar el Convém que o plano tanto requeira quanto permita
seguimiento del avance y la realización de que o progresso seja rastreado e reportado para a
informes a la alta dirección y al órgano de Alta Direção e o organismo de supervisão, e
supervisión. Debería establecerse una frecuencia convém que sejam feitas provisões para análises
periódica para la revisión del plan. críticas periódicas do plano.
- detallar las acciones específicas a realizar, su - detalhe ações específicas a serem tomadas, sua
secuencia, responsables, y el plazo para su sequência, por quem e o prazo para sua
finalización: éstas incluirán modificaciones de las conclusão: isso incluirá alteração de guias e
normas y guías internas, las explicaciones y la normas internas, explicação e treinamento para
capacitación para lograr las competencias, y los construir competência e realizar ajustes nas
ajustes en las responsabilidades de rendir responsabilizações;
cuentas;
- identificar cualquier acción que sea - identifique quaisquer ações que serão
implementada como parte de acciones mayores implementadas como parte de algumas ações mais
asociadas con el desarrollo organizacional , o que amplas, associadas ao desenvolvimento
estén relacionadas (por ejemplo: el desarrollo de organizacional, ou que estejam de outra forma
material de formación y los facilitadores); ligadas a ele (por exemplo, desenvolvimento de
material de treinamento e engajamento de
instrutores);
- identificar y registrar los criterios que - identifique e registre quaisquer critérios que
desencadenan la revisión del plan. dispararão a análise crítica do plano.
8
NM ISO/TR 31004:2016
La implantación puede llevar algún tiempo para su A implementação pode levar algum tempo para
culminación y puede realizarse en etapas. Se ser concluída e pode ser feita em estágios.
debería adoptar la práctica común de dar prioridad Convém que se adote a prática comum de dar
de acuerdo a las posibilidades, a aquellas prioridade sempre que possível às mudanças que
acciones que tienen mayor impacto en el logro del tenham o maior impacto no atingimento do
fin propuesto. La implantación puede darse en propósito final. Essa implementação pode ocorrer
varias etapas de madurez de la organización y de em vários estágios da maturidade e estrutura
la estructura. También podría ser más efectiva organizacionais. Também pode ser mais eficaz
para integrar la implantación con otros programas integrar a implementação com outros programas
de cambios. de mudança.
Se debería realizar el seguimiento, los análisis e Convém que o progresso em relação ao plano
informes para la alta dirección sobre el avance del seja identificado, analisado e reportado para a Alta
plan en una base de tiempo (mensualmente, Direção periodicamente (mensalmente,
trimestral, etc.). trimestralmente etc.).
Los informes de avance con respecto al plan, y el Convém que sejam validados periodicamente os
desempeño con respecto a los indicadores, se reportes de progresso, em relação ao plano, e de
deberían validar periódicamente en un proceso desempenho, em relação aos indicadores, por
imparcial de revisión de los objetivos. La revisión meio de um processo de análise crítica objetivo e
debería incluir el análisis del marco de gestión del imparcial. Convém que as análises críticas
riesgo, los procesos, los riesgos en sí mismos y el incluam o exame da estrutura, processos e os
cambio en el entorno. próprios riscos assim como mudanças no
ambiente.
Se debería realizar una revisión periódica de la Convém que haja uma análise crítica periódica da
estrategia para la implantación, y una medición del estratégia de implementação, e medição de
avance, en cuanto a la consistencia y las progresso, da consistência e desvio em relação ao
desviaciones con respecto al plan. Las revisiones plano de gestão de riscos. Análises críticas também
también pueden realizarse si se cumplieron los podem ocorrer se os critérios para a análise crítica
criterios establecidos para la revisión del plan. estabelecidos no plano forem atendidos.
Se debería evaluar el desempeño de acuerdo a la Convém que o desempenho seja avaliado com
eficacia de los cambios y la gestión del riesgo, así relação à eficácia da mudança e gestão de riscos,
como la identificación de las lecciones aprendidas bem como para identificar lições aprendidas e
y las oportunidades de mejora. oportunidades de melhoria.
Se debería informar sobre los temas significativos Convém que as questões significativas
del seguimiento a aquellos que son responsables resultantes do monitoramento sejam reportadas
de rendir cuentas. para aqueles que são responsabilizáveis.
Los resultados de esta etapa serán Os resultados desta etapa serão retroalimentados
retroalimentados al contexto y otras funciones, tal no contexto e em outras funções, de forma que
que los nuevos riesgos se puedan identificar, así novos riscos possam ser identificados, mudanças
como los cambios en los riesgos existentes y el em riscos existentes possam ser descobertas e
estado de ejecución del marco de gestión del que o estado da estrutura possa ser registrado
riesgo y éstos puedan registrarse para la mejora para melhoria (ver ISO 31000:2009, 4.6 e 5.7).
(ver ISO 31000:2009, 4.6 y 5.7).
El marco de gestión del riesgo y el proceso de Convém que tanto a estrutura para gerenciar riscos
gestión del riesgo se deberían revisar para evaluar e o processo de gestão de riscos sejam analisados
si el diseño es adecuado y, su implantación criticamente para avaliar se a sua concepção está
agrega valor a la organización de acuerdo a lo apropriada e se sua implementação está
previsto. Si el resultado de la revisión es que se agregando valor para a organização conforme
pueden realizar mejoras, las mismas se deberían pretendido. Se os resultados do monitoramento e
realizar tan pronto como sea posible. da análise crítica demonstrarem que as melhorias
podem ser feitas, convém que estas sejam
implementadas tão logo quanto possível.
9
NM ISO/TR 31004:2016
En aquellas organizaciones que han transitado Para as organizações que tenham migrado para a
con la ISO 31000, debería existir una ISO 31000, convém que haja atenção constante e
concientización constante y se deberían tomar las aproveitamento da oportunidade para melhoria. As
oportunidades de mejora. Las mismas etapas mesmas etapas utilizadas no processo de transição
transitadas en el proceso de transición son também são úteis para fazer verificações periódicas
también útiles para realizar las verificaciones para identificar se tem havido desvios neste
periódicas por si existieron desviaciones en el processo.
proceso.
Existen varios desencadenantes del proceso de Há vários disparadores para a melhoria contínua,
mejora continua, incluyendo los siguientes: incluindo os seguintes:
un cambio sustantivo en el contexto interno y - uma mudança substancial nos contextos interno
externo de la organización. e externo da organização.
10
NM ISO/TR 31004:2016
Anexo A
(informativo)
Este Anexo explica ciertos términos y conceptos Este Anexo explica determinados conceitos e
(por ejemplo: riesgo) que son usados comúnmente palavras (por exemplo, “risco”) que são de uso
y pueden tener varios significados, pero que tienen cotidiano e podem ter vários significados, mas que
una definición particular en la Norma ISO 31000 y têm um significado particular na ISO 31000 e
en este Informe Técnico. neste Relatório Técnico.
La Norma ISO 31000 define riesgo como el “efecto A ISO 31000 define risco como o “efeito da
de la incertidumbre en los objetivos”. incerteza nos objetivos”.
NOTA Se recomienda que los lectores se familiaricen con los NOTA É recomendável que os leitores se familiarizem com os
términos y definiciones presentados en este Anexo. termos e definições neste Anexo.
11
NM ISO/TR 31004:2016
La comprensión de que el riesgo puede tener O entendimento de que risco pode ter
consecuencias positivas o negativas es un consequências positivas ou negativas é um
concepto central y vital para ser entendido por la conceito central e vital a ser compreendido pela
dirección. El riesgo puede exponer a la direção. O risco pode expor a organização tanto a
organización tanto a una oportunidad, como a una uma oportunidade quanto a uma ameaça ou a
amenaza o ambas. ambos.
El riesgo se crea o modifica cuando se toman O risco é criado ou alterado quando decisões são
decisiones. Debido a que casi siempre hay cierta tomadas. Porque há quase sempre alguma
incertidumbre asociada con las decisiones y la incerteza associada a decisões e na tomada de
toma de decisiones, casi siempre hay riesgo. Los decisões existe quase sempre risco. Aqueles
responsables del logro de los objetivos deberían responsáveis por atingir objetivos precisam
tener en cuenta que el riesgo es una parte compreender que o risco é uma parte inevitável
inevitable de las actividades de la organización, das atividades da organização que é tipicamente
que por lo general se crea o modifica cuando se criado ou alterado quando decisões são tomadas.
toman las decisiones. Los riesgos asociados con Convém que os riscos associados a uma decisão
una decisión deberían entenderse en el momento sejam compreendidos no momento em que a
de tomar la decisión, y por lo tanto la toma de decisão é tomada e a assunção do risco é
riesgos es intencional. La aplicación del proceso portanto intencional. Usar o processo de gestão de
de gestión del riesgo descrito en la Norma riscos descrito na ISO 31000 torna isto possível.
ISO 31000 lo hace posible.
La incertidumbre que, junto con los objetivos, da A incerteza que, juntamente com os objetivos,
lugar al riesgo se origina en el entorno interno y gera o risco origina-se no ambiente interno e
externo en el que opera la organización. Ésta externo em que a organização opera. Esta
incertidumbre puede ser: incerteza pode:
- producida por procesos naturales que se - ser produzida por processos naturais que são
caracterizan por la variabilidad inherente, por caracterizados por variabilidade inerente, por
ejemplo, en el tiempo, la variación entre las exemplo, na meteorologia, variação entre
observaciones en una población; observações em uma população;
- cambios a lo largo del tiempo, por ejemplo, - mudar ao longo do tempo, por exemplo, devido à
debido a la competencia, las tendencias, competição, tendências, novas informações,
información nueva, cambios en los factores mudanças nos fatores subjacentes;
subyacentes;
- producida por la percepción de la incertidumbre - ser produzida pela percepção de incerteza que
que puede variar dentro de las partes de la pode variar entre partes da organização e as suas
organización y sus partes interesadas. partes interessadas.
12
NM ISO/TR 31004:2016
Los controles son medidas implementadas por las Controles são medidas implementadas pelas
organizaciones para modificar el riesgo tal que organizações para modificar o risco, possibilitando
permitan el logro de los objetivos. Los controles o alcance dos objetivos. Controles podem
pueden modificar el riesgo al cambiar cualquier modificar riscos pela mudança de qualquer fonte
fuente de incertidumbre (por ejemplo, por lo que de incerteza (por exemplo, ao tornar mais ou
es más o menos probable que algo ocurra) o menos provável que algo aconteça) ou pela
cambiando el rango de las posibles consecuencias mudança da série de possíveis consequências e
y donde pueden producirse. onde podem ocorrer.
El tratamiento del riesgo, tal como se define en la Tratamento de risco, como definido na ISO 31000,
Norma ISO 31000, es el proceso por el cual se é o processo que se destina a alterar ou criar
pretende cambiar o crear controles e incluye la controles, e inclui a retenção de risco.
retención del riesgo.
A.5 Marco de gestión del riesgo A.5 Estrutura para gerenciar riscos
El marco de gestión de riesgo se refiere a los A estrutura para gerenciar riscos refere-se aos
acuerdos (incluidos las prácticas, los procesos, los arranjos (incluindo práticas, processos, sistemas,
sistemas, los recursos y la cultura) dentro del recursos e cultura) no sistema de gestão da
sistema de gestión de la organización que organização, que possibilitam que o risco seja
permiten que el riesgo sea gestionado. En última gerenciado. As características de uma estrutura, e
instancia las características del marco, y el grado a extensão em que é integrada no sistema de
en que está integrado con el sistema de gestión de gestão da organização, determinarão por fim o
la organización, determinan la eficacia de la quão efetivamente o risco será gerenciado.
gestión del riesgo.
El marco incluye declaraciones claras de la alta A estrutura inclui declarações claras pela Alta
dirección sobre la intención de la organización con Direção sobre as intenções da organização em
respecto a la gestión del riesgo (que se describe relação à gestão de riscos (descrita na ISO 31000
en la Norma ISO 31000 como el mandato y el como mandato e comprometimento) e a
compromiso) y de la capacidad necesaria capacidade necessária (recursos e competências)
(recursos y capacidades) para lograr este para atingir este intento.
propósito.
Esta capacidad no existe como un sistema o Esta capacidade não existe como um sistema
entidad únicos. Esta capacidad comprende único ou entidade. Esta capacidade abrange
numerosos elementos integrados en los procesos numerosos elementos integrados nos processos
de la gestión global de la organización. O bien globais de gestão da organização. Podem ser
pueden ser únicos para la tarea de la gestión del aplicados unicamente para a tarefa de gerenciar
riesgo (por ejemplo, un sistema de información risco (por exemplo, um sistema de informação
especializado), o ser aspectos del sistema de especializado), ou serem aspectos do sistema de
gestión de la organización (por ejemplo, las gestão da organização (por exemplo, as suas
prácticas de recursos humanos). práticas de recursos humanos).
Los criterios de riesgo son los términos de Critérios de risco são parâmetros estabelecidos
referencia establecidos por la organización para pela organização que a possibilitem descrever o
que pueda proceder a describir los riesgos y tomar risco e tomar decisões sobre a significância do
decisiones acerca de la relevancia del riesgo, risco, levando em consideração a atitude da
teniendo en cuenta la actitud frente al riesgo de la organização perante o risco. Estas decisões
organización. Estas decisiones permiten evaluar y possibilitam que o risco seja avaliado e o
seleccionar el tratamiento del riesgo. tratamento selecionado.
A.7 Gestión, gestión del riesgo y gestionar A.7 Gestão, gestão de riscos e gerenciar
el riesgo riscos
La gestión implica actividades coordinadas para A gestão envolve atividades coordenadas que
dirigir y controlar una organización en la dirigem e controlam uma organização para o
consecución de sus objetivos. atingimento de seus objetivos.
13
NM ISO/TR 31004:2016
En este Informe Técnico, como en Norma la Neste Relatório Técnico, assim como na
ISO 31000, la expresión "gestión del riesgo" por lo ISO 31000, a expressão “gestão de riscos”
general se refiere a la arquitectura que las refere-se, em termos gerais, à arquitetura que as
organizaciones utilizan (principios, el marco y el organizações usam (princípios, estrutura e
proceso) para gestionar el riesgo de manera processo) para gerenciar riscos efetivamente (com
eficaz, y "gestionar el riesgo" se refiere a la eficácia) e “gerenciando riscos” refere-se à
aplicación de la arquitectura en las decisiones aplicação da arquitetura a decisões, atividades e
particulares, las actividades y los riesgos. riscos em particular.
14
NM ISO/TR 31004:2016
Anexo B
(informativo)
a) la razón fundamental para la gestión del riesgo a) a fundamentação para gerenciar riscos
de manera eficaz (por ejemplo, la gestión de efetivamente (por exemplo, a gestão de riscos cria
riesgos protege y crea valor); e protege valor);
b) las características de la gestión del riesgo que b) as características de gestão de riscos que
permiten que la gestión del riesgo sea eficaz, por tornam a gestão de riscos eficaz, por exemplo,
ejemplo, principio b), que específica que la gestión princípio b), que especifica que a gestão de riscos
de riesgos es una parte integral de todos los é parte integrante de todos os processos
procesos de la organización. organizacionais.
En la Norma ISO 31000, cada principio se resume Na ISO 31000, cada princípio está resumido em
con su título en pocas palabras, con el texto de poucas palavras por seu título, com o texto de
apoyo que proporciona la explicación y el detalle. apoio fornecendo explicações e detalhes.
Los once principios deberían ser considerados en Convém que todos os onze princípios sejam
el diseño de los objetivos de la gestión del riesgo considerados na concepção dos objetivos para a
de la organización, sin embargo, la importancia de gestão de riscos da organização, no entanto, a
los principios individuales puede variar de acuerdo importância de princípios individuais pode variar
con la parte del marco en consideración y la de acordo com a parte da estrutura considerada e
adaptación a su aplicación específica. ajustada para a sua aplicação específica.
Los once principios deberían tenerse en cuenta en Convém que todos os onze princípios sejam
todo momento, incluso aunque la importancia de mantidos em mente o tempo todo, mesmo que a
los principios individuales puede variar de acuerdo importância dos princípios individuais possa variar
con la parte del marco en consideración. de acordo com a parte da estrutura em questão.
Aunque los principios se expresan de manera Embora os princípios sejam expressos de forma
sucinta, las implicancias de cada uno necesitan sucinta, as implicações de cada um deles
ser cuidadosamente entendidas con el fin de precisam ser completamente compreendidas, a
llevarlas a la práctica sobre una base continua. fim de dar-lhes efeito de forma contínua.
Posteriormente, los resultados de este tipo de Posteriormente, convém que os resultados deste
análisis se deberían reflejar en el diseño o mejora tipo de análise sejam refletidos na concepção ou
del marco (por ejemplo, en la asignación de no aprimoramento da estrutura (por exemplo, na
responsabilidades, la provisión de capacitación, la alocação de responsabilidades, na provisão de
comunicación con las partes interesadas y el treinamento, na comunicação com as partes
15
NM ISO/TR 31004:2016
En este Anexo se ofrece orientación sobre cómo Este Anexo fornece orientação sobre como aplicar
aplicar cada principio y, además para algunos cada princípio e, além disso, para alguns
principios se dan también ayuda práctica. princípios há também caixas de ajuda prática.
B.2.1 La gestión del riesgo protege y crea valor B.2.1 A gestão de riscos cria e protege valor
a) La gestión de riesgos protege y crea valor. a) A gestão de riscos cria e protege valor.
La gestión del riesgo contribuye al logro de los A gestão de riscos contribui para a realização
objetivos y en la mejora demostrable del demonstrável dos objetivos e melhoria de
desempeño, por ejemplo, la salud humana y la desempenho em, por exemplo, saúde e proteção
seguridad, el cumplimiento legal y reglamentario, humana, segurança, conformidade legal e
la aceptación pública, la protección del ambiente, regulatória, aceitação pública, proteção ambiental,
la calidad del producto, la gestión de proyectos, la qualidade de produto, gerenciamento de projetos,
eficiencia en las operaciones, la gobernanza y la eficiência das operações, governança e reputação.
reputación.
Este principio explica que el propósito de la Este princípio explica que o objetivo da gestão de
gestión del riesgo es proteger y crear valor riscos é criar e proteger valor quando ajuda uma
ayudando a una organización a alcanzar sus organização a atingir seus objetivos. Isso é
objetivos. Para ello, ayuda a la organización a realizado, ajudando a organização a identificar e
identificar y abordar los factores, tanto internos lidar com os fatores, internos ou externos à
como externos a la organización, que dan lugar a organização, que dão origem à incerteza
la incertidumbre asociada a sus objetivos. associada com os seus objetivos.
Se debería demostrar claramente y comunicar el Convém que a ligação entre a eficácia da gestão
vínculo entre la eficacia de la gestión del riesgo y de riscos e como ela contribui para o sucesso da
cómo contribuye al éxito de la organización. El organização seja claramente demonstrada e
principio aclara que el riesgo no se debería comunicada. O princípio esclarece que não
manejar por su propio bien, sino para que se convém que o risco seja gerenciado por si só, mas
logren los objetivos y se mejore el desempeño. para que os objetivos sejam atingidos e o
desempenho aprimorado.
Algunos atributos y valores no se pueden medir Alguns atributos e valores não podem ser medidos
fácilmente en forma directa (por ejemplo, en diretamente de forma fácil (por exemplo, em
términos de dinero), pero también contribuyen en termos financeiros), no entanto, contribuem
gran medida al desempeño, la reputación y el fortemente para o desempenho, reputação e
cumplimiento legal. Los valores humanos, sociales conformidade legal. Os valores humanos, sociais e
y ecológicos son de particular importancia en la ecológicos são particularmente importantes na
gestión de la seguridad, y los riesgos relacionados gestão dos riscos relativos à segurança e
con el cumplimiento, así como los relacionados conformidade, assim como aqueles associados
con los activos intangibles, por eso es posible que com os ativos intangíveis, portanto, a criação de
se exprese la creación de valor mediante valor pode precisar ser expressa utilizando
descriptores cualitativos en vez de medidas descrição qualitativa em vez de medidas
cuantitativas. quantitativas.
B.2.2 La gestión del riesgo es una parte B.2.2 A gestão de riscos é parte integrante de
integral de todos los procesos de la todos os processos organizacionais
organización
16
NM ISO/TR 31004:2016
b) La gestión del riesgo es una parte integral b) A gestão de riscos é parte integrante de
de todos los procesos de la organización. todos os processos organizacionais.
La gestión del riesgo no es una actividad aislada A gestão de riscos não é uma atividade autônoma,
que está separada de las principales actividades y separada das principais atividades e processos da
procesos de la organización. La gestión del riesgo organização. A gestão de riscos é parte das
es parte de las responsabilidades de la dirección y responsabilidades da direção e uma parte
una parte integral de todos los procesos de la integrante de todos os processos organizacionais,
organización, incluida la planificación estratégica y incluindo planejamento estratégico e todos os
todos los proyectos y procesos de gestión del projetos e processos de gestão de mudanças.
cambio.
Los cambios en el contexto externo que están más As mudanças no contexto externo que estão fora
allá del control y la influencia de la organización do controle e influência da organização também
también pueden dar lugar a nuevos riesgos. podem dar origem a novos riscos.
a) el marco para la gestión del riesgo debería a) convém que a estrutura para gerenciar riscos
realizarse mediante la integración de sus seja compreendida pela integração de seus
elementos en el sistema de gestión general de la componentes ao sistema global de gestão e
organización y la toma de decisiones, los procesos tomada de decisões da organização,
de gestión existentes pueden mejorarse mediante independentemente do sistema ser formal ou
la referencia a la Norma ISO 31000 informal; processos de gestão existentes podem
independientemente que el sistema sea formal o ser melhorados referindo-se à ISO 31000;
informal;
b) el proceso de gestión del riesgo debería ser una b) convém que o processo de gestão de riscos
parte integral de las actividades que generan los seja parte integrante das atividades que geram
riesgos; de lo contrario, la organización encontrará risco; caso contrário, a organização perceberá que
la necesidad de modificar las decisiones más é preciso modificar as decisões mais tarde,
tarde, cuando los riesgos asociados son quando os riscos associados são posteriormente
comprendidos posteriormente; compreendidos;
c) cuando no exista un sistema de gestión formal, c) se um sistema formal de gestão não existe, é
el marco de gestión del riesgo puede servir para possível que uma estrutura para gerenciar riscos
este propósito. sirva a esse propósito.
Si la gestión del riesgo no está integrada con Se a gestão de riscos não está integrada a outras
otras actividades y procesos de gestión, se puede atividades e processos de gestão, esta pode ser
percibir como una tarea administrativa adicional, o percebida como uma tarefa administrativa
ser vista como un ejercicio burocrático que no adicional, ou vista como um exercício burocrático
protege ni crea valor. que não cria ou protege valor.
Los dos métodos principales para aplicar el Os dois principais métodos de aplicação do
principio son los siguientes: princípio são os seguintes:
- en la aplicación del proceso de gestión del riesgo - na aplicação do processo de gestão de riscos
para la toma de decisiones y las actividades para a tomada de decisões e atividades
relacionadas. relacionadas.
También los órganos de auditoria pueden Organismos de auditoria também estão aptos a
desempeñar un papel importante, al cuestionar desempenhar um papel importante, ao questionar
cómo se ha llegado a una decisión y comprobar si como a direção chegou a uma decisão e verificar
implicó una aplicación adecuada del proceso de se essa envolveu uma aplicação adequada do
gestión del riesgo. processo de gestão de riscos.
B.2.3 La gestión del riesgo es parte de la toma B.2.3 A gestão de riscos é parte da tomada de
de decisiones decisões
Este principio establece que la gestión del riesgo Este princípio estabelece que a gestão de riscos
proporciona la base para la toma de decisiones fornece a base para a tomada de decisões
informadas. informadas.
La gestión del riesgo debería integrarse en las Convém que a gestão de riscos seja integrada a
actividades de apoyo a la consecución de los atividades de apoio à realização dos objetivos e ao
objetivos y al proceso de toma de decisiones. El processo de tomada de decisões. Convém que o
proceso de toma de decisiones debería evaluar de processo de tomada de decisões avalie
forma consistente y, cuando fuera necesario, tratar consistentemente e, se necessário, trate o risco.
el riesgo. Tomar o no tomar decisiones implica un Tomar ou não tomar decisões envolve riscos, e é
riesgo, y en ambas situaciones es importante tener importante ter uma compreensão dos riscos
una comprensión de los riesgos asociados. associados em ambas as situações.
La gestión del riesgo debería aplicarse como parte Convém que a gestão de riscos seja aplicada
de una decisión, y en el momento de tomar la como parte de uma decisão, no momento em que
decisión (es decir, proactiva), y no después de é tomada a decisão (ou seja, de forma proativa), e
haber tomado la decisión (es decir, de forma não após a decisão ser tomada (ou seja, de forma
reactiva), por ejemplo de la forma siguiente: reativa), por exemplo, do seguinte modo:
- las decisiones sobre cuestiones estratégicas - convém que as decisões sobre questões
deberían tener en cuenta las incertidumbres que estratégicas levem em consideração as incertezas
pesan sobre los cambios en los factores del sobre as mudanças nos fatores ambientais, bem
entorno, así como los cambios en los recursos de como mudanças nos recursos da organização;
la organización;
- el proceso de innovación debería tener en cuenta - convém que o processo de inovação leve em
no sólo la incertidumbre que determina el éxito de consideração não apenas a incerteza que
la innovación, sino también los riesgos de la determina o sucesso da inovação, mas também os
innovación relativos a los aspectos de los riscos relativos aos aspectos humanos, sociais,
derechos humanos, sociales, de seguridad y del ambientais e de segurança da inovação, e
entorno, y los requisitos legales (por ejemplo, la tratados de acordo com os requisitos legais (por
seguridad del producto); exemplo, a segurança de produtos);
18
NM ISO/TR 31004:2016
- en los planes con grandes inversiones se debería - convém que os planos para grandes
especificar los hitos de decisión en los cuales se investimentos especifiquem os marcos de decisão
realizará la evaluación del riesgo. em que ocorrerão a avaliação dos riscos.
Las otras partes del marco deberían tener en Convém que as outras partes da estrutura levem
cuenta la forma en que se toman las decisiones, em conta a forma como as decisões são tomadas,
para que el proceso se aplique de una manera de modo que o processo seja aplicado de forma
eficaz y consistente en toda toma de decisiones, eficaz e de modo consistente em todas as
por ejemplo, gestión de proyectos, evaluación de tomadas de decisões, por exemplo,
la inversión, la contratación. gerenciamento de projetos, avaliação de
investimentos, aquisições.
- ¿Cómo puede ayudar a proteger y crear valor? - Como isso pode ajudar a criar e proteger valor?
[Principio a)] [Princípio a)]
- ¿Cómo los que toman decisiones van adquirir los - Como os tomadores de decisões adquirem os
conocimientos y habilidades que necesitan? conhecimentos e habilidades necessários?
- ¿Qué dirección y apoyo se necesita para el - Que direção e apoio são necessários para a
personal existente? equipe existente?
- ¿Cómo será inducido el personal en este método - Como a equipe futura será introduzida a este
de toma de decisiones en el futuro? método de tomada de decisões?
- ¿Cómo se verán afectadas las partes - Como as partes interessadas externas serão
interesadas externas? afetadas?
- ¿Qué procesos de toma de decisión tendrían que - Que processos de tomada de decisões da
cambiar en la organización? organização precisariam mudar?
- ¿Cómo sería el seguimiento del progreso en la - Como o progresso na aplicação deste princípio
aplicación de este principio? seria monitorado?
19
NM ISO/TR 31004:2016
B.2.4 La gestión del riesgo aborda B.2.4 A gestão de riscos aborda explicitamente
explícitamente la incertidumbre a incerteza
Lo que hace única a la gestión del riesgo entre O que faz a gestão de riscos tornar-se única entre
otros tipos de gestión es que aborda os outros tipos de gestão é que ela aborda
específicamente el efecto de la incertidumbre en especificamente o efeito da incerteza nos
los objetivos. El riesgo sólo se puede evaluar o objetivos. O risco só pode ser avaliado ou tratado
tratar de manera eficaz si se entienden la com sucesso se a natureza e a fonte da incerteza
naturaleza y la fuente de incertidumbre. são compreendidas.
Las personas involucradas en la gestión del riesgo Convém que as pessoas envolvidas na gestão de
deberían tener un buen conocimiento de la riscos tenham uma boa compreensão da
importancia de la incertidumbre, y los tipos y importância da incerteza, e os tipos e fontes de
fuentes de incertidumbre. El número y los tipos de incerteza. Convém que o número e os tipos de
métodos utilizados para la evaluación del riesgo métodos de avaliação de risco utilizados para
deberían ser adecuados y pertinentes de acuerdo tratar a incerteza sejam adequados e relevantes
a la importancia de la decisión: se pueden aplicar para a importância da decisão: pode-se justificar o
métodos múltiples. uso de vários métodos.
Cuando se evalúa el riesgo, es importante tener Quando o risco está sendo avaliado, é importante
en cuenta la incertidumbre asociada a la considerar a incerteza associada com a estimativa
estimación de las valoraciones de la probabilidad das classificações de probabilidade e
matemática y las consecuencias. Al analizar los consequência. Ao analisar o risco e propor
riesgos y proponer tratamientos, debería utilizarse tratamentos, convém que estudos de sensibilidade
los estudios de sensibilidad para entender la sejam utilizados para compreender a real
influencia real de esas incertidumbres. influência dessas incertezas.
20
NM ISO/TR 31004:2016
- Esta práctica no tiene por qué limitarse a las - Esta prática não precisa ser limitada a avaliações
evaluaciones formales del riesgo, por ejemplo, se de riscos formais, por exemplo, poderia aplicar-se
puede aplicar a todos los pronósticos. a todas as previsões.
Un enfoque coherente de la gestión del riesgo en Uma abordagem consistente para gerir riscos no
el momento de la toma de decisiones logrará momento da tomada de decisões tornará a
eficiencias en una organización, y puede organização mais eficiente, e pode fornecer
proporcionar resultados que promuevan la resultados que criam confiança e sucesso. Isto
confianza y el éxito. Esto requiere de prácticas requer práticas organizacionais que considerem os
organizacionales que consideren los riesgos riscos associados a todas as decisões, bem como
asociados a todas las decisiones, y el uso de a utilização de critérios de risco consistentes que
criterios de riesgo consistentes que se relacionan se relacionam com os objetivos das organizações
con los objetivos de la organización y el alcance e o escopo de suas atividades.
de sus actividades.
Un enfoque oportuno significa que el proceso de Uma abordagem oportuna significa que o
gestión del riesgo se aplica en el momento óptimo processo de gestão de riscos é aplicado no ponto
en el proceso de toma de decisiones. En parte, ideal no processo de tomada de decisões. Em
esto depende del diseño del marco, al que parte, isso depende da concepção da estrutura,
también se aplica este principio. Si las para a qual este princípio também se aplica. Se as
consideraciones sobre el riesgo se hacen considerações de risco forem feitas muito cedo ou
demasiado pronto o demasiado tarde, o bien se tarde demais, tanto as oportunidades podem ser
podrían perder oportunidades o haber costos perdidas como poderia haver custos substanciais
sustanciales de la revisión de la decisión. Se para revisar a decisão. Convém que o efeito do
debería evaluar y entender las dependencias con tempo seja avaliado e compreendido para
el tiempo para determinar el enfoque más eficaz determinar a abordagem de gestão de riscos mais
en la gestión del riesgo. eficaz.
21
NM ISO/TR 31004:2016
Un enfoque estructurado significa la aplicación del Uma abordagem estruturada significa aplicação do
proceso de gestión del riesgo en la forma descrita processo de gestão de riscos na forma descrita na
en la Norma ISO 31000:2009, Capítulo 5, ISO 31000:2009, Seção 5, incluindo os
incluyendo las preparaciones adecuadas para preparativos adequados para essas atividades.
estas actividades. Dependiendo de las Dependendo das necessidades, convém que o
necesidades, el método debería ser consistente, método esteja consistente tanto com uma
ya sea con un enfoque descendente o abordagem de cima para baixo ou de baixo para
ascendente, con el fin de abordar el nivel cima, a fim de abordar o nível adequado de
apropiado de la gestión. gestão.
B.2.6 La gestión del riesgo se basa en la mejor B.2.6 A gestão de riscos baseia-se nas
información disponible melhores informações disponíveis
f) La gestión del riesgo se basa en la mejor f) A gestão de riscos baseia-se nas melhores
información disponible. informações disponíveis.
Los elementos de entrada al proceso de gestión As entradas para o processo de gestão de riscos
del riesgo se basan en las fuentes de información, baseiam-se em fontes de informação, como dados
tales como los datos históricos, la experiencia, la históricos, experiência, retorno das partes
retroalimentación de las partes interesadas, las interessadas, observações, previsões e pareceres
observaciones, los pronósticos y las opiniones de de especialistas. No entanto, convém que os
expertos. Sin embargo, quienes toman las tomadores de decisões se informem, e convém
decisiones deberían informarse, y tener en cuenta, que levem em consideração quaisquer limitações
cualquier limitación de los datos o de los modelos de dados ou de modelagem utilizados, ou a
utilizados o la posibilidad de divergencia entre los possibilidade de divergência entre os
expertos. especialistas.
Este principio también es aplicable al diseño (o Este princípio também é aplicável à concepção (ou
mejora) del marco de gestión del riesgo, ya que melhoria) da estrutura para gerenciar os riscos,
habrá aspectos del marco (por ejemplo, los que porque haverá aspectos da estrutura (por
proporcionan la capacidad de investigar, reunir, exemplo, aqueles que fornecem capacidade de
analizar, actualizar y poner a disposición la investigação ou que coletam, analisam, atualizam
información para apoyar la aplicación del proceso) e disponibilizam informações para apoiar a
que determinará qué tan bien se aplica este aplicação do processo) que determinarão a melhor
principio. maneira de se aplicar este princípio.
- Se debería incluir una descripción del contexto - Convém que a descrição do contexto (incluindo a
(incluyendo la fecha en que fue realizada) como data em que foi escrito) seja incluída como parte
parte del detalle y documentar las descripciones das descrições detalhadas e documentadas dos
de los principales riesgos que enfrentan (por riscos-chave encarados (por exemplo, registro de
ejemplo, registros de riesgos). Esto permite que risco). Isto permite aos usuários do registro levar
los usuarios del registro tengan en cuenta em conta quaisquer mudanças no contexto que
cualquier cambio en el contexto que pudo haber possam ter ocorrido subsequentemente, com as
ocurrido, posteriormente, con los cambios en el alterações resultantes no risco.
riesgo resultante.
- C uan do se hayan hecho suposiciones en una - Onde tiverem sido feitas suposições em uma
evaluación, se debería registrar claramente y avaliação, convém que a justificativa para essas
comprender la justificación de esos supuestos, suposições, incluindo quaisquer limitações, seja
incluyendo cualquier limitación. claramente registrada e compreendida.
B.2.7 La gestión del riesgo está hecha a B.2.7 A gestão de riscos é feita sob medida
medida
g) La gestión del riesgo está hecha a medida g) A gestão de riscos é feita sob medida.
La gestión del riesgo está alineada con el contexto A gestão de riscos está alinhada com o contexto
interno y externo de la organización, y con su perfil interno e externo da organização e com o perfil do
de riesgo. risco.
La Norma ISO 31000 proporciona un enfoque A ISO 31000 oferece uma abordagem genérica
genérico para la gestión del riesgo, que es para a gestão de riscos que é aplicável a todos os
aplicable a todo tipo de organización y de riesgo. tipos de organizações e todos os tipos de risco.
Todas las organizaciones tienen su propia cultura Todas as organizações têm sua própria cultura e
y sus características, criterios de riesgo y características, critérios de risco e contextos de
contextos de operación. La gestión del riesgo operação. Convém que a gestão de riscos seja
debería adaptarse para satisfacer las necesidades ajustada para atender às necessidades de cada
de cada organización. organização.
No hay una sola manera, correcta para diseñar e Não há uma maneira única correta para conceber
implementar el marco y los procesos de gestión e implementar a estrutura e os processos de
del riesgo, ya que requieren flexibilidad y gestão de riscos, uma vez que exigem flexibilidade
adaptación en cada una de las organizaciones. El e adaptação em cada organização. A concepção
diseño puede ser determinado por muchos pode ser determinada por vários aspectos,
aspectos, como el tamaño de la organización, la incluindo o tamanho da organização, cultura,
cultura, el sector, la configuración y el estilo de setor, configuração e estilo de gestão.
gestión.
Las diferentes áreas de riesgo pueden requerir Diferentes áreas de risco podem requerer
diferentes procesos a la medida dentro de la diferentes processos sob medida dentro de uma
misma organización. Mientras que todos los mesma organização. Enquanto convém que todos
procesos sean consistentes con la Norma os processos sejam consistentes com a
ISO 31000, igualmente habrá diferencias en los ISO 31000, haverá diferenças nos sistemas,
sistemas, en los modelos y nivel de juicio modelos e nível de julgamento envolvidos, por
implicado; por ejemplo entre los que participan en exemplo, entre aqueles envolvidos na avaliação
la evaluación de la información sobre los riesgos de riscos relacionados à tecnologia da informação,
relacionados a la tecnología, los riesgos de riscos de tesouraria e investimento, ou riscos dos
tesorería y de inversión, o los riesgos de la concorrentes. Convém que cada processo seja
competencia. Cada proceso debería adaptarse a ajustados ao seu propósito específico.
su propósito específico.
Dado que el objetivo del marco es asegurar que el Como o objetivo da estrutura é assegurar que o
proceso de gestión del riesgo se aplique en las processo de gestão de riscos será aplicado para a
decisiones de una forma eficaz y que refleje la tomada de decisões de uma forma que seja eficaz
política, el diseño del marco debería reflejar dónde e reflita a política, convém que a concepção da
y cómo se toman las decisiones, y que tenga en estrutura reflita onde e como as decisões são
cuenta las obligaciones con las cuales se tomadas, e convém que leve em conta quaisquer
compromete la organización ya sean legales o obrigações legislativas ou outras externas com as
externas de otro tipo. quais a organização esteja comprometida.
Es importante tener en cuenta que la adaptación É importante ter em mente que fazer sob medida
no implica que cualquiera de los elementos del não implica que os elementos da estrutura (como
marco (como se describe en la Norma descrito na ISO 31000:2009, Seção 4) ou as
ISO 31000:2009, Capitulo 4) o los pasos del etapas do processo (ver ISO 31000:2009,
proceso (ver la Norma ISO 31000:2009, Seção 5) devam ser variados. Todos são
Capítulo 5) se modifiquen. Todos son esenciales essenciais para a gestão eficaz dos riscos.
para la gestión eficaz del riesgo.
24
NM ISO/TR 31004:2016
Este principio también puede significar que la Este princípio também pode significar que a
organización tenga en cuenta las cuestiones organização precisa considerar questões internas,
internas, por ejemplo la rotación del personal (que, por exemplo, rotatividade de pessoal (que, se
si es muy alta, puede requerir ajustes apropiados bastante elevada, pode requerer ajustes
en el ámbito de la formación inicial, con el fin de apropriados no treinamento inicial, a fim de
asegurar que todos los nuevos empleados son assegurar que todos os novos funcionários são
capaces de cumplir lo que se requiere de ellos en capazes de cumprir o que lhes é requerido em
relación con la gestión del riesgo). relação à gestão de riscos).
La adaptación del marco es necesaria para lograr Ajustar a estrutura é necessário para atingir a
la integración con los procesos de toma de integração com os processos de tomada de
decisiones de la organización, También es posible decisão da organização. Também é possível que
que los procesos de toma de decisiones necesiten esses processos de tomada de decisão precisem
ser modificados para adaptarse a un marco ser modificados para se encaixar a uma estrutura
estructurado de gestión del riesgo. de gestão de riscos.
B.2.8 La gestión del riesgo tiene en cuenta B.2.8 A gestão de riscos considera fatores
factores humanos y culturales humanos e culturais
Este principio consiste en obtener las opiniones de Este princípio envolve a obtenção das visões das
las partes interesadas, así como la comprensión partes interessadas, bem como a compreensão de
de que esos puntos de vista pueden ser influidos que essas visões podem ser influenciadas por
por las características humanas y culturales. Los características humanas e culturais. Fatores a
factores a considerar son el social, político y serem considerados incluem os sociais, políticos e
cultural, así como el concepto de tiempo. culturais, bem como conceitos de tempo.
Los tipos comunes de error incluyen lo siguiente: Os tipos comuns de erro incluem os seguintes:
b) la indiferencia ante las opiniones de los demás b) indiferença em relação às opiniões de outros,
o la falta de conocimiento; ou a uma falta de conhecimento;
25
NM ISO/TR 31004:2016
- Las personas aprecian que se les pregunte por - As pessoas gostam de ser perguntadas sobre a
su opinión. sua opinião.
- Como regla general, las organizaciones premian - Como regra geral, as organizações premiam
lo que valoran. Si la selección de los empleados, aquilo que valorizam. Se a seleção, promoção e
la promoción y la remuneración no están remuneração de funcionários não estão
abiertamente vinculadas con el desempeño real de abertamente ligadas ao real desempenho da
gestión del riesgo, es poco probable que la gestão de riscos, é improvável que esse
actuación cumpla con el nivel esperado. Se desempenho atinja o nível esperado. Convém que
debería reconocer adecuadamente los esfuerzos os esforços individuais sejam reconhecidos de
de las personas. forma apropriada.
- Como regla general, no es recomendable confiar - Como regra geral, não é prudente confiar em um
en un único control humano - dependiente para único controle humano-dependente para fazer
hacer una gran modificación en el riesgo. uma grande modificação ao risco.
- ¿Son todos los canales de comunicación claros y - Todos os canais de comunicação são claros e
eficaces? eficazes?
26
NM ISO/TR 31004:2016
- ¿ Se r e visa n las interfaces de opinión entre - As interfaces são analisadas criticamente entre
los equipos? as equipes?
- ¿Los auditores internos y externos buscan - Auditores internos e externos procuram observar
conductas inseguras o poco éticas de la comportamento inseguro ou antiético na
organización? organização?
Este principio puede tener efecto en múltiples Este princípio pode ser aplicado em vários níveis.
niveles. Esto puede reflejarse en la organización, Pode ser refletido na política de gestão de riscos,
en la política de gestión del riesgo (por ejemplo da organização (por exemplo, “Vamos informar e
"Vamos a informar y consultar a las partes consultar as partes interessadas, sempre que
interesadas siempre que sea posible con el fin de possível, a fim de que compreendam os nossos
que entiendan nuestros objetivos y puedan objetivos e possam contribuir com seus
contribuir con sus conocimientos y puntos de vista conhecimentos e pontos de vista para ajudar na
ayudando en nuestra toma de decisiones"). nossa tomada de decisão”).
La consulta con las partes interesadas como parte Consulta às partes interessadas, como parte da
de la aplicación del proceso de gestión del riesgo aplicação do processo de gestão de riscos,
requiere una planificación cuidadosa. Es aquí que necessita de um planejamento cuidadoso. É aqui
la confianza se puede construir o destruir. Para ser que a confiança pode ser construída ou destruída.
eficaz y reforzar la confianza en los resultados, es Para ser eficiente e reforçar a confiança nos
conveniente que las partes interesadas pertinentes resultados, convém que as partes interessadas
participen en todos los aspectos del proceso de pertinentes sejam envolvidas em todos os
gestión del riesgo, incluyendo el diseño del aspectos do processo de gestão de riscos,
proceso de comunicación y consulta. incluindo a concepção do processo de
comunicação e consulta.
27
NM ISO/TR 31004:2016
Es conveniente que la aplicación de este principio Convém que a implementação deste princípio
considere los aspectos de confidencialidad, la considere questões de confidencialidade,
seguridad y la privacidad, por ejemplo, esto puede segurança e privacidade, por exemplo, isso pode
requerir que la información en los registros de requerer que as informações em registros de
riesgos sea segregada de forma que el acceso a riscos sejam segregadas para que o acesso a
cierta información sea restringido. alguma informação possa ser restringido.
- Debería realizarse una evaluación de la forma en - Convém que uma avaliação seja feita sobre a
que se percibirá la recepción de la información. forma como aqueles que recebem a informação a
percebem.
- Debería promoverse los puntos de vista no - Convém que visões não solicitadas sejam
solicitados, y que sean reconocidos y apreciados, encorajadas, reconhecidas e apreciadas, e
y siempre que sea posible, realizar la sempre que possível, convém que uma
retroalimentación a los comentarios recibidos. retroalimentação sobre elas seja fornecida.
B.2.10 La gestión del riesgo es dinámica, B.2.10 A gestão de riscos é dinâmica, iterativa
iterativa y capaz de reaccionar ante los e capaz de reagir a mudanças
cambios.
Cualquier cambio en la organización, los objetivos, Qualquer alteração nos objetivos da organização,
o cualquier aspecto de las circunstancias internas ou qualquer aspecto das circunstâncias internas
o externas, cambiará inevitablemente el riesgo ou externas, modificará inevitavelmente o risco
(por ejemplo, una reestructuración interna, un (por exemplo, uma reestruturação interna, um
nuevo proveedor principal, o un cambio en una ley novo grande fornecedor, ou uma mudança na
pertinente). Del mismo modo, los cambios en el legislação pertinente). Da mesma forma,
contexto de la organización (por ejemplo, la mudanças no contexto organizacional (por
adquisición de otra empresa, o conseguir un exemplo, a aquisição de outra empresa, ou
nuevo contrato importante) pueden requerir conseguir um novo grande contrato) podem
cambios en el marco (por ejemplo, en formación, requerer mudanças na estrutura (por exemplo, em
especialistas en riesgo). Es conveniente que los treinamento, especialistas de risco). Convém que
procesos de gestión del riesgo sean diseñados processos de gestão de riscos sejam concebidos
para reflejar la dinámica de la organización (por para refletir a dinâmica da organização (por
ejemplo, velocidad de cambio). exemplo, velocidade de mudança).
La Norma ISO 31000 contiene dos regímenes de A ISO 31000 contém dois regimes de
seguimiento y control (para el marco y el proceso). monitoramento e análise crítica (para a estrutura e
Cada uno es específico a su propósito, y cada uno o processo). Cada um é específico para o seu
requiere planificación y ejecución. propósito, e cada um requer reflexão e
implementação.
28
NM ISO/TR 31004:2016
También se deberían revisar los controles sean Convém que controles também sejam analisados
revisados para asegurar su eficacia en respuesta criticamente para assegurar a sua contínua
a los cambios. Por ejemplo, los controles que eficácia em resposta à mudança. Por exemplo,
dependen del desempeño particular de las controles que são dependentes do desempenho
personas no pueden ser tan eficaces si hay de pessoas em particular podem não ser tão
cambios en el personal. eficazes caso haja mudanças no pessoal.
- L as perso nas deberían ser alentadas a - Convém que as pessoas sejam encorajadas a
informar acerca de la situación actual (incluidos los reportar preocupações com o status quo (incluindo
denunciantes). delatores).
- Incluso las organizaciones pequeñas deberían - Convém que mesmo as pequenas empresas
tener en cuenta los cambios globales, por ejemplo, tenham em mente as mudanças globais, por
29
NM ISO/TR 31004:2016
la crisis financiera mundial de 2008 tuvo un exemplo, a crise financeira global de 2008 teve
profundo impacto en algunos pequeños impactos profundos sobre alguns pequenos
proveedores cuyos principales clientes eran fornecedores cujos principais clientes eram
organizaciones afectadas directa o indirectamente organizações impactadas direta ou indiretamente
por los fracasos de los bancos. Este tipo de por falências bancárias. Tais eventos externos ou
acontecimientos externos o circunstancias circunstâncias emergentes podem exigir
emergentes pueden requerir cambios proactivos mudanças proativas para a estrutura de
para el marco de gestión del riesgo. gerenciamento de risco.
B.2.11 La gestión del riesgo permite la mejora B.2.11 A gestão de riscos facilita a melhoria
continua de la organización contínua da organização
En su lugar, la importancia de este principio radica Em vez disso, a importância deste princípio reside
en que las organizaciones estén atentas a nuevas nas organizações permanecerem alertas a novas
oportunidades de mejora. Tales oportunidades oportunidades de melhoria. Essas oportunidades
pueden surgir internamente (por ejemplo, al podem surgir internamente (por exemplo, a
aprender de los incidentes notificados) o aprendizagem a partir de incidentes reportados)
externamente (por ejemplo, la disponibilidad de ou externamente (por exemplo, por meio da
nuevas herramientas y los conocimientos que disponibilidade de novas ferramentas e
puedan mejorar la gestión del riesgo). conhecimentos que possam melhorar a gestão de
riscos).
Este principio también es pertinente en la Este princípio também é pertinente para a busca
búsqueda continua de mejoras en la eficiencia de contínua de melhorias na eficiência da gestão de
la gestión del riesgo, por ejemplo, la riscos, por exemplo, a implantação de novas
implementación de nuevas tecnologías que tecnologias que melhor conectam os tomadores
conecten mejor a los que toman decisiones con la de decisão à informação.
información.
El objetivo de la mejora continua debería quedar Convém que o objetivo de melhoria contínua fique
claro en la política de gestión del riesgo de la claro na política de gestão de riscos da
organización, y debería ser comunicada organização e convém que ele seja continuamente
continuamente tanto de formas formales como comunicado em ambos os sentidos formal e
informales. informal.
La mejora continua puede incluir lo siguiente: A melhoria contínua pode incluir o seguinte:
- mejora en el marco, por ejemplo, la calidad y el - melhorar a estrutura, por exemplo, a qualidade e
acceso a la información; o acesso à informação;
En términos puramente prácticos, puede tardar Em termos puramente práticos, algumas melhorias
tiempo para lograr algunas mejoras, por ejemplo, podem levar algum tempo para serem atingidas,
algunas pueden requerir la asignación de un por exemplo, algumas podem requerer alocação
presupuesto, o una cuidadosa planificación y de recursos, ou um planejamento cuidadoso e
puesta en marcha. Los planes de mejora deberían respectiva implantação. Convém que planos de
considerar las prioridades y los beneficios relativos melhoria considerem as prioridades e benefícios
y permitir el seguimiento de los avances. relativos, e que permitam o monitoramento dos
progressos.
- Debería controlarse el é xi to (por ejemplo, un - Convém que o sucesso (por exemplo, um projeto
proyecto a tiempo y cumpliendo el presupuesto) a realizado dentro do tempo e orçamento previstos)
fin de entender qué características del marco de seja monitorado de forma a permitir o
gestión del riesgo han facilitado el éxito, y esto entendimento daquelas características da
debería comunicarse para reforzar el valor. estrutura para gerenciar riscos que mais
facilitaram o sucesso, e convém que isso seja
comunicado para reforçar o valor.
31
NM ISO/TR 31004:2016
Anexo C
(informativo)
En este Anexo se ofrecen orientaciones y Este Anexo fornece diretrizes e estratégias sobre
estrategias sobre cómo la organización puede como o mandato e o comprometimento podem ser
expresar y comunicar el mandato y el expressos e comunicados por uma organização.
compromiso.
Para ser eficaz es conveniente que por mandato y Para que o mandato e o comprometimento sejam
compromiso, la alta dirección y el órgano de efetivos, convém que a Alta Direção e o organismo
supervisión de la organización expresen de supervisão da organização expressem
claramente a las partes interesadas el enfoque de claramente às partes interessadas a abordagem
la gestión del riesgo y documenten y comuniquen para gerenciar riscos e a documentem e
esto, según el caso. El mandato para la gestión comuniquem conforme apropriado. O mandato
del riesgo suele implicar cambios en el para a gestão de riscos tipicamente envolve
comportamiento, la cultura, la política, los mudanças no comportamento, cultura, política,
procesos y el desempeño esperado en la gestión processos, e o desempenho esperado na gestão
del riesgo que se reflejarán en el marco de gestión de riscos que se refletirão na estrutura para a
del riesgo. El mandato y el compromiso podría ser gestão de riscos. O mandato e o
una declaración de política de corto plazo, que es comprometimento poderiam ser uma curta
comunicada ampliamente. declaração de política que é amplamente
comunicada.
El desarrollo del mandato implica decidir el curso O desenvolvimento do mandato envolve a tomada
de acción requerido, así como autorizar que se de decisão sobre o modo de ação requerido,
realice. Invariablemente, en las organizaciones assim como a autorização para que ocorra.
existentes, esto implicará necesariamente la Invariavelmente, em organizações existentes, isto
autoridad para lograr un cambio. No tendría necessariamente envolverá uma autoridade para
mucho sentido identificar el curso de acción suscitar mudanças. Não haveria muito sentido
preferido a menos que, al mismo tiempo, exista un em identificar a linha de ação preferida, salvo
compromiso adecuado para lograrlo. se houvesse, concomitantemente, um
comprometimento correspondente para que
ocorra.
32
NM ISO/TR 31004:2016
C.2 Métodos para expresar el mandato y el C.2 Métodos para expressar o mandato e o
compromiso comprometimento
a) ser compatibles con la organización, su plan a) seja compatível com o planejamento estratégico
estratégico, los objetivos, las políticas, los estilos da organização, seus objetivos, políticas, estilos
de comunicación y el sistema de gestión; de comunicação e sistema de gestão;
b) ser compatibles con los criterios de riesgo b) seja compatível com os critérios de risco
determinados por el organismo de supervisión; determinados pelo organismo de supervisão;
c) cumplir con los principios de la Norma c) atenda aos princípios da ISO 31000, assim
ISO 31000, así como buscar la excelencia en la como que se empenhe pela excelência na gestão
gestión del riesgo como se indica en la Norma de riscos como delineado na ISO 31000: 2009,
ISO 31000:2009, Anexo A; Anexo A;
EJEMPLO Si el órgano de supervisión o la alta dirección han EXEMPLO Caso o organismo de supervisão ou a Alta Direção
tomado decisiones que no han sido objeto de una evaluación tenha tomado decisões as quais não tenham sido objeto de
exhaustiva del riesgo, esta es una clara indicación de que la minucioso processo de avaliação de riscos, isto é uma clara
organización no se compromete con la comprensión de sus indicação de que a organização não está comprometida com a
riesgos. compreensão dos seus riscos.
Una parte esencial de la adopción de un mandato Uma parte essencial da adoção de um mandato
revisado es el desarrollo de un plan para cambiar revisado é o desenvolvimento de um plano para
la comprensión de lo que se requiere. El objetivo mudar a compreensão do que é requerido. O
de este plan será el de asegurar que tanto el objetivo deste plano será assegurar que tanto o
mandato y sus beneficios son ampliamente mandato quanto seus benefícios sejam
comprendidos y se cree en ellos, y que la amplamente compreendidos e aceitos, e que a
organización se ha comprometido organização esteja comprometida de forma
consistentemente con el mandato y se comporta consistente com o mandato e comporte-se de
en consecuencia. Será el comportamiento de la acordo. Será o comportamento da organização e
organización, y cómo esto se compara con las como este se compara às declarações explícitas
declaraciones explícitas sobre el mandato que sobre o mandato que terá o maior efeito em se o
tendrán el mayor efecto sobre si el mandato es mandatado é aceito pelas várias partes
aceptado por las diversas partes interesadas. interessadas.
33
NM ISO/TR 31004:2016
4.3.2, especifica que la organización no sólo 4.3.2, especifica que convém que a organização
debería elaborar una política clara sobre la não apenas torne sua politica de gestão de riscos
gestión del riesgo, perusino que también debería clara, mas também que a comunique, tanto dentro
ser comunicada, tanto dentro como fuera de la quanto fora da organização. A ISO 31000:2009,
organización. La Norma ISO 31000:2009, 4.3.2, 4.3.2, também identifica questões específicas as
también identifica temas específicos que quais convém que sejam tipicamente refletidas na
normalmente se recomienda reflejar en la política. política.
Teniendo en cuenta el principio g) (es decir, la Tendo em mente o Princípio g) (isto é, a gestão de
gestión de riesgos está hecha a medida), la riscos é feita sob medida), convém que a
expresión de la política debería ser adecuada, y expressão da política seja apropriada, e
coherente con la forma general en el que opera la consistente, com a maneira geral em que a
organización. De lo contrario, no puede ser organização opera. Caso contrário, pode não ser
considerado como pertinente para, y parte de la vista nem como pertinente, nem como parte do
totalidad del sistema en el que opera la sistema geral pelo qual a organização opera.
organización.
- ¿Es clara la naturaleza y el alcance de los - A Alta Direção tem clareza quanto à natureza e
riesgos significativos en el logro de los objetivos extensão dos riscos significativos que está
estratégicos que la alta dirección está dispuesta a disposta a assumir e às oportunidades que está
asumir y las oportunidades que está dispuesta a disposta a perseguir para atingir seus objetivos
seguir? estratégicos?
- ¿ Es necesario que la alta dirección establezca - A Alta Direção necessita estabelecer uma
una gobernanza más clara sobre la actitud ante el governança mais clara sobre a atitude perante o
riesgo de la organización? risco da organização?
- ¿ Qué medidas ha adoptado la alta dirección - Que passos a Alta Direção tem tomado para
para aegurar el seguimiento y control de la gestión assegurar a supervisão da gestão de riscos?
del riesgo?
- ¿Los que toman decisiones comprenden el grado - Os gestores que tomam decisões compreendem
en que a ellos (individualmente) se les permite o grau em que (individualmente) lhes é permitido
exponer a la organización a las consecuencias de expor a organização às consequências de um
un evento o situación? Cualquier actitud ante el evento ou situação? Qualquer atitude perante o
riesgo tiene que ser práctica, siendo una guía para risco necessita ser prática, orientando os gestores
la toma de decisiones basadas en el riesgo. a tomarem decisões com base em risco.
- ¿Los ejecutivos comprenden su nivel agregado e - Os executivos compreendem seu nível de risco
interrelacionado de riesgo para que puedan agregado e interligado de forma a poderem
determinar si es aceptable o no? determinar se este é aceitável ou não?
34
NM ISO/TR 31004:2016
- ¿La alta dirección y el líder ejecutivo comprenden - A Alta Direção e a liderança executiva
el nivel agregado e interrelacionado de riesgo para compreendem o nível de risco agregado e
la organización en su conjunto? interligado da organização como um todo?
- ¿ T ien en c laro los directivos y ejecutivos que - Tanto os gestores quanto os executivos têm
la actitud frente al riesgo no es constante? Se clareza que a atitude perante o risco não é
puede cambiar a medida que las condiciones del constante? Isto pode mudar conforme as
entorno y el negocio cambian. Todo lo aprobado condições do ambiente e de negócios mudam.
por la alta dirección tiene que tener cierta Qualquer coisa aprovada pela Alta Direção
flexibilidad en su construcción. necessita possuir certo grau de flexibilidade.
- ¿ Se realizan las decisiones de riesgo con plena - As decisões relativas aos riscos são tomadas
consideración de las consecuencias? El marco de com total consideração das consequências? A
gestión del riesgo tiene que ayudar a los gerentes estrutura a para gestão de riscos necessita auxiliar
y ejecutivos a tomar un nivel adecuado de riesgo, gestores e executivos a assumir um nível
dado el potencial de recompensa. apropriado de risco para o negócio, em função do
potencial de recompensa.
- ¿Cuáles son los riesgos significativos que la alta - Quais são os riscos significativos que a Alta
dirección está dispuesta a asumir y las Direção está disposta a assumir e as oportunidades
oportunidades que está dispuesta a seguir? que ela está disposta a perseguir? Quais são os
¿Cuáles son los riesgos significativos que la alta riscos significativos que a Alta Direção não está
dirección no está dispuesta a asumir? Cualquiera disposta a assumir? Qualquer que seja a forma de
que sea la forma de la política sobre la gestión del política sobre a gestão de riscos, convém que ela
riesgo, debería establecerse junto con las otras esteja alinhada às demais políticas que direcionam
políticas que dirigen la forma en que opera la o modo como a organização opera.
organización.
- de jar en claro que los objetivos de gestión del - tornar claro que os objetivos da gestão de riscos
riesgo están vinculados y no se separan de otros estão ligados e não separados de outros objetivos
objetivos de gestión; de gestão;
- de jar en claro qu e la gestión del riesgo es - tornar claro que a gestão de riscos trata da
sobre la entrega eficaz de los objetivos de la entrega efetiva dos objetivos da organização;
organización;
- as egu rar qué tipo de actividades de gestión del - assegurar que o tipo de atividades de gestão de
riesgo que requiere el mandato se integran en los riscos requerido pelo mandato está integrado aos
procesos de gobernanza y de gestión existentes, y processos de gestão e governança existentes e
en los procesos estratégicos, operativos y de nos processos estratégico, operacional
proyectos; e de projeto;
- seg uir y co n tro lar que la organización tenga - monitorar que a organização tenha um
una comprensión actualizada y completa de sus entendimento atual e abrangente de seus riscos,
35
NM ISO/TR 31004:2016
riesgos y esos riesgos se encuentran dentro de los que esses riscos estejam dentro de determinados
criterios de riesgo determinados y tomar medidas critérios de risco e que ações corretivas sejam
correctivas cuando no se cumplan estos criterios; tomadas quando estes critérios não forem
atendidos;
- pred icar co n el ejemplo en lo que respecta a - liderar dando exemplo com respeito às suas
sus propias actividades; próprias atividades;
La implementación de la Norma ISO 31000 puede A implementação da ISO 31000 pode ocorrer
tener lugar a través de una organización como un através da organização como um todo, ou ser
todo, o se puede lograr parte por parte, por alcançada, em partes, por exemplo, nas
ejemplo, dentro de las empresas subsidiarias. subsidiárias.
El establecimiento del mandato para la gestión del Estabelecer o mandato para a gestão de riscos
riesgo requiere una cuidadosa reflexión, una requer um pensamento cauteloso, uma
perspectiva estratégica y consulta entre el órgano perspectiva estratégica e uma consulta entre o
de supervisión y la alta dirección. Esto ayudará a organismo de supervisão e a Alta Direção. Isto
asegurar que, una vez adoptado el mandato, la ajudará a assegurar que uma vez adotado, a
organización lo cumplirá. organização seguirá o mandato.
Las implicancias de los cambios requeridos por un As implicações das mudanças requeridas por um
mandato tendrán una consideración cuidadosa. mandato necessitarão de consideração cautelosa.
Esto incluye quién dirigiría el cambio y que apoyo Isto inclui quem lideraria a mudança e quem
u orientación necesitaría. A veces los cambios necessitaria de orientação e suporte. Algumas
pueden ser muy radicales en su alcance (por vezes as mudanças podem ser bastante radicais
ejemplo, cambios en las especificaciones del no escopo (por exemplo, mudanças nas
trabajo, el seguimiento del desempeño y los especificações de trabalho, monitoramento do
procesos de gestión) y así absorberá parte de la desempenho e gerenciamento de processos) e
capacidad de cambio de la organización. Esto assim absorverão parte da capacidade de
tendrá que ser considerado en el contexto de otros mudança da organização. Isto necessitará ser
cambios que están en marcha y si puede ser considerado no contexto de outras mudanças que
integrado. estejam em curso e se poderá haver integração.
Las personas que se verán afectadas de manera Convém que as pessoas que serão
significativa por los cambios deberían ser significativamente afetadas pelas mudanças sejam
consultadas, en particular los custodios de gestión consultadas, em particular, os depositários de
del riesgo en los silos de la organización, de modo qualquer silo de gestão de riscos dentro da
que todas las implicancias del cambio se puedan organização (por exemplo, gestão da saúde e
comprender dentro de la organización (por segurança), de modo que todas as implicações da
ejemplo, la salud y la seguridad, la gestión de la mudança possam ser compreendidas.
seguridad).
El mandato debería articularse con una Convém que o mandato seja articulado em uma
declaración de política que demuestre el declaração de política que demonstrará o
compromiso de la organización con la misma. comprometimento da organização para com ele.
36
NM ISO/TR 31004:2016
- teniendo en cuenta cómo se explica el mandato - considerar como o mandato será explicado à
en la organización y cómo se refuerza esas organização e como essas explicações serão
explicaciones por las acciones en curso; reforçadas pelas ações em curso;
- teniendo en cuenta el plazo para hacer efectivo - considerar o prazo para que o mandato tenha
el mandato (es conveniente que éste se respete e efeito (convém que isto respeite e seja integrado
integre con otros imperativos de la organización, al aos outros imperativos da organização, já que até
menos hasta que el marco se complete no se a estrutura estar completa, seus plenos benefícios
tomará conciencia de sus beneficios y la gestión não serão percebidos e a gestão de riscos não será
del riesgo no será tan eficaz como podría ser); tão efetiva como poderia ser);
- identificando los roles claves para lograr el - identificar os papéis-chave para promover as
cambio necesario en el enfoque de la gestión del mudanças necessárias na abordagem da gestão
riesgo y para dirigir y liderar las actividades de de riscos e para dirigir e liderar as atividades de
gestión del riesgo; gestão de riscos;
- especificando cuáles son los aspectos del marco - especificar quais aspectos das atividades e da
y las actividades de gestión del riesgo para los estrutura para gestão de riscos serão monitorados
cuales la alta dirección, los niveles de gestión y los nos níveis da alta direção, gestão e comitês e como
comités realizarán el seguimiento, control y las tal informação será coletada e apresentada;
modalidades de cómo será recogida y presentada
dicha información;
- incluyendo los resultados de la gestión del riesgo - incluir o desempenho da gestão de riscos como
como un tema regular de la agenda en todas las um item de agenda regular em todas as reuniões-
reuniones claves de supervisión y de la alta chave de supervisão e da alta direção;
dirección;
- teniendo en cuenta los desencadenantes de la - convém considerar quais são os gatilhos para a
revisión del mandato. análise crítica do mandato.
37
NM ISO/TR 31004:2016
Anexo D
(informativo)
Este Anexo proporciona orientaciones sobre el Este Anexo fornece orientações sobre
seguimiento y control, y la revisión del marco de monitoramento e análise crítica da estrutura para a
gestión del riesgo y los procesos de acuerdo con gestão de riscos e processos de gestão de riscos
la Norma ISO 31000:2009, 4.5, 4.6 y 5.6. de acordo com a ISO 31000:2009, 4.5, 4.6 e 5.6.
El seguimiento y control, y la revisión son dos - O monitoramento e a análise crítica são duas
actividades distintas destinadas a determinar si las atividades distintas destinadas a determinar se
premisas y decisiones siguen siendo válidas. Las suposições e decisões continuam válidas. As
técnicas se utilizan tanto en el mantenimiento de técnicas são utilizadas tanto na manutenção de
un marco eficaz de gestión del riesgo y en cada estrutura para a gestão de riscos eficaz quanto em
una de las etapas del proceso de gestión del cada uma das etapas do processo de gestão de
riesgo. riscos.
El objetivo del seguimiento y control y revisión es O monitoramento e análise crítica têm por objetivo
proporcionar un aseguramiento razonable de que assegurar razoavelmente que os riscos estão
los riesgos se gestionan adecuadamente, para adequadamente gerenciados, para identificar
38
NM ISO/TR 31004:2016
A medida que cambien los factores en el contexto Como os fatores no contexto interno e externo
interno y externo, también lo hará el riesgo. Del mudam, assim também o risco. Da mesma forma,
mismo modo, el seguimiento del contexto externo o monitoramento do contexto externo pode alertar
puede alertar a la organización de los cambios que a organização para mudanças que possam
pueden presentar una oportunidad para mejorar el apresentar uma oportunidade para melhorar o
desempeño o una nueva actividad. Al permanecer desempenho ou uma nova atividade. Ao
atentos a dichos cambios; de desempeño, no permanecer alerta para tais mudanças,
conformidades e incidentes, la organización será desempenho, não conformidades e quase
capaz de identificar las oportunidades de mejora acidentes, a organização será capaz de identificar
del marco de gestión del riesgo y del desempeño oportunidades de melhoria da estrutura de gestão
general de la organización. de riscos e desempenho global da organização.
Debería existir un programa integral para el Convém que exista um programa abrangente
seguimiento y control, y el registro de los implementado para monitorar e registrar
indicadores de desempeño de riesgo que se indicadores de desempenho de risco que estejam
alinean con los indicadores de desempeño de la alinhados com os indicadores de desempenho da
organización. organização.
El programa debería brindar una alerta temprana Convém que o programa forneça alertas precoces
de las tendencias adversas que puedan requerir sobre tendências adversas que possam requerer
acciones preventivas y de intervención. ações preventivas e intervenção.
Una sola actividad de seguimiento y control, o Uma única atividade de monitoramento ou análise
revisión puede estar dirigida a un riesgo individual crítica pode ser dirigida a um risco individual ou uma
o una serie de riesgos relacionados. Puede série de riscos relacionados. Isto pode ser focado
centrarse en los riesgos o en los controles de los nos riscos ou sobre os controles a eles endereçados.
mismos.
39
NM ISO/TR 31004:2016
gestión de la línea debido a que estas actividades essas atividades proporcionam uma visão
ofrecen una visión alternativa. alternativa.
La independencia está dada por la relación del Seja conduzida por partes internas ou externas, a
revisor/auditor con la parte que contrata, ya sea independência vem da relação do analista/auditor
que se lleve a cabo por partes internas o externas com a parte engajada.
a la organización.
Para las auditorías internas, los auditores deberían Para auditorias internas, convém que os auditores
ser independientes de los gerentes operativos de sejam independentes em relação aos gerentes
la función que está siendo auditada. Los revisores operacionais da função que está sendo auditada.
y auditores deberían mantener la objetividad en Convém que os analistas e auditores mantenham
todo el proceso de revisión de auditoría para a objetividade durante o processo de análise
asegurar que los resultados y las conclusiones se crítica da auditoria para assegurar que as
basan únicamente en la evidencia. constatações e as conclusões sejam baseadas
apenas em evidências.
Para las organizaciones pequeñas, puede no ser Para empresas pequenas, pode não ser possível
posible que los revisores y auditores sean que os analistas e auditores sejam totalmente
totalmente independientes de la actividad objeto independentes da atividade que está sendo
de revisión/auditoría, pero se debería hacer todo lo analisada criticamente/auditada, mas convém que
posible para eliminar los sesgos y fomentar la se façam todos os esforços para eliminar vieses e
objetividad. incentivar a objetividade.
40
NM ISO/TR 31004:2016
Muchas organizaciones cuentan con revisión por Muitas organizações têm funções de análise
la dirección y funciones de asesoramiento (tales crítica pela direção e funções de assessoramento
como asesores de gestión del riesgo, los (como assessores de gestão de riscos,
inspectores de cumplimiento, y gerentes de control responsáveis pela conformidade e gerentes de
de calidad) que realizan revisiones de rutina; garantia de qualidade) que procedem análises
auditoría interna suele informar al órgano de críticas de rotina; a auditoria interna normalmente
supervisión y de la alta dirección. El objetivo de relata as suas análises críticas ao organismo de
estas revisiones es proporcionar confianza al supervisão e para a Alta Direção. O objetivo dessas
organismo de supervisión y la alta dirección de la análises críticas é fornecer garantia ao organismo
organización que: de supervisão e Alta Direção da organização que:
- sus criterios de riesgo son coherentes con los - seus critérios de risco são consistentes com seus
objetivos y el contexto en el que opera; objetivos e o contexto em que está operando;
- los r iesgos no to ler ab les están siendo - riscos inaceitáveis são objeto de tratamento de
tratados adecuadamente; risco adequado;
- l os c on tro les que se cree que modifican los - controles que se crê que modifiquem riscos de
riesgos que de otro modo serían no tolerables, son outra maneira inaceitáveis são tanto adequados
a la vez adecuados y eficaces; quanto eficazes;
- se está avanzando adecuadamente con los - está se tendo progresso apropriado com os
planes de tratamiento del riesgo. planos de tratamento de riscos.
Al igual que otros aspectos de la gestión del Como outros aspectos da gestão de riscos,o
riesgo, el seguimiento y control y la revisión monitoramento e a análise crítica requerem o uso
requieren el uso de la mejor información disponible da melhor informação disponível [ver Princípio f)].
[ver Principio f)]. Para ser adecuada al propósito, Para ser adequada ao propósito, a informação tem
la información debería ser pertinente para los de ser pertinente para os usuários e representar
usuarios y debería representar fielmente lo que fielmente o que se pretende representar. A
pretende representar. La utilidad de la información utilidade da informação é reforçada se for
se ve reforzada si es comparable, verificable, comparável, verificável, oportuna e compreensível.
oportuna y comprensible. La información puede A informação pode ser obtida a partir de dois tipos
obtenerse a partir de dos tipos de fuentes: de fontes:
b) fuentes indirectas: las medidas que se derivan b) fontes indiretas: medições que são derivadas
de los procesos o resultados considerados. dos processos ou resultados considerados.
41
NM ISO/TR 31004:2016
Se eligen las combinaciones de las diversas Combinações de medições das várias fontes são
fuentes de las mediciones según la necesidad escolhidas por necessidade (dependendo da
(según la disponibilidad) o por conveniencia disponibilidade) ou por conveniência
(oportunidad, costo, etc.) (oportunidade, custo etc.).
D.1.5 Informar sobre el proceso de revisión D.1.5 Reporte do processo de análise crítica
Cualquier colección de información del riesgo (por Convém que qualquer coleção de informação de
ejemplo, en un registro de riesgos) debería ser risco (por exemplo, em um registro de riscos) seja
actualizada periódicamente. El tipo y la frecuencia atualizada periodicamente. O tipo e frequência dos
de los informes dependen de la naturaleza, el reportes dependerá da natureza, do tamanho e do
tamaño y el alcance de la evaluación del riesgo. escopo do processo de avaliação de riscos.
La salida de una revisión o de una auditoría será A saída de uma análise crítica ou auditoria será
un informe que resume los hallazgos y um reporte que resume as constatações e fornece
proporciona las conclusiones de la evaluación de conclusões da avaliação com base em critérios
acuerdo a los criterios predeterminados. El informe pré-determinados. O reporte pode fornecer
puede establecer recomendaciones para la mejora recomendações para melhorias do sistema com
del sistema en base a lo que los revisores base no que os analistas observaram.
observaron. De vez en cuando, el revisor hace Ocasionalmente, o analista vai fazer sugestões
observaciones más amplias, dirigidas a los propios mais amplas, direcionadas aos próprios critérios.
criterios. La respuesta a cualquier revisión debería Convém que a resposta a qualquer análise crítica
centrarse en la mejora del sistema y debería seja focada na melhoria do sistema e no
tratarse las causas raíces de los problemas. tratamento das causas dos problemas.
D.1.6 Acción correctiva y mejora continua D.1.6 Ação corretiva e melhoria contínua
Se debería establecer procesos para asegurar que Convém que sejam estabelecidos processos para
las recomendaciones son consideradas assegurar que as recomendações sejam
activamente en la gestión de la organización y que ativamente consideradas pela gestão
se ejecutan las respuestas acordadas. Las organizacional e que as respostas acordadas
acciones en respuesta a los comentarios deberían sejam executadas. Convém que as ações em
informarse al órgano de supervisión y se debería resposta às análises críticas sejam reportadas ao
realizarse el seguimiento y control rutinario hasta organismo de supervisão e rotineiramente
ser implementadas. monitoradas até que estejam implementadas.
La Norma ISO 31000:2009, Capítulo 4, contiene A ISO 31000:2009, Seção 4, contém diretrizes
orientación sobre los elementos necesarios de un sobre os componentes necessários de uma
marco de gestión del riesgo y señala que es estrutura e assinala que convém que estes levem
42
NM ISO/TR 31004:2016
Como se producen cambios en el contexto interno Como ocorrem mudanças no contexto interno ou
o externo de la organización, puede ser necesario externo da organização, pode ser necessário
adecuar el marco de gestión del riesgo para ajustar a estrutura para assegurar que permaneça
asegurar que éste permanece eficaz. eficaz.
Incluso si no ha habido cambios internos o Mesmo que não tenha havido alterações internas ou
externos que requieran cambio en el diseño, aún externas que requeiram mudança na concepção,
es necesario para asegurarse que en cualquier ainda é necessário assegurar que a qualquer
momento, el marco funciona como se ha momento a estrutura está funcionando como
diseñado. concebida.
Para las organizaciones que realizan la transición Para organizações em transição para se alinhar com
para alinearse con la Norma ISO 31000, esto a ISO 31000, isto pode implicar na verificação dos
puede implicar la verificación de los elementos del componentes da estrutura do plano de
marco de la implementación del plan para implementação, para assegurar que estes foram
asegurarse que se han implementado corretamente implementados. Para as organizações
correctamente. Para las organizaciones que ya que já implementaram a ISO 31000, isto envolverá
han implementado la Norma ISO 31000 implica assegurar que os componentes da estrutura
asegurar que los elementos del marco siguen continuem existindo e funcionando como planejado.
existiendo y funcionando como estaba previsto.
D.2.3 Establecimiento de una línea de base D.2.3 Estabelecimento de uma linha de base
Se debería establecer una línea de base para la Convém que seja estabelecida uma linha de base
gestión del riesgo en la organización. La línea para a gestão de riscos na organização. A linha de
base puede ser descrita de diversas maneras, base pode ser descrita de várias maneiras, mas
pero debería incluir: convém que inclua:
a) los elementos del marco de gestión del a) os componentes da estrutura (como descrito na
riesgo (como se describe en la ISO 31000:2009, 4.3) que fornecem a capacidade
Norma ISO 31000:2009, 4.3) que brindan la que possibilita que esta intenção seja alcançada;
capacidad para el logro de la intención que se
persiga;
b) el alcance del apoyo proporcionado por el b) a extensão do apoio fornecido pelo organismo
órgano de supervisión y la alta dirección en el de supervisão e pela Alta Direção no mandato e
mandato y el compromiso para la gestión del compromisso para a gestão de riscos (muitas
riesgo (a menudo se expresa en la forma de una vezes expressa na forma de uma política de gestão
política de gestión del riesgo). de riscos).
43
NM ISO/TR 31004:2016
Esto implica una línea de base o punto de ou ponto de referência para comparações feitas
referencia para las verificaciones que se realizan durante o monitoramento e análise crítica.
durante el seguimiento y control, y revisión.
Asimismo, la organización debería establecer los Convém que a organização também estabeleça
indicadores de desempeño que estén vinculados a indicadores de desempenho que estão ligados aos
los objetivos de la organización para dar una objetivos organizacionais para fornecer uma
indicación de la eficacia del marco general de la indicação da eficácia da estrutura global para a
gestión del riesgo. Los indicadores de desempeño, gestão de riscos. Indicadores de desempenho,
refieren a veces colectivamente como indicadores algumas vezes denominados coletivamente como
retrospectivos, incluyendo los siguientes: indicadores de resultado, incluem o seguinte:
- no alineaciones; - desalinhamentos;
- la estructura; - estrutura;
- las políticas, las normas internas y los modelos; - políticas, normas e modelos internos;
- la capacidad y los recursos (por ejemplo, de - capacidade e recursos (por exemplo, capital
capital financiero y de reputación, tiempo, financeiro e reputacional, tempo, pessoas,
personas, procesos, sistemas y tecnologías); processos, sistemas e tecnologias);
Los indicadores prospectivos, que podrían marcar Indicadores antecedentes, que podem apontar
los cambios en el contexto externo, se encuentran para mudanças no contexto externo, são
con frecuencia en los informes y encuestas que frequentemente encontrados em relatórios e
reflejan los cambios y tendencias en la industria en levantamentos, os quais refletem alterações e
que opera la organización. Citamos a título de tendências no segmento no qual a organização
ejemplo las siguientes actividades: opera. Exemplos incluem:
- en los precios de los productos básicos, las tasas - preços de commodities, taxas de juros bancários,
de interés de los bancos, los rendimientos de los rendimentos de títulos, taxas de câmbio, índices do
bonos, tipos de cambio, índices bursátiles, el mercado de ações, índice de preços ao
índice de precios al consumidor (tendencia); consumidor (tendência);
45
NM ISO/TR 31004:2016
EJEMPLO 1 Un cambio en la estructura de una organización EXEMPLO 1 Uma mudança na estrutura de uma organização
puede requerir alguna revisión de la política de gestión del pode exigir alguma revisão da política de gestão de riscos e
riesgo y una reasignación de responsabilidades y recursos para uma realocação de responsabilizações e recursos para permitir
permitir que el riesgo siga siendo gestionado con eficacia. Si la que o risco continue a ser gerido de forma eficaz. Se a
organización ha aumentado de tamaño, por ejemplo, debido a organização aumentou de tamanho, por exemplo, devido a
una fusión o adquisición, la adecuación permanente de los uma fusão ou aquisição, adequação contínua de recursos para
recursos de gestión del riesgo requiere la consideración, como a gestão de riscos requererá consideração, bem como a
un cuidadoso análisis de cualquier diferencia entre las análise cuidadosa de qualquer diferença entre as organizações
organizaciones en el enfoque de la gestión del riesgo. Puede em suas abordagens para gestão de riscos. Pode ser
que sea necesario desarrollar un plan de transición para aplicar necessário o desenvolvimento de um plano de transição para
los cambios derivados del análisis. implementar quaisquer alterações decorrentes da análise.
EJEMPLO 2 Si se han promulgado nuevas disposiciones EXEMPLO 2 Se novas exigências legislativas forem
legislativas, pueden necesitar modificación o ampliación los promulgadas, os aspectos da estrutura que se referem à
aspectos del marco de rendición de cuentas que se refieren a responsabilização, treinamento e captura ou reporte de
la formación y la obtención de información o informes. informações podem necessitar de alteração ou ampliação.
Una vez que la evaluación de las características y Uma vez que a avaliação das características e do
el contexto externo se ha completado, debería contexto externo tenha sido concluída, convém
llevarse a cabo un examen más exhaustivo del que uma análise crítica mais abrangente da
marco para determinar si: estrutura seja realizada para determinar se:
a) el plan de gestión del riesgo se lleva a cabo a) o plano de gestão de riscos está sendo
según lo previsto; conduzido conforme o planejado;
c) el nivel de riesgo está dentro de los criterios; c) o nível de risco está dentro dos critérios;
46
NM ISO/TR 31004:2016
g) los recursos para la gestión del riesgo son g) os recursos para a gestão de riscos são
adecuados; adequados;
h) las lecciones se han aprendido de los h) lições foram aprendidas com os resultados reais,
resultados reales que se produjeron, incluidas las incluindo perdas, quase acidentes e oportunidades
pérdidas, los incidentes y las oportunidades; que ocorreram;
Debería existir un programa de revisión periódica Convém que seja acordado um cronograma de
de acuerdo, con la capacidad de llevar a cabo análise crítica regular, com a capacidade de
revisiones para un propósito específico, por realizar análises críticas para um propósito
ejemplo si las circunstancias cambian, en donde específico se as circunstâncias mudarem, por
las consecuencias de los riesgos son repentinos o exemplo, quando as consequências dos riscos são
severos. repentinas ou severas.
Los entregables de dicha revisión deberían incluir: Convém que os resultados de tal análise crítica
incluam:
- los c amb ios en la política de gestión del - atualizações da política, objetivos e plano de
riesgo, los objetivos y el plan según sea necesario; gestão de riscos, quando necessário;
- un informe sobre las tendencias de los - um reporte sobre tendências dos indicadores-
indicadores claves del riesgo; chave de risco;
- un plan de acción para hacer frente a los - um plano de ação que aborde as mudanças
cambios necesarios para cumplir con los objetivos necessárias para cumprir os objetivos da gestão
de gestión del riesgo. de riscos.
47
NM ISO/TR 31004:2016
La finalidad del seguimiento y control y revisión del O objetivo do monitoramento e da análise crítica
proceso de gestión del riesgo es asegurar que: do processo de gestão de riscos é assegurar que
eles estão:
Los riesgos, los controles y los tratamientos Os riscos, seus controles e tratamentos
subyacentes pueden ser modificados con el subjacentes podem ser alterados ao longo do
tiempo, y los responsables de la gestión del riesgo tempo, e os responsáveis pela gestão de riscos
tienen que ser conscientes de las implicancias de precisam estar conscientes das implicações
estos cambios. Las fallas en los tratamientos del dessas mudanças. Falhas nos tratamentos podem
riesgo pueden causar que el riesgo sea no levar os riscos a tornarem-se inaceitáveis. Além
tolerable. Además, los controles que tienen por disso, os controles cujo objetivo é modificar riscos
objeto modificar los riesgos pueden cambiar en podem mudar em termos de adequação e eficácia,
función de la adecuación y la eficacia, así que a de modo que, a não ser que o risco seja
menos que al riesgo se le realice el seguimiento y monitorado e analisado criticamente, os riscos
control y revisión, puede ser que los riesgos no podem não permanecer dentro dos critérios de
permanezcan dentro de los criterios aceptables de aceitação de riscos da organização e a
la organización y puede ser que la organización no organização pode não ter uma compreensão
tenga una comprensión actual de sus riesgos. atualizada de seus riscos.
Los resultados del seguimiento y control y revisión Os resultados do monitoramento e análise crítica
serán remitidos en el establecimiento de la fase de irão realimentar a fase de estabelecimento do
contexto, que proporciona la base para la contexto, fornecendo a base para a avaliação de
evaluación actualizada del riesgo, el cumplimiento riscos renovada, atendendo à natureza dinâmica e
de la naturaleza iterativa y dinámica del proceso iterativa do processo de gestão de riscos e da
de gestión del riesgo y el diseño de la estructura concepção da estrutura para gerenciar riscos.
de gestión del riesgo.
El seguimiento y control debería ser una parte Convém que o monitoramento seja uma parte
integral de la gestión. Los riesgos y los controles integrante da gestão. Convém que os riscos e
deberían ser asignados a los propietarios, quienes controles sejam alocados a proprietários, que são
son responsables de su seguimiento. La responsáveis por monitorá-los. Convém que essa
responsabilidad debería estar documentada en las responsabilidade seja registrada em descrições de
descripciones de roles o posición. funções ou cargos.
48
NM ISO/TR 31004:2016
pérdidas, los incidentes, las no conformidades y perdas, quase perdas, não conformidades e
oportunidades que se identificaron con antelación, oportunidades que foram identificadas com
y que sin embargo no se actuó. Los puntos que antecedência, ocorridas e ainda para as quais não
pueden ser considerados en esta revisión houve ações. Pontos que podem ser considerados
incluyen: em tal análise crítica incluem:
- cómo y por qué el resultado se produjo; - como e por que o resultado surgiu;
- si todas las premisas necesitan ser revisadas - se quaisquer dos pressupostos precisam ser
como consecuencia de los resultados; analisados crtiticamente em decorrência do
resultado;
- qué medidas se han adoptado (si las hubo) en - qual ação foi tomada (se houver) em resposta;
respuesta;
- los puntos claves de aprendizaje y a quiénes - pontos chave de aprendizagem e para quem
necesita comunicarse. precisam ser comunicados.
D.3.4.1 Los enfoques típicos para el seguimiento y D.3.4.1 Abordagens típicas para monitoramento
control incluyen los siguientes. incluem o seguinte.
a) Los propietarios del riesgo pueden explorar el a) Proprietários do risco podem varrer o ambiente
entorno para seguir los cambios en el contexto. La para monitorar as mudanças no contexto. A
frecuencia de esta actividad depende del nivel de frequência dessa atividade dependerá do nível de
riesgo y la dinámica de los cambios en el contexto. risco e da dinâmica das mudanças no contexto. Em
En algunos casos, los informes de excepción de alguns casos, reportes de exceção de indicadores
indicadores pueden ser suficientes. El propietario podem ser suficientes. O proprietário do risco
del riesgo compara los factores externos o compara os fatores pertinentes, externos ou
internos pertinentes contra la declaración de internos, em relação à declaração do contexto para
contexto para determinar si ha tenido lugar un determinar se uma alteração significativa ocorreu.
cambio sustancial.
Esto puede implicar la comunicación periódica y la Isso pode envolver a comunicação e consulta
consulta con las partes interesadas para periódicas às partes interessadas para determinar
determinar si sus puntos de vista u objetivos han se seus pontos de vista ou objetivos mudaram.
cambiado.
b) Los propietarios del riesgo deberían realizar b) Convém que os proprietários de risco também
también el seguimiento y control a tiempo de los monitorem os planos de tratamento de riscos para
planes de acciones de tratamiento del riesgo y las ações oportunas e resposta a mudanças no
respuestas a los cambios en el entorno. ambiente.
c) Los propietarios de control son responsables de c) Proprietários de controle são responsáveis por
supervisar los controles que se les asignen, que monitorar os controles atribuídos a eles, que
pueden implicar la verificación periódica o el podem envolver a verificação periódica ou
seguimiento continuo. Debido a que la gestión del monitoramento contínuo. Como a gestão de riscos
riesgo es más eficaz cuando está totalmente é mais eficaz quando é totalmente integrada com
integrada con la toma de decisiones normales y el a tomada de decisões normal e o sistema de
sistema de gestión de la organización, la gerenciamento da organização, convém que a
organización debería utilizar la gestión del gestão de desempenho da organização seja usada
desempeño para realizar el seguimiento y control para monitorar os riscos e a eficácia do processo de
de los riesgos y la eficacia del proceso de gestión gestão de riscos.
del riesgo.
49
NM ISO/TR 31004:2016
NOTA Como es el caso de los riesgos, también los controles NOTA Como é o caso com os riscos, é aconselhável que os
deberían ser propiedad de una persona quien es responsable controles também sejam de propriedade de alguém que é
de su operación. El propietario u operador de control responsável pela sua operação. O proprietário ou operador do
normalmente será la persona que ejecuta el control sobre una controle seria normalmente a pessoa que executa o controle
base diaria, y puede ser una persona distinta del dueño del em uma rotina diária e pode ser alguém que não seja o
riesgo. Esto no afecta a la responsabilidad general del dueño proprietário do risco. Isso não afeta a responsabilidade global
del riesgo para la modificación adecuada de este riesgo, y para do proprietário do risco para a modificação apropriada desse
el diseño, la ejecución, aplicación, seguimiento y evaluación de risco, e para a concepção, implementação, aplicação,
los controles correspondientes. monitoramento e avaliação dos controles correspondentes.
50
NM ISO/TR 31004:2016
- algunas de las actividades de gestión del riesgo - algumas atividades de gestão de riscos podem
pueden ser difíciles de medir, lo que no los hace ser de difícil medição, o que não as torna menos
menos importantes, pero puede ser necesario el importantes, mas pode ser necessário o uso de
uso de indicadores indirectos, por ejemplo, los indicadores substitutos, como por exemplo,
recursos dedicados a las actividades de gestión recursos destinados às atividades de gestão de
del riesgo puede ser un medida sustituta de riscos pode ser uma medida substituta do
compromiso con la gestión del riesgo eficaz; compromisso para a gestão de riscos eficaz;
- cualquier variación entre los datos de medición - qualquer variação entre dados de medição de
de los indicadores de desempeño y la sensación indicadores de desempenho e a sensação institiva
instintiva es importante y debería ser investigada, é importante e é recomendado que esta seja
por ejemplo, si la dirección le sigue preocupando investigada, como por exemplo, se a gerência
que los riesgos no se manejan adecuadamente, a continua preocupada que os riscos não estão
pesar de numerosas evaluaciones del riesgo que sendo bem gerenciados, apesar de as inúmeras
indican bajos niveles de riesgo, se debería avaliações de riscos indicarem baixos níveis de
investigar y descartar estas preocupaciones; risco, convém que essas preocupações sejam
investigadas e não rejeitadas;
La gerencia debería revisar periódicamente los Convém que a direção periodicamente analise
procesos, sistemas y actividades para asegurar criticamente os processos, sistemas e atividades
que: para assegurar que:
Estas revisiones deberían ser programadas (ver Convém que tais análises críticas sejam
programa y enfoque de auditoría basado en el programadas (ver programa e abordagem de
riesgo y cómo seleccionar los revisores, como se auditoria baseada no risco e como selecionar
indica en la Norma ISO 19011). analistas, conforme descrito na ISO 19011).
Estas revisiones pueden utilizar las mismas Estas análises críticas podem usar as mesmas
técnicas que el seguimiento continuo, pero pueden técnicas como o monitoramento contínuo, mas se
proporcionar un análisis más objetivo si se llevan a forem conduzidas por alguém que não esteja
cabo por alguien que no esté directamente diretamente envolvido na operação dos processos,
involucrado en la operación de los procesos. La podem fornecer uma análise mais objetiva. A
frecuencia de la revisión puede verse afectada por frequência de análise crítica pode ser influenciada
el nivel de riesgo, el ciclo de la planificación pelo nível de risco, o ciclo de planejamento de
empresarial, la dinámica en el entorno/contexto, o negócios, as dinâmicas no ambiente/contexto, ou
una reunión de un órgano de gobernanza que es uma reunião de um organismo de governança,
responsable del seguimiento y control de los que é responsável pela supervisão de riscos e
riesgos y la gestión del riesgo. pela gestão de riscos.
Los controles deberían asegurarse a través de las Convém que os controles sejam assegurados por
acciones de los gerentes responsables (dueños meio das ações dos gestores responsáveis
del riesgo) como parte de sus puestos de trabajo y (proprietários do risco), como parte de seu
funciones normales. trabalho e funções normais.
51
NM ISO/TR 31004:2016
La asignación de los controles específicos a los A alocação de controles específicos para controlar
dueños de control les facilita la aplicación de los proprietários facilita a implementação de controles,
controles, pero se requiere la formación de los mas esses proprietários necessitarão de
mismos en los procesos de aseguramiento del treinamento em processos de garantia de controle,
control con el fin de que sea eficaz. a fim de serem eficazes.
- el entorno externo o interno, o los puntos de vista - no ambiente externo ou interno ou as partes
de las partes interesadas; interessadas e seus pontos de vista;
Por esta razón, es esencial que las organizaciones Por esta razão, é essencial para as organizações a
revisen sus riesgos, tratamientos y controles del análise crítica de seus riscos, tratamentos e
riesgo en el desarrollo o revisión de los negocios o controles de riscos no desenvolvimento ou revisão
planes estratégicos. Además, debido a que los de planos estratégicos ou de negócios.
planes de negocio y estratégicos pueden crear o Adicionalmente, como os planos estratégicos e de
modificar los objetivos de una organización, es negócios permitem criar ou revisar os objetivos de
valioso utilizar el proceso de evaluación del riesgo uma organização, é valioso usar o processo de
para destacar los proyectos de planes con el fin de avaliação de riscos para realizar teste de esforço
velar que la propuesta o los objetivos son dos esboços dos planos, a fim de assegurar que os
alcanzables, y también para definir en que medida objetivos propostos são realizáveis, e também para
el tratamiento del riesgo es necesario para definir a medida de tratamento de riscos requerida
asegurar resultados exitosos. Quienes llevan a para assegurar resultados bem-sucedidos.
cabo el proceso de gestión del riesgo también Convém também que aqueles que executam o
deberían revisar periódicamente sus experiencias, processo de gestão de riscos analisem criticamente
productos y resultados para identificar las de forma regular as suas experiências, saídas e
oportunidades de mejora. resultados para identificar oportunidades de
melhoria.
52
NM ISO/TR 31004:2016
Anexo E
(informativo)
La gestión del riesgo es una parte integral del A gestão de riscos é parte integrante do sistema
sistema de gestión de una organización. La de gestão de uma organização.
Norma ISO 31000 recomienda a las A ISO 31000 recomenda que as organizações
organizaciones a desarrollar, implementar y desenvolvam, implementem e melhorem
mejorar continuamente un marco cuyo objetivo es continuamente uma estrutura cujo objetivo é
integrar la gestión del riesgo en la organización integrar a gestão de riscos no sistema de gestão
con el sistema de gestión (incluido la gobernanza da organização (incluindo governança e
y la estrategia). Específicamente, la integración estratégia). Especificamente, convém que a
debería asegurar que la información sobre el integração assegure que a informação sobre
riesgo se utilice como base para la toma de riscos é usada como base para a tomada de
decisiones en todos los niveles de la organización. decisão em todos os níveis da organização. As
Las personas y las organizaciones gestionan el pessoas e as organizações gerem riscos a cada
riesgo cada día como parte de la forma en que dia como parte da forma como eles tomam
toman las decisiones. La gestión del riesgo ya está decisões. A gestão de risco já está naturalmente
integrada de forma natural en lo que todos integrada em tudo que nós fazemos antes de
hacemos antes de decidirnos a hacer algo. decidirmos fazer algo. Alguns são melhores nisto
Algunos son mejores en esto que otros, pero todos do que outros, mas todos podem aperfeiçoar a
pueden mejorar la calidad de la gestión del riesgo qualidade da gestão de riscos e da tomada de
y la toma de decisiones, lo que resulta en una decisão, resultando na melhoria do alcance dos
mejora en la consecución de los objetivos y mejora objetivos e melhorando a confiança. Se a proposta
de la confianza. Si el propósito de integrar la de integrar a gestão de riscos for criar valor, isso
gestión del riesgo es agregar valor, lógicamente logicamente significa adotar meios de influenciar
significa la adopción de formas de influir en lo que aquilo que já acontece, para melhorá-lo e aperfeiçoá-
ya se lleva a cabo, de intensificar y mejorar, en lo, ao invés de substituí-lo por algo diferente. Isto
lugar de reemplazarlo con algo diferente. No não pode significar adicionar ou impor algo de
puede significar la adición o forzar algo diferente a diferente naquilo que já ocorre como uma função
lo que ya se realiza como una función natural de la natural do processo de tomada de decisão.”
toma de decisiones.
En este Anexo se presentan algunos ejemplos Este Anexo fornece alguns exemplos práticos de
prácticos de cómo la gestión del riesgo se puede como a gestão de riscos pode ser integrada no(s)
integrar en el/los sistema/s de gestión existente/s. sistema(s) de gestão existente(s).
Todas las organizaciones utilizan algún tipo de Todas as organizações usam algum tipo de
sistema de gestión. En los últimos tiempos, se han sistema de gestão. Recentemente, sistemas de
creado sistemas de gestión formales que gestão formalizados consistindo de uma variedade
consisten en una variedad de requisitos, que de requisitos foram criados, fornecendo uma
proporcionan un marco en el que la organización estrutura em que a organização pode estabelecer
puede establecer prácticas y procedimientos para práticas e procedimentos de gestão para dirigir e
dirigir y controlar las actividades de gestión. controlar suas atividades. Muitas normas
53
NM ISO/TR 31004:2016
Muchas de las normas internacionales se ocupan internacionais lidam com sistemas de gestão em
de los sistemas de gestión en general o con geral ou relativos a um conteúdo especifico.
respecto a los contenidos específicos.
Por ejemplo, la gestión de la calidad de la que Por exemplo, a gestão da qualidade conforme
refiere la Norma ISO 9001 tiene un enfoque amplio descrita na ISO 9001 tem uma ampla abordagem
orientado hacia la satisfacción del cliente, mientras voltada para a satisfação do cliente, enquanto a
que la gestión del riesgo trata con los efectos de la gestão de riscos lida com os efeitos da incerteza
incertidumbre sobre el logro de los objetivos que nos objetivos que podem não apenas ser
pueden no sólo ser de interés para los clientes, pertinentes para os clientes, mas também para
sino también a una variedad de otras partes uma variedade de outras partes interessadas.
interesadas. Muchas organizaciones han Muitas organizações implementaram um sistema
implementado un sistema de gestión de calidad de gestão da qualidade baseado nos requisitos da
basado en las Normas ISO 9001 y la gestión de ISO 9001, e a gestão de riscos pode ser integrada
riesgo puede ser integrada en los sistemas de a esses sistemas de gestão, criando sinergias e
gestión, creando sinergias y evitando la evitando duplicação.
duplicación.
E.3 Sistema de gestión integrado y gestión E.3 Sistema de gestão integrado e gestão
del riesgo de riscos
Además de la integración de la gestión del riesgo Assim como na integração da gestão de riscos aos
en los procesos centrales del negocio, hay una processos centrais do negócio, é necessário criar
necesidad de crear una interacción entre todos los uma interação entre todas as abordagens de
enfoques de sistemas de gestión, por ejemplo, sistema de gestão, isto é, gestão da qualidade,
gestión de calidad, gestión ambiental, gestión de gestão ambiental, gestão da segurança, gestão
seguridad, cumplimiento, gestión financiera y financeira, da conformidade e de reporte, e até a
presentación de informes, e incluso con la gestão de seguros que lida com os eventos que
administración de seguros tratando con eventos podem ser financeiramente transferidos para
que pueden ser transferidos financieramente a outras organizações.
otras organizaciones.
Estos sistemas de gestión individuales deberían Convém que estes sistemas de gestão individuais
formar un sistema integrado de gestión, basado en formem um sistema de gestão integrado, baseado
la política y la estrategia de cualquier na politica e estratégia de qualquer organização.
organización. Aun cuando una organización Até no caso de uma organização ter um sistema
cuenta con sistemas individuales de gestión para de gestão individual para gerenciar riscos
gestionar los riesgos particulares, el marco de particulares, convém que a estrutura para
gestión del riesgo debería extenderse e gerenciar riscos se estenda e incorpore esses
incorporarse a esos sistemas. sistemas.
Este enfoque de gestión del riesgo de toda la Tal abordagem de gestão de riscos
organización puede: interorganizacional pode:
a) aumentar la atención de la alta dirección de la a) aumentar o foco da Alta Direção nos objetivos
organización en los objetivos estratégicos; estratégicos da organização;
b) permitir que todos los riesgos en el sistema de b) permitir que todos os riscos no sistema de
gestión integrado se manejen de acuerdo con los gestão integrado sejam tratados de acordo com
principios y directrices de la Norma ISO 31000. os princípios e diretrizes da ISO 31000.
Este enfoque puede incluir lo siguiente: Esta abordagem pode envolver o seguinte:
- la aplicación de las técnicas de gestión del riesgo - a aplicação no sistema de gestão da qualidade
54
NM ISO/TR 31004:2016
- el tratamiento de las incertidumbres en la gestión - lidar com as incertezas da gestão ambiental, por
ambiental, por ejemplo, los incidentes y accidentes exemplo, incidentes e acidentes potenciais em
potenciales en locales peligrosos, disposición de instalações perigosas, descarte de materiais e
materiales y sustancias peligrosas; substâncias perigosas;
- el manejo de los riesgos de seguridad, por - lidar com os riscos de segurança, isto é, atos de
ejemplo, los actos de violencia en contra de la violência contra a organização ou seus
organización o de sus empleados o clientes; empregados ou clientes;
- el establecimiento de controles para proteger los - estabelecer os controles para proteger os ativos
activos de la organización, para asegurar una da organização, para assegurar o correto reporte e
correcta información, el cumplimiento de los a conformidade aos requisitos legais ou para
requisitos legales, o para gestionar los riesgos gerenciar riscos seguráveis de maneira a minimizar
asegurables de una manera que minimice las os prêmios.
primas.
El proceso de gestión del riesgo debería integrarse Convém que o processo de gestão de riscos seja
en los procesos de decisión de la organización, integrado nos processos de tomada de decisão da
sea cual sea el nivel y la función a la que se toman organização, independentemente do nível e da
esas decisiones. função nos quais essas decisões são tomadas.
b) el uso de diagramas de flujo, o alguna otra b) O uso de fluxograma, ou alguma outra técnica
técnica, para mapear las principales prácticas de para mapear as práticas principais de tomada de
toma de decisiones y las secuencias que son decisão e as sequências que são aplicadas tanto a
aplicables tanto a proyectos específicos y todos projetos específicos quanto a todos os aspectos
los aspectos del negocio. Esto se puede do negócio. Isto pode ser considerado ao nível de
considerar en una división o una base de la divisão ou de função, e convém que seja
función, y debería extenderse a la gobernanza, así estendido à governança, bem como à tomada de
como a la toma de decisiones de gestión. Si hay decisão gerencial. Caso existam atividades que
actividades que se gestionan a través de la sejam gerenciadas por meio da aplicação de um
aplicación de un sistema de gestión formalizado sistema de gestão formal (por exemplo, gestão da
(por ejemplo, la gestión de calidad a través de la qualidade por meio da aplicação da ISO 9001),
aplicación de la Norma ISO 9001), los puntos de convém que os pontos de decisão em tais
decisión en este tipo de sistemas deberían formar sistemas formem parte desta análise.
parte de este análisis. Del mismo modo, si la Similarmente, caso a organização tenha alguma
organización cuenta con algún tipo de autoridad forma de autoridade delegada para a tomada de
para la toma de decisiones delegada, estas decisão, convém que tais delegações sejam
delegaciones deberían ser incluidas en el análisis. incluídas nestas análises. É conveniente que o
El resultado final debería ser una imagen resultado final seja uma fotografia coerente e
coherente y documentada de donde se toman las documentada de onde as decisões são tomadas,
decisiones, quién toma esas decisiones y los de quem toma essas decisões, e dos processos
procesos existentes aplicables a tales decisiones. existentes aplicáveis a tais decisões.
Con una combinación de las técnicas Convém que a combinação das técnicas acima
mencionadas debería generarse un alto grado de crie um alto nível de conscientização, tanto
concientización, tanto de la organización como del organizacional quanto pessoal na tomada de
personal que toma las decisiones. decisões.
En algunos tipos de decisiones (por ejemplo, el Em alguns tipos de decisão (por exemplo,
desarrollo y la realización de un nuevo producto, o desenvolvimento e realização de um novo produto,
la planificación y ejecución de un proyecto de gran ou planejamento e implementação de um projeto
envergadura), se debería incluir una evaluación maior) será apropriado incluir um processo de
formal de los riesgos en las distintas etapas del avaliação de risco formal em vários estágios do
proyecto. Por ejemplo, la mayoría de los proyectos projeto. Por exemplo, a maioria dos projetos tem
tienen múltiples puntos de decisión, es decir, de múltiplos pontos de decisão, isto é, a viabilidade,
viabilidad, modelo de negocio, presupuesto caso de negócio, orçamento e planejamento
detallado y la planificación, la ejecución y entrega detalhados, implementação, e entrega. Em cada
final. En cada uno de estos puntos, es adecuada um destes pontos, um processo de avaliação de
una evaluación formal de los riesgos para decidir risco formal é apropriado para decidir entre opções.
entre las distintas opciones. Esto aumenta la Isto aumenta a probabilidade do sucesso do projeto
probabilidad de éxito del proyecto y también e também melhora a sua eficiência.
mejora la eficiencia.
Para la evaluación del riesgo de las decisiones Para o processo de gestão de riscos das decisões
operativas, se pueden desarrollar formularios operacionais, formulários padronizados simples do
normalizados simples del proceso de gestión del processo de gestão de riscos podem ser
riesgo para su uso por parte del personal desenvolvidos para o uso pelo pessoal envolvido.
involucrado.
Estos métodos son especialmente adecuados en Tais métodos são especialmente adequados em
situaciones donde las personas trabajan sin situações onde pessoas trabalham sem
supervisión directa. Un elemento clave de estos supervisão direta. Um componente-chave desses
métodos es la creación de conciencia sobre métodos é criar uma conscientização sobre
premisas como insumos para las decisiones. Por pressupostos como entradas para as decisões.
definición, las premisas son una fuente de Por definição, os pressupostos são uma fonte de
incertidumbre. incerteza.
Tales procesos normalizados pueden ser Tais processos padronizados podem ser
específicos para el tipo de toma de decisiones en específicos para o tipo de tomada de decisão
cuestión, para el grupo particular de personas que envolvida, para o grupo de pessoas em particular
realizan una tarea en particular, y para el contexto que desenvolvem uma tarefa em particular, e para
56
NM ISO/TR 31004:2016
típico en el que se producen. Los sistemas simples o contexto típico onde ela ocorre. Sistemas
pueden ser codificados en una tarjeta que consiste simples podem ser codificados em cartões de
en una lista de verificación de tamaño de bolsillo y bolso de instrução de lista de verificação e levados
ser llevados por todos los que participan en ese por todos os envolvidos nesse tipo de trabalho.
tipo de trabajo.
- los ajustes para llevar a cabo la investigación y el - arranjos para conduzir a investigação inicial e
mapeo de la práctica de toma de decisiones inicial; mapeamento da prática de tomada de decisão;
- la formación específica de las personas cuyo - treinamento específico daqueles cujo trabalho é
trabajo se lleva a cabo de acuerdo con un sistema realizado de acordo com o sistema de gestão
de gestión específico (por ejemplo, los que se específico (por exemplo, aqueles que estão
ocupan de la gestión de determinados tipos de relacionados com a gestão de tipos de risco em
riesgo); particular);
57
NM ISO/TR 31004:2016
Bibliografía
Bibliografia
[3] NM ISO 19011, Directrices para la auditoría de sistemas de gestión / Diretrizes para
auditoria de sistemas de gestão
[4] AMN Guía ISO 73:2013, Gestión del riesgo - Vocabulario (ISO Guía 73:2009, IDT) / Gestão
de riscos - Vocabulário (ISO Guia 73:2009, IDT)
[5] NM IEC 31010:2014, Gestión del riesgo - Técnicas de evaluación del riesgo
(ISO/IEC 31010:2009, IDT) / Gestão de riscos - Técnicas para o processo de avaliação de
riscos (ISO/IEC 31010:2009, IDT)
58
NM ISO/TR 31004:2016
ICS 03.100.01
Descriptores: gestión de riesgos; guía
Palavras chave: gestão de riscos; guia
Número de páginas: 58
NM ISO/TR 31004:2016
1. INTRODUCCIÓN
La intención de este Informe Técnico es asistir a las organizaciones en la mejora de la eficacia de los
esfuerzos empleados en la gestión del riesgo alineándola con la ISO 31000:2009.
2. COMITÉ ESPECIALIZADO
El texto del Proyecto de Norma MERCOSUR 90:06-ISO/TR 31004 fue elaborado oportunamente por la
CE 90:06 – Gestión de riesgos.
El texto base del Proyecto participaron Brasil y Uruguay, y tuvo su origen (traducción) en
ISO/TR 31004:2013 Risk management - Guidance for the implementation of ISO 31000.
5. CONSIDERACIONES
Este proyecto se inició durante el año de 2014, donde Uruguay si quedó a cargo de la Secretaría Técnica de
la Comisión Especial MERCOSUR 90:06 de Gestión de Riesgos.
El 24 de febrero de 2016 fue a votación nacional para la consideración de los países miembros del
MERCOSUR, por un período de 60 días, finalizando el 25 de abril de 2016. Uruguay aprobó el texto con
observaciones editoriales. Argentina y Bolivia aprobaron el texto sin observaciones.
El 04 de mayo de 2016 fue nuevamente a votación final para la consideración de los países miembros del
MERCOSUR, por un período de 30 días.
ABNT ha solicitado prórroga del plazo para la votación final de más 45 días.
El documento fue finalmente enviado a AMN, conforme lo determina el reglamento para el estudio de
normas MERCOSUR, para impresión y aprobación como norma MERCOSUR (NM).