3.

3 Identificação do risco
• Uma identificação de risco usando um
processo sistemático bem estruturado é
importante, pois um risco potencial não
identificado neste estágio está excluído de
uma análise maior. A identificação deve
incluir todos os riscos estando eles sob
controle ou não da organização.
 3.3 Identificação do risco
• Abordagens usadas para identificar os
riscos incluem listas de verificações,
julgamento baseado sobre experiência e
registros anteriores, fluxogramas,
brainstorming, análise de sistemas,
análise de cenário e técnicas de
engenharia de sistemas.
 3.4 Análise do Risco
• A análise de risco tem por objetivo
entender cada risco identificado. Ela gera
as informações necessárias para
decidirmos como o risco será tratado
baseado na melhor estratégia traçada ou
custo-benefício. A análise envolve
considerações baseadas nas causas do
risco, sua positiva ou negativa
conseqüência e na probabilidade que o
evento ocorra.
 3.4 Análise do Risco
• Identificar os processos, equipamentos ou
processos que minimizam os riscos
negativos ou potencializa os riscos
positivos e avaliar suas forças e
fraquezas. Os controles devem levantar
as saídas dos riscos previstos nas
atividades anteriores.
 3.4 Análise do Risco
• As fontes de informação disponíveis e
técnicas podem ser usadas quando
analisamos os efeitos e as probabilidades.
 3.4 Análise do Risco
As fontes de informação podem incluir o seguinte:
• Registros passados;
• Práticas e experiência relevante;
• Literaturas relevantes publicadas;
• Pesquisa de mercado;
• Resultados de consultas públicas;
• Experimentos e protótipos;
• Modelos de engenharia, econômicos, ou outros;
• Julgamentos de especialistas no assunto.
 3.4 Análise do Risco
As técnicas incluem:
• Entrevistas estruturadas com
especialistas na área de interesse;
• Uso de grupos multidisciplinares;
• Avaliações individuais utilizando
questionários; e
• Uso de modelos e simulações.
 3.4 Análise do Risco
Tipos de Análise

• Análise Qualitativa
• Análise Semi-quantitativa
• Análise Quantitativa
 3.4 Análise do Risco
• Análise qualitativa
A análise qualitativa usa forma de palavras ou
escalas descritivas para descrever os
potenciais efeitos e a probabilidade que
acontecerão. Estas escalas podem ser
adaptadas ou ajustadas como convém, e
diferentes descrições podem ser usadas
para diferentes riscos.
 3.4 Análise do Risco
• Análise semi-quantitativa
Nas análises semi-quantitativas, são dados
valores as escalas utilizadas na análise
qualitativa. O objetivo é definir mais
precisamente os graus dos riscos
identificados do que é feito a partir da
análise qualitativa, não são sugeridos
valores reais, pois estes são usados na
análise quantitativa.
 3.4 Análise do Risco
• Análise quantitativa
A análise quantitativa usa valores numéricos (ao invés
de escalas descritivas usadas nas análises
qualitativas e semi-quantitativas) tanto para os
efeitos como para as probabilidades usando dados
a partir de fontes diversas. A qualidade da análise
depende da precisão e integridade dos valores
numéricos usados.
 3.5 Avaliação do risco
O objetivo da avaliação de risco é tomar
decisões baseadas nas saídas das
análises dos riscos determinando quais
riscos precisam ser tratados e priorização
deste tratamento.
A análise do risco e o critério dos riscos são
comparados na avaliação de risco devem
ser considerado sobre a mesma base.
 3.6 Tratamento de risco
O tratamento de risco envolve a
identificação da faixa de opções para o
tratamento de risco, avaliando aquelas
opções, preparando os planos de
tratamento de riscos e implementando-os.
Podemos fazer tratamento de riscos que
podem resultar em oportunidades ou
redução de danos.
 3.7 Monitoramento e revisão
A revisão é essencial para garantir o
gerenciamento efetivo do plano. Fatores
podem afetar a probabilidade e os efeitos
dos riscos, também pode afetar os custos
das opções de tratamento. Regularmente
devemos revisar o plano de
gerenciamento de riscos.
 3.8 Registro do processo de Ger. de
Risco
Cada estágio do processo de
gerenciamento de riscos deve registrados
apropriadamente. Concepções, métodos,
dados históricos, análises, resultados de
análises e decisões devem ser
documentadas.
A documentação de cada processo é um
importante aspecto da boa governança
corporativa.
 4 Estabelecendo um
Gerenciamento de riscos
efetivos
 4.1 Objetivo
Toda organização deve desenvolver uma
política de gerenciamento de riscos,
planejá-lo e executá-lo. Isto permitira a
empresa implementá-lo efetivamente em
toda a empresa. O plano deverá
direcionar o processo de gerenciamento
de riscos, dos sistemas, processos e
práticas da organização.
4.2 Avaliando práticas existentes
e necessidades
Esta revisão entregará uma avaliação estruturada de:
• Maturidade, características e efetividade dos negócios,
sistemas e cultura de gerenciamento de riscos
existentes;
• O grau de integração e consistência do gerenciamento
de riscos dentro da organização e dentro dos diferentes
tipos de riscos;
• Os processos ou sistemas que poderão ser modificados
ou estendidos;
• Restrições que podem limitar a implantação do sistema
de gerenciamento de riscos;
• Requisitos de legislação ou acordo; e
• Restrição de recursos.
 4.3.1 Desenvolver o plano de
gerenciamento de riscos
O plano de gerenciamento de risco definirá
como o gerenciamento de riscos será
conduzido dentro da organização. O plano
de tratamento dos riscos poderá estar
separado ou junto com o plano de
gerenciamento de riscos.
 4.3.2 Assegurar o apoio da alta
gerência
• Qualquer de comprometimento da alta gerência
com o gerenciamento de riscos é importante,
com isto é possível:
• Obter o apoio e suporte dos diretores e média
gerencia para o ger. de riscos e também
durante o desenvolvimento e implementação da
política e do plano na organização;
• Apontar um gerente sênior ou similar como líder
ou patrocinados do plano; e
• Conseguir o comprometimento e apoio de todos
os gerentes para execução do plano de ger. de
riscos.
 4.3.3 Desenvolver e comunicar a política
de gerenciamento de riscos
A direção da empresa comunicará a política de ger. de riscos, incluindo seus
objetivos. A política pode incluir:
• Os objetivos e os argumentos necessários para se fazer o gerenciamento
de riscos;
• A ligação entre a política e os planos estratégicos da empresa;
• Os níveis e os tipos de risco que a organização tratará e o como fará o
equilíbrio entre ameaças e oportunidades;
• Os processos a serem usados para gerenciar tipos de riscos;
• As responsabilidade em gerenciar tipo de riscos;
• Detalhes de conhecimentos e expertise disponíveis para auxiliar o
responsável em gerenciar o risco;
• A descrição de como o monitoramento do gerenciamento de riscos será
feita e relatada;
• O compromisso de revisões periódicas do sistema de ger. de riscos; e
• A declaração de comprometimento da alta direção da empresa com a
política.
 4.3.5 Adaptar o processo de
gerenciamento de riscos
O processo de gerenciamento de riscos
pode ser adaptado para a organização,
subordinando-o as políticas,
procedimentos e culturas da empresa
conforme processo de revisão previsto no
capítulo 4.2.
 4.3.6 Assegurar recursos
necessários
A organização deverá identificar os recursos
necessários para o gerenciamento de riscos,
isto inclui considerar os recursos:
• Pessoas e habilidades;
• Processos documentados e procedimentos;
• Sistemas de informação e banco de dados; e
• Recursos financeiros e outros recursos que
sejam necessário em atividades específicas.
 4.3.6 Assegurar recursos
necessários
Um sistema de gerenciamento de riscos poderá ter as seguintes
capacidades:
• Registrar detalhes dos riscos, controles e prioridades e mostrar
qualquer alteração neles;
• Registrar os tratamentos dos riscos e os recursos necessário para
fazê-lo.
• Registrar detalhes de incidentes, eventos perdidos e lições
aprendidas;
• Rastrear as responsabilidades, controles e tratamentos dos riscos;
• Rastrear os progressos e registros das ações de tratamento dos
riscos finalizadas;
• Mostrar os progressos em relação ao plano de ger. de riscos,
podendo medi-los;
• Disparar o monitoramento e assegurar a atividade.