Risk Management Standard Portuguese - The IRM, AIRMC, FERMA

1.990 visualizações

Publicada em

Teoria Padrão de Gestão de Riscos em Português - The IRM

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.990
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
68
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Risk Management Standard Portuguese - The IRM, AIRMC, FERMA

  1. 1. F E D E R AT I O N O FE U RO P E A N R I S KM A NAG E M E N TA S S O C I AT I O N S NORMA DE GESTÃO DE RISCOS
  2. 2. NORMA DE GESTÃO DE RISCOSIntrodução oportunidades devem ser vistas não só no contexto da própria actividade, mas tambémA Norma de Gestão de Riscos é o resultado do em relação às muitas e diversas partestrabalho de uma equipa composta por interessadas que podem ser afectados,elementos das principais organizações de doravante designadas por intervenientes.gestão de riscos do Reino Unido - The Instituteof Risk Management (IRM), The Association of Existem muitas formas de atingir os objectivosInsurance and Risk Managers (AIRMIC) e da gestão de riscos e seria tarefa impossívelALARM The National Forum for Risk tentar defini-las todas num único documento.Management in the Public Sector. Por conseguinte, nunca foi nosso objectivoEsta equipa procurou, ao longo de um período produzir uma norma prescritiva, que conduziriade consulta prolongado, os pontos de vista de a uma abordagem do tipo lista de verificação,um grande número de organismos nem estabelecer um processo de certificação.profissionais com interesses na gestão de Ao cumprirem as várias componentes destariscos. norma e podendo fazê-lo de formas diversas, as organizações ficarão em posição deA gestão de riscos é uma disciplina em rápido informar sobre a sua conformidade com adesenvolvimento. Existem diversos pontos de mesma. A norma representa as melhoresvista, assim como descrições sobre o que práticas em relação às quais as organizaçõesengloba, como deve ser conduzida e para que se podem auto-avaliar.serve. São necessárias normas para garantiruma concordância em relação a : A norma utilizou, sempre que possível, a• terminologia utilizada, terminologia para o risco definida pela• processos para implementação da gestão Organização Internacional de Normalização de riscos, (ISO) no seu recente documento, ISO/IEC• estrutura organizacional para a gestão de Guide 73 Risk Management - Vocabulary - risco, Guidelines for use in standards.• objectivo da gestão de riscos. Devido aos rápidos desenvolvimentos a que seImporta referir que esta norma reconhece que assiste nesta área, os autores gostariam deo risco apresenta duas vertentes, não só a receber comentários por parte dasnegativa, mas também a positiva. organizações que coloquem a norma emA gestão de riscos não é apenas um tema para prática (as moradas estão indicadas naempresas ou organizações públicas, mas contracapa deste Guia). Pretende-se que atambém para qualquer actividade ou projecto norma evolua regularmente, à luz das melhoresde curto ou longo prazo. As vantagens e práticas. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 2
  3. 3. NORMA DE GESTÃO DE RISCOS1. Risco todos os factores que podem afectar a organização. Aumenta a probabilidade de êxitoO risco pode ser definido como a combinação e reduz tanto a probabilidade de fracassoda probabilidade de um acontecimento e das como a incerteza da obtenção de todos ossuas consequências (ISO/IEC Guide 73). objectivos globais da organização.O simples facto de existir actividade, abre a A gestão de riscos deve ser um processopossibilidade de ocorrência de eventos ou contínuo e em constante desenvolvimentosituações cujas as consequências constituem aplicado à estratégia da organização e àoportunidades para obter vantagens (lado implementação dessa mesma estratégia. Devepositivo) ou então ameaças ao sucesso (lado analisar metodicamente todos os riscosnegativo). inerentes às actividades passadas, presentesA gestão de riscos é cada vez mais identificada e, em especial, futuras de uma organização.como dizendo respeito aos aspectos positivos Deve ser integrada na cultura da organizaçãoe negativos do risco. Por conseguinte, esta com uma política eficaz e um programanorma considera o risco nestas duas conduzido pela direcção de topo. Deve traduzirperspectivas. a estratégia em objectivos tácticos eNo campo da higiene e segurança, por operacionais, atribuindo responsabilidades naexemplo, é quase um dado adquirido que as gestão dos riscos por toda a organização,consequências são apenas negativas e, por como parte integrante da respectiva descriçãoisso, a gestão destes riscos concentra-se na de funções. Esta prática sustenta aprevenção ou diminuição do dano. responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os2. Gestão de riscos níveis da organização.A gestão de riscos é um elemento central na 2.1 Factores externos e internosgestão da estratégia de qualquer organização. Os riscos que uma organização e respectivasÉ o processo através do qual as organizações actividades apresentam podem ter origem emanalisam metodicamente os riscos inerentes às factores que podem ser internos ou externos àrespectivas actividades, com o objectivo de organização.atingirem uma vantagem sustentada em cada O diagrama (2.1.1) propõe exemplos de riscosactividade individual e no conjunto de todas as principais e mostra que alguns delesactividades. respondem a factores tanto internos comoO ponto central de uma boa gestão de riscos é externos. A classificação dos riscos pode sera identificação e tratamento dos mesmos. O ajustada, fazendo a distinção dos maisseu objectivo é o de acrescentar valor de forma relevantes de entre os riscos puros e os desustentada a todas as actividades da ordem estratégicos, financeiros, operacionais,organização. Coordena a interpretação dos etc.potenciais aspectos positivos e negativos de © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 3
  4. 4. NORMA DE GESTÃO DE RISCOS2.1 Exemplos de factores internos e externos M EXTERNA ORIGE RISCOS FINANCEIROS RISCOS ESTRATÉGICOS CREDITO CONCORRRENCIA TAXAS DE JURO ALTERAÇÕES NO DIFERENÇA MBIAIS ALTERAÇÕES DA ACTIVIDADE PROCURA FUSÕES AQUISIÇÕES INTEGRAÇÕES CASH FLOW & INVESTIGAÇÃO E LIQUIDEZ DESENVOLVIMENTO & CAPITAL INTELECTUAL ORIGEM INTERNA SISTEMAS DE CONTROLO FINANCEIRO & SISTEMAS DE INFORMAÇÃO RECRUTAMENTO ACESSO PÚBLICO CADEIADE ABASTECIMENTO EMPREGADOS PROPRIEDADE BENS E SERMÇOS REGULAMENTAÇÕES CONTRATOS CULTURA EVENTOS NATURAIS COMPOSIÇÃO DA GESTÃO FORNECEDORES DE TOPO MEIO AMBIENTE RISCOS OPERACIONAIS PERIGOS O RIGE M EXTERNA © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 4
  5. 5. NORMA DE GESTÃO DE RISCOS 2.2 Processo de gestão de riscos Os Objectivos A gestão de riscos protege e acrescenta valor à Estratégicos da Organização organização e aos diversos intervenientes, apoiando da seguinte forma os objectivos da organização : Avaliação do Risco Análise do Risco • criação de uma estrutura na organização que permita que a actividade futura se Identificação do Risco desenvolva de forma consistente e Descrição do Risco controlada Estimação do Risco Auditoria Formal • melhoria da tomada de decisões, doModificação Comparação do Risco planeamento e da definição de prioridades, através da interpretação abrangente e estruturada da actividade do negócio, da Reporte do Risco volatilidade dos resultados e das Ameaças e Oportunidades oportunidades/ameaças do projecto • contribuição para uma utilização/atribuição Decisão mais eficiente do capital e dos recursos dentro da organização Tratamento do Risco • redução da volatilidade em áreas de negócio não essenciais Reporte do risco Residual • protecção e melhoria dos activos e da imagem da empresa Monitorização • desenvolvimento e apoio à base de conhecimentos das pessoas e da organização • optimização da eficiência operacional. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 5
  6. 6. NORMA DE GESTÃO DE RISCOS3. Avaliação de riscos taxas de juro e outro tipo de orientações do mercado.A avaliação de riscos é definida pelo documentoISO/IEC Guide 73 como o processo geral de • Gestão do conhecimento - Relacionadas comanálise de riscos e estimativa de riscos. a gestão e controlo eficazes dos recursos do(Consulte o anexo) conhecimento e com a produção, protecção e comunicação destes. Esta categoria engloba factores externos como a utilização não autorizada ou abusiva da propriedade4. Análise de riscos intelectual, as falhas de energia na zona e tecnologia competitiva. Do lado dos factores4.1 Identificação dos riscos internos podem referir-se avarias nosA identificação dos riscos tem como objectivo sistemas ou a perda de funcionários chave.identificar a exposição de uma organização aoelemento de incerteza. Esta identificação exige • Conformidade - Relacionadas com temasum conhecimento profundo da organização, do como saúde e segurança, meio ambiente,mercado no qual esta desenvolve a sua práticas comerciais, protecção do consumidor,actividade, do ambiente jurídico, social, político e protecção de dados, assuntos regulamentarescultural onde está inserida, assim como o legislação laboral.desenvolvimento de uma sólida interpretação dassuas estratégias e objectivos operacionais, Apesar da identificação dos riscos poder serincluindo os factores fundamentais para o seu realizada por consultores externos, umaêxito e as ameaças e oportunidades relativas à abordagem interna com processos e ferramentasobtenção dos referidos objectivos. bem comunicados, consistentes e coordenadosA identificação dos riscos deve ser abordada de (consulte o anexo) será provavelmente maisforma metódica, de modo a garantir que todas as eficaz. É essencial que sejam os actores internosactividades significativas dentro da organização os ‘proprietários’ do processo de gestão deforam identificadas e todos os riscos delas riscos.decorrentes definidos. Toda a volatilidadeassociada relativa a estas actividades deve ser 4.2 Descrição dos riscosidentificada e classificada por categorias. O objectivo da descrição dos riscos centra-se na apresentação dos riscos identificados numAs actividades e decisões podem ser formato estruturado, por exemplo, através declassificadas de várias forma, entre as quais: uma tabela. A tabela (4.2.1) de descrição dos• Estratégicas - Relacionadas com os objectivos riscos pode facilitar a descrição e avaliação de estratégicos da organização a longo prazo. riscos. A utilização de uma estrutura bem Podem ser afectadas por áreas como concebida é necessária para garantir um disponibilidade de capital, riscos de soberania processo abrangente de identificação, descrição e e políticos, alterações jurídicas e avaliação de riscos. Ao considerar-se a regulamentares, reputação e alteração ao consequência e probabilidade de cada um dos meio ambiente físico. riscos definidos na tabela, deve ser possível identificar os riscos chave e estabelecer• Operacionais - Relacionadas com os assuntos prioridades na análise detalhada dos mesmos. A quotidianos com os quais a organização é identificação dos riscos associados a actividades confrontada quando se esforça para atingir os de negócio pode ser dividida em estratégica, de seus objectivos estratégicos. projecto/táctica, operacional. É importante• Financeiras - Relacionadas com a gestão e incorporar a gestão de riscos em toda a fase de controlo eficazes dos meios financeiros da vida do projecto, desde a concepção, passando organização e com os efeitos de factores pela execução até à sua conclusão. externos como, por exemplo, disponibilidade de crédito, taxas de câmbio, movimento das © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 6
  7. 7. NORMA DE GESTÃO DE RISCOS4.2.1 Tabela - Descrição dos riscos1. Designação do risco2. Âmbito do risco Descrição qualitativa de acontecimentos, como dimensão, tipo, número e dependências3. Natureza do risco Ex. estratégicos, financeiros, operacionais, de conhecimento ou conformidade4. Intervenientes Intervenientes e respectivas expectativas5. Quantificação do risco Importância/relevância e probabilidade6. Tolerância/Apetência Potencial de perda e impacto financeiro do risco para o risco Valor em risco (value at risk) Probabilidade e dimensão de perdas/ganhos potenciais Objectivo(s) do controlo do risco e nível de desempenho pretendido7. Tratamento e Principais meios através dos quais o risco é actualmente gerido mecanismos de controlo Níveis de confiança do controlo existente do risco Identificação dos protocolos de monitorização e revisão8. Possíveis acções de Recomendações para redução do risco melhoria9. Desenvolvimento de Identificação da função responsável pelo desenvolvimento de estratégias e políticas estratégias e políticas4.3 Estimativa dos riscos São fornecidos exemplos nas tabelasA estimativa dos riscos pode ser quantitativa, apresentadas. Cada organização poderásemi-quantitativa ou qualitativa em termos de considerar diferentes metodologias, quer naprobabilidade de ocorrência e possível medição das consequências, quer dasconsequência. probabilidades, adequando-as às suasPor exemplo, as consequências em termos de necessidades. Por exemplo, muitasameaças (riscos de aspectos negativos) e organizações consideram que avaliar asoportunidades (riscos de aspectos positivos) consequências e probabilidades como altas,podem ser altas, médias ou baixas (consulte a médias ou baixas se adequa às respectivastabela 4.3.1). As probabilidades podem ser necessidades e podem ser apresentadas numaaltas, médias ou baixas, mas exigem definições matriz de 3 x 3. Outras consideram que avaliardiferentes em relação a ameaças e as consequências e probabilidades através deoportunidades (consulte as tabelas 4.3.2 e uma matriz de 5 x 5 proporciona uma melhor4.3.3). estimativa. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 7
  8. 8. NORMA DE GESTÃO DE RISCOS4.3.1. Tabela - Consequências para ameaças e oportunidadesAlta O impacto financeiro sobre a organização deve ultrapassar os x € Impacto significativo sobre a estratégia ou actividades operacionais da organização Grande preocupação dos intervenientesMédia O impacto financeiro sobre a organização deve ser entre x € e y € Impacto moderado sobre a estratégia ou actividades operacionais da organização Preocupação moderada dos intervenientesBaixa O impacto financeiro sobre a organização deve ser inferior a y € Impacto baixo sobre a estratégia ou actividades operacionais da organização Pouca preocupação dos intervenientes4.3.2. Tabela - Probabilidade de ocorrência (Ameaças)Estimativa Descrição IndicadoresAlta (Provável) Com possibilidade de ocorrência Potencial para ocorrer diversas vezes todos os anos ou hipótese de dentro do período de tempo (por ocorrência superior a 25%. exemplo - dez anos). Ocorreu recentemente.Média (Possível) Com possibilidade de ocorrência em Pode ocorrer mais do que uma vez cada dez anos ou hipótese de dentro do período de tempo (por ocorrência inferior a 25%. exemplo - dez anos). Pode ser difícil de controlar devido a algumas influências externas. Existe um historial de ocorrências ?Baixa (Remota) Sem possibilidade de ocorrência em Não ocorreu. Improvável que ocorra. cada dez anos ou hipótese de ocorrência inferior a 2%. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 8
  9. 9. NORMA DE GESTÃO DE RISCOS4.3.3. Tabela - Probabilidade de ocorrência (Oportunidades)Estimativa Descrição IndicadoresAlta (Provável) É provável a obtenção de um Clara oportunidade, com certeza resultado positivo num ano ou razoável, a ser atingida a curto prazo, hipótese de ocorrência superior a com base nos processos de gestão 75%. actuais.Média (Possível) Perspectivas razoáveis de Oportunidades que podem ser resultados favoráveis num ano ou atingíveis, mas exigem uma gestão hipótese de ocorrência entre 25% a cuidadosa. 75%. Oportunidades que podem surgir para além do plano.Baixa (Remota) Alguma hipótese de resultados Possível oportunidade que ainda favoráveis a médio prazo ou deve ser totalmente investigada pela hipótese de ocorrência inferior a direcção. Oportunidade cuja 25%. probabilidade de sucesso é baixa, com base nos recursos de gestão que estão a ser aplicados.4.4. Métodos e técnicas de análise de riscos determinar a prioridade dos esforços dePodem ser utilizadas diversas técnicas para tratamento. Este perfil classifica cada riscoanalisar riscos. Estas técnicas podem ser identificado, de modo a dar uma ideia da suaespecíficas de riscos com aspectos positivos importância relativa.ou negativos ou podem ter a capacidade de Este processo permite atribuir o risco à área deanalisar ambos os tipos. (consulte o anexo negócio afectada, descreve os principaispara obter exemplos). procedimentos de controlo implementados e indica as áreas onde o nível de investimento no4.5. Perfil dos riscos controlo de riscos deve ser aumentado,O resultado do processo de análise de riscos diminuído ou redistribuído.pode ser utilizado para gerar um perfil dos A responsabilização ajuda a identificarriscos que classifica cada risco segundo a sua claramente o ‘proprietário’ do risco e garantirimportância e fornece uma ferramenta para que lhe são afectados os recursos adequados. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 9
  10. 10. NORMA DE GESTÃO DE RISCOS5. Comparação de riscos Assim devem ser definidas prioridades nas acções de controlo em termos do seu potencialQuando o processo de análise de riscos estiver para benefício da organização.concluído, é necessário comparar os riscos A eficácia do controlo interno mede-se peloestimados com os critérios de riscos definidos grau de eliminação ou redução do risco atravéspela organização. Os critérios de riscos podem das medidas propostas.englobar os custos e receitas associados, A eficácia em termos de custos dos controlosexigências legais, factores socio-económicos e internos está relacionada com os custos da suaambientais, preocupações dos intervenientes, implementação quando comparados com osetc. Desta forma, a estimativa de riscos e benefícios esperados pela redução dos riscos.subsequente comparação apoia na tomada dedecisões sobre a importância dos riscos para a Para avaliar os mecanismos de controloorganização e sobre a possibilidade de cada propostos é necessário medir e comparar :risco específico ser aceite ou corrigido. • potencial efeito económico se estes não forem implementados6. Tratamento de riscos • custos da implementação destesO tratamento de riscos é o processo de mecanismosseleccionar e implementar medidas para Invariavelmente são necessárias informações emodificar um risco. O elemento principal do pressupostos com maior detalhe do quetratamento de riscos é o controlo/diminuição aqueles que estão disponíveis no imediato.dos riscos, mas engloba, num contexto mais Em primeiro lugar, devem ser determinados osvasto, por exemplo, o evitar de riscos, a custos da implementação com rigor e precisão,transferência, o financiamento, etc. uma vez que se tornará a base para a medição da eficácia em termos de custos. As perdasNOTA: Nesta norma, o financiamento de riscos esperadas , caso não sejam tomadas acções,refere-se aos mecanismos (ex. programas de devem ser estimadas, para, através daseguros) para constituição de fundos para as comparação dos resultados, a gestão podesuas consequências financeiras. De modo decidir se deve ou não implementar asgeral, não se considera o financiamento de medidas de controlo dos riscos.riscos como uma provisão de fundos para O cumprimento de leis e regulamentações nãosuportar os custos da implementação do é opcional. Uma organização deve entender astratamento de riscos (conforme definido pelo leis aplicáveis e implementar um sistema dedocumento ISO/IEC Guide 73; consulte a controlo para estar em conformidade. Só podepágina 17). haver alguma flexibilidade ocasional quando os custos da redução de um risco foremNo mínimo, qualquer sistema de tratamento totalmente desproporcionais aos seusde riscos deve : impactos.• proporcionar um funcionamento eficaz e Um dos métodos para a protecção financeira eficiente da organização contra o impacto dos riscos é o financiamento• garantir controlos internos eficazes através da contratação de seguros. Contudo, deve reconhecer-se que algumas perdas ou• cumprir com leis e regulamentações elementos de perdas podem não serO processo de análise de riscos apoia o seguráveis, como por exemplo, certos custosfuncionamento eficaz e eficiente da relacionados com a saúde, segurança eorganização através da identificação dos riscos incidentes ambientais, que englobem danosaos quais a gestão deve prestar maior atenção. morais a empregados e à reputação da organização. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 10
  11. 11. NORMA DE GESTÃO DE RISCOS7. Comunicação de riscos • identificar intervenções necessárias à correcção de desvios (por exemplo,7.1. Comunicação interna previsões e orçamentos)Dentro de uma organização os vários níveis • dispor de sistemas que informem sobrenecessitam de diferentes tipos de informações variações orçamentais e de previsões, comque serão obtidos através do processo de uma frequência adequada, que permitamgestão de riscos. reacções apropriadas • comunicar, sistemática e imediatamente, àO Conselho de Administração deve : direcção de topo todos os riscos novos ou• conhecer os riscos mais importantes que a falhas constatadas nas medidas de controlo organização enfrenta existentes• conhecer os possíveis efeitos no valor Cada indivíduo deve : accionista provocados pelos desvios • compreender o seu nível de relativamente aos níveis de desempenho responsabilização relativamente a riscos esperados individuais• garantir níveis adequados de sensibilização • compreender de que forma podem aos riscos em toda a organização contribuir para a melhoria contínua da• saber de que forma a organização vai gerir gestão de riscos uma crise • compreender que a gestão de riscos e a• conhecer o nível de confiança dos sensibilização para a existência de riscos intervenientes na organização são elementos chave da cultura da organização• saber como gerir as comunicações com os investidores, quando aplicável • comunicar, sistemática e imediatamente, à direcção de topo todos os riscos novos ou• ter a certeza de que o processo de gestão falhas constatadas nas medidas de controlo de riscos é eficaz existentes• publicar uma política de gestão de riscos clara que abranja a abordagem geral e as 7.2. Comunicação externa responsabilidades da gestão de riscos Regularmente, uma empresa precisa de prestar contas aos intervenientes, definindo asAs Unidades de Negócio devem : respectivas políticas de gestão de riscos e a• estar conscientes dos riscos inerentes às eficácia na obtenção de objectivos. respectivas áreas de responsabilidade, dos Cada vez mais, os intervenientes pretendem possíveis impactos que estes podem ter que as organizações apresentem provas de noutras unidades e das consequências que uma gestão eficaz do desempenho não outras unidades lhes podem provocar financeiro, em áreas como assuntos da comunidade, direitos humanos, legislação• dispor de indicadores de desempenho que laboral, saúde e segurança e meio ambiente. lhes permitam monitorizar nas actividades chave, quer financeiras quer operacionais, A boa gestão empresarial exige que as os progressos para o cumprimento dos empresas adoptem uma abordagem objectivos metodológica para a gestão de riscos que : © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 11
  12. 12. NORMA DE GESTÃO DE RISCOS• proteja os interesses dos intervenientes 8. Estrutura e administração da• garanta que o Conselho de Administração gestão de riscos cumpre os seus deveres relativamente à direcção da estratégia, construa valor e 8.1. Política de gestão de riscos monitoriza o desempenho da organização Uma política de gestão de riscos deve definir a• garanta que os controlos de gestão estão atitude e apetência para o risco e a abordagem implementados e funcionam correctamente para a gestão de riscos. A política deve também definir as responsabilidades relativas à gestão de riscos em toda a organização.As disposições relativas à comunicação formal Além disso, esta declaração de intenções deveda gestão de riscos devem ser claramente também referir todos os requisitos legaisdefinidas e estar disponíveis para os aplicáveis, como por exemplo a nível de saúdeintervenientes. e segurança. Ligado ao processo de gestão de riscos estáA comunicação formal deve tratar de : um conjunto de ferramentas e técnicas que• métodos de controlo – em particular, deve ser utilizado nas várias etapas do responsabilidades de gestão relativas à processo de negócio. gestão de riscos Para funcionar de forma eficaz, o processo de• processos utilizados para identificar riscos e gestão de riscos exige : a forma como estes são tratados pelos sistemas de gestão • empenho por parte do Presidente e dos restantes membros do Conselho de• principais sistemas de controlo Administração da organização implementados para gerir os riscos mais significativos • a atribuição de responsabilidades dentro da organização• sistema de monitorização e revisão implementado • a atribuição dos recursos adequados para a formação e o desenvolvimento de uma sensibilização ao risco de todos osTodas as deficiências significativas não intervenientesabrangidas pelo sistema, ou do própriosistema, devem ser comunicadas em conjunto 8.2. Papel do Conselho de Administraçãocom os passos dados para corrigi-las. O Conselho de Administração tem a responsabilidade de definir a direcção estratégica da organização e criar o ambiente e as estruturas necessárias para que a gestão de riscos funcione de forma eficaz. Estes deveres podem ser materializados através de um grupo executivo, de um comité não executivo, de um comité de auditoria ou de outra função que se adeque ao modo de funcionamento da organização e que seja capaz de actuar como ‘patrocinador’ da gestão de riscos. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 12
  13. 13. NORMA DE GESTÃO DE RISCOSO Conselho de Administração deve, quando 8.4. Papel da Função gestão de riscosavaliar o sistema de controlo interno, pelo Dependendo da dimensão da organização, omenos, considerar : número de elementos envolvidos na gestão de• a natureza e extensão dos riscos de riscos pode ir desde um único responsável até aspectos negativos aceitáveis para uma um departamento de grande escala. empresa, no contexto da sua actividade• a probabilidade de esses riscos se tornarem A Função gestão de riscos deve incluir : uma realidade • a definição de políticas e estratégias de• a forma como os riscos inaceitáveis devem gestão de riscos ser geridos • o principal responsável pela gestão de• a capacidade da empresa minimizar a riscos a nível estratégico e operacional probabilidade e o impacto na actividade • o desenvolvimento da sensibilização para a• os custos e benefícios do risco e da existência de riscos dentro da organização, actividade de controlo efectuada incluindo formação e informação adequadas• a eficácia do processo de gestão de riscos • o estabelecimento de políticas e estruturas• as implicações dos riscos nas decisões de risco internas nas unidades de negócio administrativas • a concepção e revisão de processos de gestão de riscos8.3. Papel das unidades de negócio • a coordenação de diversas actividadesDentro das suas competências, estabelece o funcionais que forneçam aconselhamentoseguinte : sobre questões de gestão de riscos• as unidades de negócio têm a • o desenvolvimento de processos de responsabilidade de gerir diariamente os resposta a riscos, incluindo programas e/ou riscos planos de contingência e de continuidade• as direcções das unidades de negócio são das actividades responsáveis pela promoção da • a preparação de relatórios sobre riscos para sensibilização sobre a existência de riscos o Conselho de Administração e para os nas respectivas actividades; devem intervenientes introduzir objectivos de gestão de riscos nas suas unidades 8.5. Função da auditoria interna• a gestão de riscos deve ser um tema regular A função da auditoria interna será, com das agendas das reuniões de direcção, de certeza, diferente em cada organização. modo a permitir a consideração de exposições a riscos e a redefinição de Na prática, a função da auditoria interna prioridades das tarefas à luz de uma análise poderá incluir alguns ou todos os seguintes eficaz dos riscos pontos :• as direcções das unidades de negócio • focar o trabalho da auditoria interna nos devem garantir que a gestão de riscos é riscos significativos que foram identificados incorporada tanto na fase de concepção pela gestão da organização e fazer dos projectos, como ao longo da execução auditorias aos processos de gestão de de cada um deles riscos • fornecer garantias sobre a gestão de riscos © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 13
  14. 14. NORMA DE GESTÃO DE RISCOS• proporcionar um apoio e um envolvimento 9. Monitorização e revisão do activos ao processo de gestão de riscos processo de gestão de riscos• possibilitar a identificação/avaliação de riscos e dar formação aos funcionários A gestão de riscos eficaz necessita de uma sobre gestão de riscos e controlo interno estrutura de comunicação e revisão que assegure que os riscos são identificados e• coordenar a comunicação de riscos ao avaliados de forma eficaz e que os controlos e Conselho de Administração, ao comité de respostas adequados são implementados. auditoria, etc. Devem ser executadas auditorias regulares ao cumprimento de políticas e normas e oAo determinar a sua função mais adequada no desempenho, de acordo com as mesmas, devecontexto de uma determinada organização, a ser revisto para identificar oportunidades deauditoria interna deve garantir que os melhoria. É preciso não esquecer que asrequisitos profissionais de independência e organizações são dinâmicas e funcionam emobjectividade não são postos em causa. ambientes dinâmicos. As alterações à organização e ao ambiente no qual aquela8.6. Recursos e implementação funciona devem ser identificadas, para queOs recursos necessários para a implementação sejam efectuadas as modificações adequadasda política de gestão de riscos da organização aos sistemas.devem ser claramente definidos para cada O processo de monitorização deve garantir quenível de gestão e dentro de cada unidade de estão implementados os controlos adequadosnegócio. para as actividades da organização e que osPara além de outras funções operacionais que procedimentos são compreendidos e seguidos.possam ter, os elementos envolvidos na gestão As alterações à organização e ao ambiente node riscos devem ter as respectivas funções de qual se insere devem ser identificadas, paracoordenação de políticas/estratégias de gestão que sejam efectuadas as mudanças adequadasde riscos claramente definidas. Esta mesma aos sistemas.definição é também necessária para oselementos envolvidos na auditoria e revisão decontrolos internos e no facilitar do processo de Qualquer processo de monitorização e revisãogestão de riscos. deve determinar se :A gestão de riscos deve ser incorporada na • as medidas adoptadas alcançaram osorganização através dos processos normais de resultados pretendidosdefinição de estratégias e orçamentos. Deve • os procedimentos adoptados e asmerecer destaque em todos os programas de informações recolhidas para a realização daindução, formação e desenvolvimento, assim avaliação foram os adequadoscomo nos processos operacionais, como nocaso dos projectos de desenvolvimento de • um melhor nível de conhecimento teriaprodutos/serviços. ajudado a tomar melhores decisões e a identificar a possibilidade de tirar ilações para futuras avaliações. © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 14
  15. 15. ANEXOS10. Anexos Ambos • Modelos de dependênciaTécnicas de identificação de riscos exemplos • Análises SWOT (Pontos fortes, Pontos• Brainstorming fracos, Oportunidades, Ameaças)• Questionários • Árvore/Análises de eventos• Estudos que analisem cada processo da • Planos de Contingência e Continuidade do actividade e descrevam os factores internos Negócio e externos que possam influenciar os referidos processos • Análises NPEST (Negócio, Política, Económica, Social, Tecnológica)• Análises comparativas do sector • Modelos de opções reais• Análises de cenários • Tomadas de decisões em condições de risco• Oficinas de avaliação de riscos (workshops) e incerteza• Investigação de incidentes • Inferências estatísticas• Auditorias e inspecções • Medições de tendência central e dispersão• HAZOP (Hazard & Operability Studies) • PESTLE (Políticos, Económicos, Sociais, Técnicos, Legais, Ambientais)Métodos e técnicas de análise de riscos Riscos de aspectos negativosexemplosRiscos de aspectos positivos • Análises de ameaças • Árvore de falhas• Estudos de mercado • FMEA (Failure Mode and Effect Analyses)• Prospecções• Testes de marketing As páginas seguintes contêm excertos do• Investigação e desenvolvimento documento PD ISO/IEC Guide 73: 2002• Análises do impacto sobre a actividade reproduzidos por autorização do British Standards Institution ao abrigo da licença com o número 2002SK/0313. As Normas Britânicas podem ser obtidas através do Customer Services (Serviço ao Cliente) da BSI, 389 Chiswick High Road, London W4 4AL. (Tel + 44 (0) 20 8996 9001 © AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003. 15
  16. 16. FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION AGERS - Asociacion Española de Gerencia de Riesgos y Seguros Príncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAIN Tel : + 34-91-562.84.25– Fax : + 34-91-561.54.05– Email : gerencia@agers.es AIRMIC - The association of Insurance and Risk Managers Lloyd’s Avenue, 6 – London EC3N3AX - UK Tel : + 44-207-480.76.10 – Fax : + 44-207-702.37.52 – Email : enquiries@airmic.co.uk Web : www.airmic.com AMRAE - Association pour le Management des Risques et des Assurances de lEntreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCE Tel : + 33-1-42.89.33.16 – Fax : + 33-1-42.89.33.14 – Email : amrae@amrae.asso.fr Web: www.amrae.asso.fr ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALY Tel : + 39-02-58.10.33.00 – Fax : + 39-02-58.10.32.33 – Email : anra@betam.it – Web : www.anra.it APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – Portugal Tel : (+351) 22 608 24 62 – Fax : (+351) 22 608 24 73 – E-mail : anfernandes@sonae.pt BELRIM - Belgian Risk Management Association Rue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUM Tel : + 32-2-380.03.94 – Fax : + 32-2-370.34.93 – Email : info@belrim.com – Web : www.belrim.com BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V. Hattenbergstrasse 10, 55122 Mainz - D Tel : + 49 - 6131 – 662226 - Fax : + 49 - 6131 – 662059 - Email : johannes.fischer@schott.com Web: www.bfv-fvv.de DARIM - Dansk Industris Risk Management Forening DK-1787 Copenhagen – DENMARK Tel : + 45-33-77.33.77 – Fax : + 45-33-77.33.00 – Email : bg@di.dk DVS - Deutscher Versicherungs-Schutzverband e.V. Breite Strasse 98 - D 53111 Bonn - Germany Tel : + 49-228-98.22.30 - Fax : + 49-228-63.16.51- Email : info@dvs-schutzverband.de Web : www.dvs-schutzverband.de NARIM - Nederlandse Associatie van Risk en Insurance Managers Postbus 65707 – 2506 EA Den Haag – THE NETHERLANDS Tel : + 31-70-345.74.26 – Fax : + 31-70-427.32.63 – Email : info@narim.com – Web : www.narim.com RUSRISK - Russian Risk Management Society Address Expert Institute, Staraya Ploshchad 10/4, Moscow, 103070, Russia Phone : +7 (095) 748-4313 - Fax : +7 (095) 748-4316 - Email : sh.tatiana@relcom SIRM - Swiss Association of Insurance and Risk Managers Route du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLAND Tel : + 41-26-347.12.20 – Fax : + 41-26-347.12.39 – Email : sirm@cfcis.ch – Web : www.sirm.ch SWERMA - Swedish Risk Management Association Gränsvägen 15 ˆ SE-135 47 Tyresö - Sweden Phone : +468 742 13 07 - Fax : + 468 798 83 11- E-mail : lani.rcrd@swipnet.se ALARM - The National Forum for Risk Management in the Public Sector Queens Drive, Exmouth - Devon, EX8 2AY Tel: 01395 223399 - Fax: 01395 223304 - Email admin@alarm.uk.com - www.alarm-uk.com IRM - The Institute of Risk Management 6 Lloyd’s Avenue - London EC3N 3AX Tel: 020 7709 9808 - Facsimile 020 7709 0716 - Email enquiries@theIRM.org - www.theirm.orgFOR MORE INFORMATION ABOUT FERMAFERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: info@ferma-asso.org1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEB: www.ferma-asso.org

×