1 A GESTÃO DE RISCOS
1.6 Principais Normas e Estruturas
1.6.4 ISO 31000:2009 – Gestão de Riscos Princípios e Orientações
1.6.4.2 Estrutura/Modelo de Gestão de Riscos
O conceito de ERM constante da ISO 31000:2009 tem subjacente uma abordagem de
gestão da qualidade utilizando o paradigma de Deming (1986) de Plan (Planear), Do
(Executar), Check (Rever) e Act (Agir), conforme evidenciado na figura 1.8. A qualidade
da tomada de decisão numa organização é reforçada através da melhoria contínua do
modelo de gestão de risco. O modelo é planeado, executado, monitorizado e
continuamente melhorado seguindo a abordagem PDCA (Fraser & Simkins, 2010).
Figura 1.8 – Paradigma de Deming (PDCA)
Fonte: Adaptado de https://en.wikipedia.org/wiki/PDCA
O sucesso da gestão de riscos vai depender da eficácia da gestão na implementação
transversal do modelo em todos os níveis da organização. O modelo garante que as
informações relevantes sobre risco, resultantes do processo de gestão de riscos, são
adequadamente relatadas e utilizadas como base para a tomada de decisões e prestação
O modelo de gestão de riscos presente na norma é constituído por cinco componentes que
se interrelacionam de forma interativa entre si (Figura 1.9). A intenção da norma não é a
de prescrever este modelo a todas as organizações, propondo, ao invés, que os diferentes
componentes sejam adaptados às necessidades específicas de cada organização.
Figura 1.9 – Estrutura/modelo de gestão de riscos
Fonte: Adaptado da ISO 31000:2009
1. MANDATO E COMPROMISSO
A implementação de um processo de gestão de riscos e a manutenção da sua eficácia
exigirá um forte compromisso por parte da administração, assim como um planeamento
estratégico e rigoroso que assegure que esse compromisso seja alcançado em todos os
níveis da organização. De acordo com a presente norma, a administração deverá:
Definir e aprovar a política de gestão de riscos;
Garantir que a política de gestão de riscos e a cultura da organização estão
alinhadas;
Garantir que os objetivos da gestão de riscos estão alinhados com os objetivos e
estratégias da organização;
Assegurar a conformidade legal e regulamentar;
Atribuir responsabilidades apropriadas aos vários níveis da organização;
Assegurar que sejam alocados os recursos necessários à gestão de riscos;
Comunicar os benefícios da gestão de riscos aos stakeholders; e
Assegurar a atualidade e adequacidade do modelo de gestão de riscos.
Mandato e CompromissoDesenho da Estrutura/Modelo:
Compreensão da organização e do seu contexto Estabelecimento da política de gestão de riscos Responsabilidade
Integração com os processos organizacionais Recursos
Estabelecimento de comunicação e reporte interno Estabelecimento de comunicação e reporte externo
Implementação da Gestão de Riscos: Implementação do Modelo Implementação do Processo Melhoria Contínua do Modelo Monitorização e Revisão do Modelo
2. DESENHO DO MODELO DE GESTÃO DE RISCOS
a) Compreensão da organização e do seu contexto:
Antes de conceber e implementar o modelo de gestão de riscos, carece avaliar e
compreender o contexto interno e o contexto externo da organização, uma vez que
estes podem influenciar, significativamente, o desenho do modelo.
b) Estabelecimento da política de gestão de riscos:
A política de gestão de riscos deverá indicar claramente os objetivos da organização
no que concerne à gestão de riscos, devendo ser comunicada de forma adequada.
c) Responsabilidade:
A organização deverá garantir a responsabilidade, autoridade e competência adequada
para a gestão de riscos, incluindo a implementação e manutenção do processo de
gestão de riscos e a adequação, eficácia e eficiência dos controlos.
d) Integração com os processos organizacionais:
A gestão de riscos deve ser incorporada nas práticas e processos da organização de
forma a assegurar a sua relevância, eficácia e eficiência.
e) Recursos:
A organização deverá alocar os recursos necessários (recursos humanos e
tecnológicos, conhecimento, experiência e competência) à implementação e
prossecução do processo de gestão de riscos.
f) Estabelecimento de comunicação e reporte interno:
A organização deverá estabelecer, de forma adequada e oportuna, mecanismos de
notificação e comunicação sobre quaisquer informações relevantes assinaladas pela
gestão de riscos, a fim de promover a propriedade e responsabilidade sobre o risco.
g) Estabelecimento de comunicação e reporte externo:
A organização deverá desenvolver e implementar um plano que defina a forma como
deverá ser comunicada a informação de gestão de riscos com o exterior,
nomeadamente com os stakeholders.
3. IMPLEMENTAÇÃO DA GESTÃO DE RISCOS
Este componente visa, por um lado e num momento prévio, a implementação do modelo
e, por outro, a implementação do(s) processo(s) de gestão de riscos:
a) Implementação do modelo de gestão de riscos:
Aquando da aplicação do modelo de gestão de riscos, a organização deverá definir o
momento, o calendário e a estratégia adequados, assim como, ao mesmo tempo,
cumprir com os requisitos legais e regulamentares, garantir que as decisões tomadas
estejam alinhadas com as conclusões geradas a partir do processo de gestão de riscos
e garantir, através da comunicação e consulta aos stakeholders, que a gestão de riscos
se mantém relevante e atual.
b) Implementação do processo de gestão de riscos:
O processo de gestão de riscos deve ser implementado, de forma a garantir a sua
aplicação através de um plano transversal a todos os níveis e funções relevantes da
organização.
4. MONITORIZAÇÃO E REVISÃO DO MODELO
A fim de garantir que a gestão de riscos continua a apoiar, eficazmente, o desempenho
organizacional, a organização deverá:
Medir, através de indicadores periodicamente revistos, o desempenho e adequação
da gestão de riscos;
Medir, periodicamente, os desvios observados relativamente ao plano previamente
estabelecido;
Tendo em conta o contexto externo e interno da organização, rever periodicamente
a adequabilidade do modelo, política e plano de gestão de riscos;
Reportar informação relevante sobre o risco, os progressos na aplicação do plano
de gestão de riscos e o cumprimento da respetiva política; e
Avaliar a eficácia do modelo de gestão de riscos.
5. MELHORIA CONTÍNUA DO MODELO
Os resultados obtidos na monitorização e revisão deverão promover a melhoria da tomada
de decisão, da política e cultura de gestão de riscos.
No documento
Implementação de um modelo de gestão de risco não clinico na ULSNA, EPE
(páginas 49-53)