1. 5 Estrutura
1.1. 5.1 Generalidades
1.1.1. O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções
1.2. 5.2 Liderança e comprometimentos.
1.2.1. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento.
1.3. 5.3 Integração
1.3.1. A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da organização.
1.4. 5.4 Concepção
1.4.1. 5.4.1 Entendendo a organização e seu contexto
1.4.1.1. Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo e interno.
1.4.2. 5.4.2 Articulando o comprometimento com a gestão de riscos
1.4.2.1. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos e uma organização.
1.4.3. 5.4.3 Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações
1.4.3.1. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização
1.4.4. 5.4.4 Alocando recursos
1.4.4.1. Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem a alocação de recursos apropriados para a gestão de riscos
1.4.5. 5.4.5 Estabelecendo comunicação e consulta
1.4.5.1. Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos.
1.5. 5.5 Implementação
1.5.1. A implementação bem-sucedida da estrutura requer o engajamento e a conscientização das partes interessadas. Isso permite que as organizações abordem explicitamente a incerteza na tomada de decisão, enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada em consideração à medida que ela surja.
1.6. 5.6 Avaliação
1.6.1. Mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação, indicadores e comportamento esperado;
1.6.2. Determine se permanece adequada para apoiar o alcance dos objetivos da organização.
1.7. 5.7 Melhoria
1.7.1. 5.7.1 Adaptação
1.7.1.1. Convém que a organização monitore e adapte continuamente a estrutura de gestão de riscos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode melhorar seu valor.
1.7.2. 5.7.2 Melhoria contínua
1.7.2.1. Convém que organização melhore continuamente a adequação, suficiência e eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é integrado.
2. 6 Processo
2.1. 6.1 Generalidades
2.1.1. O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
2.2. 6.2 Comunicação e consulta
2.2.1. O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais ações específicas são requeridas.
2.3. 6.3 -Escopo, contexto e critérios
2.3.1. 6.3.1 Generalidades
2.3.1.1. O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado.
2.3.2. 6.3.2 Definindo o escopo
2.3.2.1. Convém que a organização defina o escopo de suas atividades de gestão de riscos.
2.3.3. 6.3.3 Contextos externo e interno
2.3.3.1. Os contextos externo e interno são o ambiente no qual a organização procura definir e alcançar seus objetivos.
2.3.4. 6.3.4 Definindo critérios de risco
2.3.4.1. Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir relação aos objetivos.
2.4. 6.4 Processo de avaliação de riscos
2.4.1. 6.4.1 Generalidades
2.4.1.1. O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação de riscos.
2.4.2. 6.4.2 Identificação de riscos
2.4.2.1. O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos.
2.4.3. 6.4.3 Análise de riscos
2.4.3.1. O propósito da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.
2.4.4. 6.4.4 Avaliação de riscos
2.4.4.1. O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional.
2.5. 6.5 Tratamento de riscos
2.5.1. 6.5.1 Generalidades
2.5.1.1. O tratamento de riscos envolve um processo iterativo de: avaliar a eficácia deste tratamento;
2.5.1.1.1. formular e selecionar opções para tratamento do risco;
2.5.1.1.2. planejar e implementar o tratamento do risco;
2.5.1.1.3. decidir se o risco remanescente é aceitável;
2.5.1.1.4. se não for aceitável, realizar tratamento adicional.
2.5.2. 6.5.2 Seleção de opções de tratamento de riscos
2.5.2.1. Selecionar a(s) opção(ões) mais apropriada(s) de tratamento de riscos envolve balancear os benefícios potenciais derivados em relação ao alcance dos objetivos ,face aos custos, esforço ou desvantagens da implementação.
2.5.3. 6.5.3 Preparando e implementando planos de tratamento de riscos
2.5.3.1. O propósito dos planos de tratamento de riscos é especificar como as opções de tratamento escolhidas serão implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, e o progresso em relação ao plano possa ser monitorado. Convém que o plano de tratamento identifique claramente a ordem em que o tratamento de riscos será implementado.
2.6. 6.6 Monitoramento e análise crítica
2.6.1. O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas.
2.7. 6.7 Registro e relato
2.7.1. Convém que o processo de gestão de riscos e seus resultados sejam documentados e relatados por meio de mecanismos apropriados.
3. 4 Princípios
3.1. Criação e Proteção de Valor
3.1.1. Inclusiva
3.1.1.1. O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada.
3.1.2. Integrada
3.1.2.1. A gestão de riscos é parte integrante de todas as atividades organizacionais.
3.1.3. Estruturada e abrangente
3.1.3.1. Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis.
3.1.4. Melhor informação disponível
3.1.4.1. As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes.
3.1.5. Personalizada
3.1.5.1. A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos.
3.1.6. Dinâmica
3.1.6.1. Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna.
3.1.7. Fatores humanos e culturais
3.1.7.1. O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão de riscos em cada nível e estágio.
3.1.8. Melhoria contínua
3.1.8.1. A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.