Implantação e Gestão de Indicadores de Riscos

Prévia do material em texto

W
BA
11
11
_V
1.
0
IMPLANTAÇÃO E GESTÃO 
APLICADA EM INDICADORES 
DE RISCOS
2
Adriano Pereira da Silva
São Paulo
Platos Soluções Educacionais S.A 
2022
IMPLANTAÇÃO E GESTÃO APLICADA EM 
INDICADORES DE RISCOS
1ª edição
3
2022
Platos Soluções Educacionais S.A
Alameda Santos, n° 960 – Cerqueira César
CEP: 01418-002— São Paulo — SP
Homepage: https://www.platosedu.com.br/
Head de Platos Soluções Educacionais S.A
Silvia Rodrigues Cima Bizatto
Conselho Acadêmico
Alessandra Cristina Fahl 
Ana Carolina Gulelmo Staut
Camila Braga de Oliveira Higa
Camila Turchetti Bacan Gabiatti
Giani Vendramel de Oliveira
Gislaine Denisale Ferreira
Henrique Salustiano Silva
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Coordenador
Nirse Ruscheinsky Breternitz
Revisor
Felipe Delapria Dias dos Santos
Editorial
Beatriz Meloni Montefusco
Carolina Yaly
Márcia Regina Silva
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)_____________________________________________________________________________ 
 Silva, Adriano Pereira da
Implantação e gestão aplicada em indicadores de riscos 
 / Adriano Pereira da Silva. – São Paulo: Platos Soluções 
Educacionais S.A., 2022. 
 32 p.
ISBN 978-65-5356-304-9
 1. Sistema de gestão de risco. 2. Indicadores de risco. 
3. Matriz de risco. I. Título. 3. Técnicas de speaking, listening 
e writing. I. Título. 
CDD 658.402
_____________________________________________________________________________ 
 Evelyn Moraes – CRB: 010289/O
S586i 
© 2022 por Platos Soluções Educacionais S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou 
transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo 
fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de 
informação, sem prévia autorização, por escrito, da Platos Soluções Educacionais S.A.
https://www.platosedu.com.br/
4
SUMÁRIO
Apresentação da disciplina __________________________________ 05
Introdução aos conceitos gerais de riscos ____________________ 06
Requisitos legais para gestão de riscos conforme 
ISO 45001 ____________________________________________________ 19
Conceitos e aplicações de gestão de risco conforme 
ISO 31000 ____________________________________________________ 32
Gestão de indicadores de riscos ______________________________ 46
IMPLANTAÇÃO E GESTÃO APLICADA 
EM INDICADORES DE RISCOS
5
Apresentação da disciplina
Os indicadores de risco são uma das ferramentas mais importantes para 
as diversas atividades econômicas que devem gerenciar suas práticas 
operacionais. No decorrer da unidade, você perceberá que os elementos 
que compõem essa percepção holística da empresa explorarão o 
caminho de desenvolvimento dos três instrumentos de gerenciamento 
de risco, executados através da gestão estratégica.
Assim, adota-se um modelo que estabelece indicadores de risco 
relevantes, pontos de monitoramento de risco e mecanismos de alerta 
antecipado, conduzindo ao estabelecimento de limites para controle e 
gestão com base em atributos de risco e adoção de critérios qualitativos 
e quantitativos, a fim de avaliar regularmente cada um deles. Logo, 
o principal objetivo da nossa visão conceitual aplicada é identificar, 
avaliar, monitorar, controlar e reduzir efetivamente o risco operacional 
e estruturar um sistema eficiente para minimizar potenciais perdas 
decorrentes do processo.
Para reduzir o risco operacional que enfrentamos, cada Leitura Digital 
apresentará conceitos interdisciplinares capazes de fornecer estratégias 
metodológicas aplicadas aos processos de negócios, sistemas comerciais 
e novas políticas regulatórias. Nesse sentido, tomamos principalmente 
medidas de avaliação de risco para alcançar retornos ajustados com 
base na premissa de que os riscos são mensuráveis, controláveis e 
suportáveis. Portanto, buscamos um equilíbrio entre riscos e benefícios 
no curso das atividades propostas e na criação de valor a partir disso. 
Não obstante, também definimos as bases legais aplicáveis e projetamos 
medidas de controle de risco correspondentes para garantir a segurança 
que envolve todos os aspectos do risco. Assim, convidamos você para 
entender como tudo isso pode ser aplicado.
6
Introdução aos conceitos 
gerais de riscos
Autoria: Adriano Pereira da Silva
Leitura crítica: Felipe Delapria Dias dos Santos
Objetivos
• Orientar o estudante sobre os conceitos de risco.
• Facilitar a compreensão dos requisitos legais da 
gestão de riscos.
• Estabelecer critérios para métricas de aplicações da 
gestão de riscos.
7
1. Sistema de gestão de riscos
O principal objetivo da maioria das empresas é garantir a longevidade. 
Os fatores que mais contribuem para este objetivo são o aspecto interno 
do sistema de gestão e o aspecto externo das condições ambientais – 
por exemplo, o estado atual da economia e dos mercados. Os fatores 
externos estão cada vez mais perdendo estabilidade, como resultado 
da globalização, e aumentando em complexidade e poder. Além disso, 
por um lado, a diminuição dos depósitos de matéria-prima afeta o 
fornecedor e, por outro lado, o aumento da plenitude do mercado 
contribui para a dependência da parte desejada.
Dado que a oferta é muito difícil de corresponder à necessidade, 
existem também os riscos adicionais – por exemplo, em relação ao 
investimento em uma empresa ou quando uma organização se desloca 
para o exterior. Muitas empresas tentam combater esses fatores 
construindo negócios maiores e mais complexos. Tudo isso faz com que 
elas respondam às questões ambientais com crescente flexibilidade e 
tenham que antecipar bem as oportunidades e os riscos futuros para 
sobreviver no mercado por muito tempo (BARALDI, 2018).
Em seguida, cada empresa, nacional ou internacional, está sujeita a 
riscos, que podem ser de naturezas diferentes. Seus efeitos podem ser 
graves ou menores, mesmo nos piores casos. Os riscos não terminam 
com o descaso; por isso, faz sentido realizar uma análise minuciosa 
do que é tolerável e o que está contido nos métodos empregáveis. 
Essa consideração sistemática é chamada de gerenciamento de 
risco. A gestão de risco, por sua vez, é muitas vezes descrita como 
uma combinação da magnitude do dano e da probabilidade definida 
de ocorrência. Portanto, se você deseja reduzir o risco, pode tentar 
minimizá-lo para diminuir o nível de dano ou as chances de ele 
acontecer. Assim, o objetivo da gestão de desastres não é eliminar 
todos os riscos, pois é impossível apagar sua existência, e as chances de 
8
sucesso não foram calculadas. O objetivo é, portanto, obter uma medida 
adequada, com base na avaliação do risco, entre oportunidades e riscos 
da empresa (SILVA FILHO, 2021).
Uma possível explicação separa o conceito de risco em três áreas. 
Primeiro, o risco envolve o problema da teoria da informação. As 
informações podem ou não estar completas. O resultado disso é o 
perigo da desinformação. O segundo fator é o risco de tomada de 
decisão incorreta. Em outras palavras, refere-se à incerteza do tomador 
de decisão ao escolher entre alternativas e seus resultados futuros 
incertos. Acima de tudo, o risco percebido de automutilação e o limite 
de tolerância ao assumi-lo desempenham um papel importante nesse 
contexto. O último elemento a ser mencionado é o desvio negativo 
das expectativas, seja de um parente, seja de um artigo completo 
(por exemplo, o risco de derrapagens de custos ao fazer alterações 
em um processo de fabricação industrial). O objetivo a ser alcançado 
pode ser garantido e avaliado apenas como um trabalho de meio 
período (TRENTIM, 2011). Assim, a Figura 1 apresenta essa estrutura 
dimensionada em áreas.
Figura 1 – Engrenagem de funcionamento das áreas de risco
Fonte: elaborada pelo autor.
9
O perigo possui uma característica do sistema, que indica contato com 
o meio ambiente. Desse modo, o risco deve seré que a organização seja capaz 
de fornecer uma visão geral dos possíveis riscos, tão completa quanto 
possível. Dependendo da respectiva área, cada risco é atribuído a um 
gestor. Os riscos são identificados em todas as áreas e processos de 
uma organização. Fontes de dados internas e externas são usadas para 
identificação de riscos. Como a análise de risco realiza uma consideração 
detalhada de incertezas, causas de risco, efeitos, probabilidades, 
eventos, cenários, controles e sua eficácia, inclui determinar o tipo de 
risco, suas características e, se aplicável, o nível de risco.
Como parte da avaliação, todos os riscos identificados são analisados, 
e a sua probabilidade de ocorrência e de extensão de seus danos 
é examinada. A avaliação de risco permite ponderar os riscos 
identificados. Assim, uma abordagem orientada impõe a mitigação 
de risco ou o controle de risco como medidas para reduzir o nível 
potencial de dano e/ou a probabilidade de ocorrência de anomalias 
(MOKGOANTLE, 2012).
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000: Gestão de 
riscos. Rio de Janeiro: ABNT, 2018.
ALDENUCCI, M.; SPINOSA, L.; FAVARETTO, F. Mapeando a norma de gerenciamento 
de riscos AS/NZS 4360 no PMBOK. 2009. XXIX Encontro Nacional De Engenharia 
De Produção: A Engenharia de Produção e o Desenvolvimento Sustentável: 
Integrando Tecnologia e Gestão, Salvador, 6-9 out. 2009.
BARALDI, P. Gerenciamento de riscos empresariais. São Paulo: Cia do eBook, 
2018.
MOKGOANTLE, O. J. Risk Maturity at a Life Insurer. M.Com. (Finance). 
Johannesburg: University of Johannesburg, 2012.
45
PONTE, M. V. V. Gerenciamento de Riscos. 2º lugar no Prêmio de Criatividade e 
Inovação da Receita Federal do Brasil. Rio de Janeiro: Receita Federal do Brasil, 2005. 
Disponível em: https://repositorio.enap.gov.br/bitstream/1/4555/1/2%c2%ba%20
lugar%20do%204%c2%ba%20Premio%20RFB.pdf. Acesso em: 28 jul. 2022. 
46
Gestão de indicadores de riscos
Autoria: Adriano Pereira da Silva
Leitura crítica: Felipe Delapria Dias dos Santos
Objetivos
• Orientar o estudante sobre os conceitos de gestão 
risco.
• Facilitar a compreensão dos métodos para 
elaboração de mapeamento de riscos ocupacionais.
• Estabelecer critérios para gerenciamento de 
indicadores de gestão de riscos.
47
1. Gestão de indicadores de riscos
Na gestão de riscos ocupacionais, o departamento gestor espera 
transformar riscos operacionais abstratos e complexos em números 
intuitivos e simples para quantificar todos os prováveis e potenciais 
riscos. Através de meios e métodos quantitativos, a situação atual 
do risco ocupacional pode ser refletida de forma intuitiva, sendo 
conveniente observar as mudanças do risco operacional. Assim, os 
principais indicadores de risco são ferramentas importantes para 
avaliação e monitoramento de todo o processo (CAMISASSA, 2019).
Os indicadores de risco são um sistema de medidas para monitorar 
as atividades de negócios e o ambiente de controle em determinada 
estrutura de gerenciamento de risco. As atividades representativas de 
avaliação de controle só podem ser realizadas regularmente, enquanto 
os principais indicadores de risco podem ser monitorados diariamente, 
o que facilita o gerenciamento dinâmico do risco ocupacional. Essas 
métricas incluem: o número de erros de transação, taxas de rotatividade 
de pessoal, a frequência e gravidade de erros e omissões (BARSANO; 
BARBOSA, 2013). Quando os valores dos parâmetros desses indicadores-
chave mudam e atingem ou ultrapassam determinado limite, a 
organização precisa implementar uma gestão de alerta antecipado 
para as áreas potenciais refletidas ou representadas pelos parâmetros 
preestabelecidos pelo corpo diretivo, de acordo com o grau do problema 
refletido. Logo, os responsáveis técnicos relatam o problema para 
desenvolver e implementar medidas de controle/mitigação de risco 
em tempo hábil, trazendo esse parâmetro métrico de volta ao nível de 
controle original (SANTOS JUNIOR; BENATTI, 2018).
O estabelecimento dos principais indicadores de monitoramento de 
risco ocupacional é baseado no pressuposto de que o risco operacional 
está intimamente relacionado a determinados indicadores quantitativos. 
Assim, quando identificados no início das atividades, possuem funções 
48
de alerta antecipado quantificáveis e determinadas, e ao definir o 
nível de alerta, a gestão pode atentar para os riscos operacionais cujos 
valores dos parâmetros do índice excedem a faixa segura. Ou seja, o 
indicador é sensível ao risco e pode obter insights sobre as mudanças 
na escala. Portanto, o KPI (key performance indicator, ou seja, indicador-
chave de desempenho) é uma ferramenta muito útil para identificar, 
avaliar e monitorar os riscos (RABECHINI JR.; CARVALHO, 2013).
Diante desse panorama, a detecção precoce de riscos também consiste 
em registrar as tendências futuras, as potenciais oportunidades e 
os riscos futuros relevantes para uma empresa usando indicadores-
chave e apresentá-los de forma clara e transparente em um painel. 
Com o dashboard desenhado para efeitos de detecção precoce de 
riscos, a direção e o conselho de administração devem dispor de uma 
ferramenta de controle com a qual se possa agregar e registar de forma 
holística a situação global dos riscos e das oportunidades na respetiva 
empresa. Além disso, esse painel pode ser usado para relatar riscos e 
oportunidades ao longo do ciclo de gerenciamento (SANTOS JUNIOR; 
BENATTI, 2018).
Um risco ou uma oportunidade pode ser basicamente descrito como 
um possível desvio dos valores planejados ou previstos. Um risco é 
um desvio potencialmente negativo do planejamento, enquanto uma 
oportunidade representa uma possibilidade de um desvio positivo 
do planejamento. Assim, as principais tarefas de identificação, 
quantificação, agregação, monitoramento e controle de riscos 
podem ser definidas no âmbito da gestão de riscos. Um componente 
importante, especialmente no que diz respeito à detecção precoce de 
riscos, é a agregação de riscos (BARSANO; BARBOSA, 2013). O escopo 
do risco geral para uma empresa pode ser determinado pela agregação 
de diferentes riscos. Os efeitos combinados de vários riscos individuais 
podem, assim, ser considerados.
49
A representação da situação global de risco é fundamental para que os 
desenvolvimentos que ameacem a existência da empresa possam ser 
identificados em uma fase inicial e mitigados com as contramedidas 
adequadas ou, idealmente, convertidos em oportunidades. O objetivo 
da gestão de risco é garantir a existência de longo prazo da empresa, 
minimizando os custos ou qualquer outro impacto (CAMISASSA, 2019).
No que diz respeito ao efeito de alerta precoce em particular, o foco está 
na identificação e análise de riscos e oportunidades. Um importante 
fator de sucesso é o registro sistemático e completo de todas as fontes 
de perigo, incluindo suas dependências e seus relacionamentos. Os 
dados internos e externos devem ser analisados iterativamente e 
processados regularmente (BARSANO; BARBOSA, 2013).
Existem inúmeros instrumentos que podem ser usados para identificar 
riscos e oportunidades. Se os riscos devem ser identificados o mais 
cedo possível, faz sentido focar os riscos estratégicos. Uma ferramenta 
comprovada são as análises empresariais e ambientais baseadas 
em SWOT (sigla para strengths, weaknesses, opportunities and threats, 
traduzida em forças, fraquezas, oportunidades e ameaças – trata-se de 
uma ferramenta de gestão estratégica, mas que também é utilizada para 
avaliações formativas e desenvolvimento de qualidade de programas, 
bem como na gestão de riscos). Em comparação com a concorrência, as 
oportunidades, as ameaças e os pontos fortes e fracos são mostrados 
em uma matriz. Os perfis de forças e fraquezas resultantes podem, 
assim, ser expostos de forma transparente (BARSANO; BARBOSA, 2013).
Com a ajuda desse método simples e flexível, são considerados 
tanto os pontos fortes e fracos internos (força-fraqueza)quanto as 
oportunidades e ameaças externas (ameaças-oportunidades) que 
afetam os campos de atuação da empresa. A partir da combinação 
da análise de pontos fortes/fraquezas e da análise de oportunidades/
ameaças, pode ser derivada uma estratégia holística para o maior 
alinhamento das estruturas da empresa e o desenvolvimento dos 
50
processos de negócios. Os pontos fortes e fracos são tamanhos 
relativos e só podem ser avaliados em comparação com a concorrência 
(CHIAVENATO, 2005). As dimensões do modelo de análise SWOT são 
frequentemente apresentadas em uma matriz SWOT, como mostrado na 
Quadro 1.
Quadro 1 – Estrutura SWOT
SWOT
Análise Interna
Forças Fraquezas
Análise 
Externa
Oportunidades
Objetivo estratégico de buscar 
novas oportunidades que se 
encaixem bem com os pontos 
fortes da empresa (estratégia de 
correspondência).
Objetivo estratégico de eliminar 
as fraquezas para aproveitar no-
vas oportunidades, ou seja, con-
verter as fraquezas em forças 
(estratégia de conversão).
Perigos 
Objetivo estratégico voltado a 
identificar pontos fortes para 
afastar ameaças (estratégia de 
neutralização).
Objetivo estratégico de desen-
volver planos de defesa para 
evitar que as fraquezas existen-
tes se tornem alvo de ameaças.
Fonte: Chiavenato (2005, p. 188).
A análise da estrutura da indústria é adequada para derivar e registrar 
sistematicamente os riscos do ambiente corporativo. Os perigos 
e as oportunidades que surgem do relacionamento com clientes, 
concorrentes e fornecedores e os produtos de serviços oferecidos 
no mercado podem servir como base ideal para uma análise SWOT 
(CHIAVENATO, 2005).
A partir disso, o monitoramento contínuo dos riscos relevantes é outra 
tarefa central da gestão empresarial. Para que os riscos identificados 
sejam gerenciados de forma eficaz, eles devem ser claramente 
documentados, incluindo as responsabilidades associadas. A atual 
carteira de riscos pode ser apresentada por meio de uma matriz de 
riscos na qual eles sejam classificados de acordo com sua probabilidade 
de ocorrência e extensão do dano. Isso dá ao espectador uma visão 
51
rápida da situação geral de risco da empresa e deixa claro se há alguma 
necessidade adicional de ação (BARSANO; BARBOSA, 2013).
Como as empresas e seu ambiente estão em constante mudança, deve 
ser possível atualizar os relatórios regularmente e em um período 
razoável. Assim, faz sentido apoiar a preparação dos relatórios com 
soluções informáticas adequadas. Por exemplo, a identificação de riscos 
e a sua quantificação podem ser automatizadas em grande medida. 
No painel de risco subsequente, o escopo geral agregado do risco, o 
desenvolvimento dos riscos em comparação com os períodos anteriores 
e as contramedidas recomendadas podem ser mostrados. O risco global 
pode ser demonstrado (RABECHINI JR.; CARVALHO, 2013).
Não obstante, para que uma potencial crise corporativa seja 
reconhecida, diferentes níveis de detecção precoce são importantes. Ao 
analisar os dados internos da empresa, as previsões podem ser feitas 
usando os principais índices ocupacionais. Se os dados reais forem 
comparados com os índices teóricos, os desvios podem ser identificados. 
Devido aos desvios nos resultados ou índices orientados às atividades, 
situações futuras e problemáticas podem ser identificadas em um 
estágio inicial. É aconselhável definir valores-limite para os desvios alvo/
reais desses índices, nos quais os alertas automatizados são acionados e 
as contramedidas são indicadas (CAMISASSA, 2019).
As métricas mencionadas são baseadas em dados estruturados, que 
geralmente estão disponíveis com um elevado grau de automação e 
podem ser avaliados e relatados com um esforço economicamente 
justificável. As análises de desvio muitas vezes podem apresentar 
uma crise esperada ou um aumento do risco geral para uma 
empresa de forma relativamente clara (RABECHINI JR.; CARVALHO, 
2013). O problema, nesse contexto, é o tempo de espera antes que 
a crise realmente ocorra. Assim que um risco geral aumentado para 
uma empresa se torna aparente nos principais números de lucros, 
geralmente não resta muito tempo para que se possa reagir com as 
52
medidas necessárias. Esse lead time na identificação precoce de riscos 
e oportunidades é ainda mais crítico quando se trata de métricas de 
reincidência (BARSANO; BARBOSA, 2013).
Para poder definir indicadores de alerta precoce que ofereçam 
tempo suficiente para reações, os sinais fracos são particularmente 
importantes. Assim, a estratégia corporativa e o ambiente corporativo 
são o foco. No entanto, os sinais fracos são principalmente dados 
qualitativos e não estruturados. Portanto, muitas vezes é difícil 
coletar esses dados, agregá-los e prepará-los de forma útil. Os dados 
geralmente vêm de diferentes fontes e possivelmente de sistemas 
de TI. Os efeitos e a relevância dos sinais fracos muitas vezes não 
são claramente reconhecíveis para a empresa no início (BARSANO; 
BARBOSA, 2013).
Em contrapartida, analisando como esses sinais evoluíram ao 
longo do tempo, o impacto fica mais claro. Os sinais fracos são 
identificados usando o processo de varredura. O ambiente corporativo 
é sistematicamente verificado. O objetivo é reconhecer quebras 
estruturais no desenvolvimento ambiental e identificar sua relevância 
e possível impacto na empresa. Um aspecto-chave nesse cenário é 
a tendência desses sinais fracos (CAMISASSA, 2019), a qual deve ser 
verificada continuamente. Os desenvolvimentos relevantes podem 
então ser quantificados e incluídos nas previsões atuais e nos dados de 
planejamento.
Para que o valor da empresa possa ser aumentado de forma 
sustentável, é essencial conhecer os direcionadores de valor 
responsáveis na organização e perseguir consistentemente uma 
estratégia orientada para o valor. Uma ferramenta estabelecida 
para mapear e comunicar a estratégia é a abordagem do balanced 
scorecard (BSC). O balanced scorecard (em português seria traduzido 
como indicadores balanceados de desempenho) é uma metodologia 
de medição e gestão de desempenho que representa uma visão 
53
holística da estratégia e evita um foco isolado na perspectiva financeira 
(CHIAVENATO, 2005).
O BSC leva essencialmente em conta as quatro perspectivas de 
finanças, clientes, processos e potencial. As diferentes perspectivas 
consideram que o sucesso financeiro da empresa se baseia na gama 
de produtos e serviços que ela oferece aos seus clientes. Os processos 
correspondentes são necessários para que a oferta possa ser criada com 
a qualidade e o custo-benefício desejados. Estes, por sua vez, só podem 
existir se os recursos certos ou o potencial certo forem explorados 
(CHIAVENATO, 2005). Os números-chave para medir o sucesso agora 
podem ser definidos para as respectivas áreas. Assim, o BSC gera um 
sistema de índices bem equilibrado para a estratégia da empresa.
A abordagem do BSC pode ser estendida para incluir a perspectiva de 
risco. Isso garante que os aspectos de risco de todas as áreas sejam 
sistematicamente considerados. Nas quatro perspectivas definidas no 
modelo básico do BSC, os riscos e as oportunidades detectáveis também 
são mapeados de acordo. O BSC ajustado ao risco permite, assim, 
uma gestão corporativa baseada na estratégia corporativa, incluindo 
uma avaliação de risco integrada. Utilizando os índices definidos no 
BSC, os desvios das metas podem ser registrados e os riscos ou as 
oportunidades responsáveis por eles podem ser identificados (SANTOS 
JUNIOR; BENATTI, 2018).
A Figura 1 mostra uma solução para um scorecard de detecção precoce 
de risco, a qual é estratégica para inclusão genérica em relatórios com 
suporte de painel.
54
Figura 1 – Estrutura BSC
Fonte: Chiavenato (2005, p. 151).
Como o BSC analisa o nível estratégico da empresa, esse conceito 
é particularmente adequado para detecção precoce. Desvios dos 
objetivos estratégicos podem ser identificados nos desenvolvimentos 
de indicadores-chave de todas as perspectivas de finanças,clientes, 
processos e potencial. Acima de tudo, os desvios nos números-chave 
não monetários das diferentes perspectivas podem fornecer insights 
iniciais. Os sinais fracos podem ser interpretados e as medidas podem 
ser iniciadas antes que esses riscos já estejam criticamente refletidos 
nos principais números financeiros e haja pouco tempo para reagir 
(CHIAVENATO, 2005).
A partir disso, os indicadores de segurança em segurança do trabalho 
podem ser divididos em duas categorias: atrasadas ou reativas e 
principais ou proativas. Assim, os índices reativos são adequados 
para mostrar o nível de segurança ocupacional em retrospecto e em 
comparação com outras empresas. Referem-se aos dados coletados 
sobre incidentes de segurança ou resultados que já ocorreram e não 
55
podem ser desfeitos. Em outras palavras, eles estão atrasados porque 
se concentram em eventos passados (RABECHINI JR.; CARVALHO, 2013). 
No entanto, eles não dão nenhuma indicação de como uma melhoria 
poderia ser alcançada. Para um foco no futuro, portanto, é aconselhável 
também dar uma olhada nos chamados indicadores antecedentes, ou 
seja, proativos. Às vezes chamados de métricas preventivas, eles diferem 
dos indicadores de atraso, pois não se relacionam com incidentes que 
já ocorreram, mas com ações acionáveis ou condições modificáveis que 
ajudam a prevenir futuros incidentes (CHIAVENATO, 2005).
Nesse sentido, ao escolher métricas reativas ou proativas, não existe 
uma solução única para todos os negócios. Um olhar sobre a situação da 
empresa, seus problemas e objetivos deve ser a base para sua definição. 
Para garantir comparabilidade, continuidade e rastreabilidade, todas as 
metas cuja realização deseja-se medir usando índices devem atender 
aos critérios SMART:
• S - Specific (específica).
• M - Measurable (mensurável).
• A - Attainable (atingível).
• R - Relevant (relevante).
• T - Time Based (temporal).
Além de seus objetivos e problemas, considera-se também a cultura 
de segurança atual. Grande parte dos KPIs em segurança do trabalho é 
baseada em relatórios dos funcionários, sendo que a força de trabalho 
deve, portanto, ser informada de modo transparente sobre o significado 
e o uso de índices confiáveis para internalizá-los nas operações do dia 
a dia. Além disso, é necessário um sistema simples e compreensível 
através do qual relatórios possam ser feitos e eventos possam ser 
56
rastreados. Apenas devem ser rastreadas as métricas que fornecerão 
dados significativos o suficiente (CHIAVENATO, 2005).
Como nota de advertência, muito esforço será perdido sem dedicar 
tempo e recursos suficientes para gerenciar e relatar os principais 
indicadores de risco. No mínimo, são sugeridas revisões anuais para 
garantir a relevância (RABECHINI JR.; CARVALHO, 2013). No entanto, a 
frequência ideal é determinada pela natureza do negócio, bem como por 
seu tamanho e sua complexidade operacional.
Os riscos ocupacionais estão sujeitos a alterações. Portanto, um sistema, 
para adicionar ou alterar os principais indicadores de risco operacional, 
deve ser implementado juntamente com procedimentos e processos 
de governança claramente definidos, a fim de controlar a definição ou 
alteração de limites (RABECHINI JR.; CARVALHO, 2013).
Em termos de reporte, a principal recomendação é: sempre que 
possível, os relatórios sobre os indicadores de risco operacional devem 
ser elaborados em colaboração com o público-alvo para garantir o 
máximo de compreensão e níveis de usabilidade em conformidade 
(SANTOS JUNIOR; BENATTI, 2018). A coordenação central é benéfica para 
garantir a consistência e a capacidade de comparar ou resumir relatórios 
para a alta administração. São fornecidas informações detalhadas 
sobre como apresentar relatórios de indicadores de maneira amigável, 
com linguagem clara e recursos visuais úteis, bem como exemplos de 
relatórios.
Referências
BARSANO, P. R.; BARBOSA, R. P. Controle de riscos: Prevenção de acidentes no 
ambiente ocupacional. São Paulo: Editora Erica, 2013.
CAMISASSA, M. Q. Segurança e Saúde no Trabalho: NRs 1 a 37 comentadas e 
descomplicadas. 7. ed. São Paulo: Método, 2019.
57
CHIAVENATO, I. Comportamento organizacional: a dinâmica do sucesso das 
organizações. Barueri: Editora Manole, 2005.
RABECHINI JR., R.; CARVALHO, M. Relacionamento entre gerenciamento de risco e 
sucesso de projetos. Produção, v. 23, n. 3, p. 570-581, 2013. Disponível em: https://
www.scielo.br/j/prod/a/JD5hrwpD3HdQMY4JssSbQsD/?lang=pt. Acesso em: 10 set. 
2022.
SANTOS JR., J. R. dos; BENATTI, A. L. Gestão e indicadores em segurança do 
trabalho. São Paulo: Editora Érica, 2018.
https://www.scielo.br/j/prod/a/JD5hrwpD3HdQMY4JssSbQsD/?lang=pt
https://www.scielo.br/j/prod/a/JD5hrwpD3HdQMY4JssSbQsD/?lang=pt
58
BONS ESTUDOS!
	Sumário
	Apresentação da disciplina
	Introdução aos conceitos gerais de riscos
	1. Sistema de gestão de riscos
	Referências 
	Requisitos legais para gestão de riscos conforme ISO 45001
	Objetivos
	1. ISO 45001 
	Referências 
	Conceitos e aplicações de gestão de risco conforme ISO 31000
	Objetivos
	1. Sistema de gestão de riscos conforme ISO 31000
	Referências 
	Gestão de indicadores de riscos
	Objetivos
	1. Gestão de indicadores de riscos 
	Referênciasconsiderado de forma 
geral. Além disso, seu efeito é visto como um processo constantemente 
influenciado por fatores externos. Portanto, existe um contexto de 
processo em que as causas e forças internas e externas têm uma 
influência que leva à área do problema. Esta área problemática pode 
representar um risco que, dependendo do ambiente em mudança, tem 
um impacto maior ou menor. Na verdade, o termo é frequentemente 
usado em uma relação negativa com a palavra segurança. O setor 
financeiro em particular, que utiliza principalmente métodos de 
apresentação de carteiras, muitas vezes associa o conceito de risco com 
oportunidade, sendo esta oportunidade crescente com risco crescente 
(BARALDI, 2018).
Muitas definições do conceito de risco podem ser divididas em duas 
categorias. O termo, por outro lado, é definido pelo efeito econômico 
que produz. Isso significa falha sistêmica e efeito negativo do desvio 
da meta na forma de risco de perda ou lucro cessante (RABECHINI JR.; 
CARVALHO, 2013). Ainda, o termo é considerado em relação à natureza 
do conhecimento e, portanto, sua causa: a incerteza. Uma situação 
perigosa é definida apenas como o fato de que, embora existam 
muitas teorias diferentes sobre eventos futuros, esses eventos não 
são conhecidos como certos e não se destinam a ocorrer. Quase todas 
as decisões econômicas envolvem riscos. A tomada de decisão é uma 
possibilidade, mas não necessariamente um fator de risco. Parte dessa 
definição é um desvio de termos específicos, o que também requer uma 
definição temporária de termos mensuráveis. Além disso, o conceito de 
risco é definido pela situação específica de conhecimento associada à 
distribuição de oportunidades (SILVA FILHO, 2021).
Esse nível de conhecimento pode ser coletado combinando condições 
naturais com outros processos para se ter um efeito que pode ser 
categorizado em níveis. A primeira chance representa um evento que 
10
certamente acontecerá, enquanto a segunda chance é composta de 
incerteza determinada e tangível. O terceiro nível é a incerteza completa, 
quando as chances de ocorrer são completamente desconhecidas 
(TRENTIM, 2011).
Mesmo antes da Primeira Guerra Mundial, a economia estava em 
crise. No início, a avaliação de risco limitava-se aos documentos de 
tratamento, devido ao crescimento do poder e à complexidade dos 
mercados e das ações que ocorreram nesse período. No final da década 
de 1970, as empresas americanas registravam uma carga crescente nos 
prêmios de seguros, devido ao aumento do risco elevado. Em grandes 
empresas industriais, esses riscos eram baseados, por exemplo, em 
equipamentos especiais caros ou medidas de proteção contra incêndio 
(RABECHINI JR.; CARVALHO, 2013). O resultado foi uma revisão do 
próprio seguro, para garantir proteção contra perda de propriedade e, 
ao mesmo tempo, reduzir o valor total dos custos do seguro. Este, por 
sua vez, pressupõe a aplicação de medidas de segurança adequadas 
aos diversos processos da empresa. Em 1986, M. Haller primeiro tentou 
transmitir uma estratégia de gestão baseada em risco em todo o 
sistema, usando um conceito integrado.
Após a redução do risco do seguro puro, voltou-se a tentar avaliar o 
risco de ganhos e perdas, as chamadas estimativas de risco, utilizando 
estratégias de gestão sistemáticas e baseadas no risco e combatendo-
as. Essa função encontra-se na relação entre expectativas e impactos 
e, em última análise, é apresentada no chamado mapa de risco, 
que inclui medidas de transformação (TRENTIM, 2011). Fruto dos 
desenvolvimentos atuais, no que diz respeito à crise econômica e 
financeira que se seguiu, a gestão está presente desde o final de 2007 
com foco nas empresas comerciais e instituições de crédito. Por fim, 
especialmente na área de bancos e instituições financeiras, deve ser 
possível questionar a eficácia das ferramentas de gestão de risco.
11
A partir disso, por um lado, desenvolveu-se a função de “gestão de 
risco” nas empresas, e, por outro, surgiu um expressivo número de 
instrumentos do sistema de seguros empresariais. Até hoje, muitas 
empresas ainda contratam um gerente de risco, cuja principal 
responsabilidade é um financiamento de risco específico ou a compra de 
apólice de seguro. Ao mesmo tempo, está sendo aprimorada a utilização 
de instrumentos financeiros para reduzir o risco financeiro (BARALDI, 
2018).
Além da gestão de riscos de seguros e financeiros, existem outras 
áreas de negócios em que surgiram ferramentas e técnicas de gestão 
de riscos. Isso inclui, por exemplo, gerenciamento de riscos técnicos 
(segurança de máquinas e produtos), gerenciamento de projetos (análise 
de riscos de projetos), gerenciamento de riscos de TI (recursos de 
segurança de dados e seu gerenciamento) e gerenciamento estratégico. 
Os avanços nos últimos anos mostraram, no entanto, que o foco dos 
sistemas de gestão de risco está cada vez mais na mesma mentalidade e 
na proteção dos riscos individuais (TRENTIM, 2011).
Em muitos casos, o gerenciamento de risco limitado ao individual não 
pode alcançar uma melhoria completa. Muitas posições de risco são 
semelhantes a redes em organizações complexas (por exemplo, em 
diferentes cadeias de valor com diferentes modos de influência). O 
gerenciamento de risco individual único e descoordenado pode levar 
a um aumento no perfil de risco de uma empresa, em vez de uma 
redução (RABECHINI JR.; CARVALHO, 2013). O resultado da gestão de 
risco é a necessidade de redirecionamento para uma visão holística 
e estratégia que contemple a área de risco para todas as estratégias, 
ou seja, negócios e empresas. Esse redirecionamento requer uma 
superestrutura que seja mais do que uma gestão de risco individual, 
identificando, avaliando e controlando as decisões que criam um 
ambiente de trabalho.
12
As melhorias na gestão do risco de desastres são altamente 
dependentes de eventos, bem como de mudanças sustentáveis e 
industriais ou baseadas em negócios (por exemplo, mudanças nos 
modelos de negócios, alívio, desintegração das estruturas históricas da 
indústria, colapsos de receitas testadas e comprovadas, novas inovações 
tecnológicas, novos flutuações, novas flutuações emergentes, de 
contratos de longo prazo com fornecedores e/ou clientes). Por um lado, 
as barreiras de projeto para uma melhor gestão e gerenciamento de 
riscos de desastres resultaram em processos e procedimentos práticos 
e às vezes complexos. Por outro lado, em muitas empresas elas tiveram 
como efeito um sistema compartilhado de soluções individuais no 
ambiente de negócios, que inclui suporte e atividades estratégicas (SILVA 
FILHO, 2021).
Nesse sentido, a avaliação de risco é baseada nos seus próprios 
resultados. O objetivo é avaliar da forma mais comum e completa 
possível todos os riscos identificados. A quantificação permite detectar 
ameaças na presença de uma empresa ou desvio significativo dos 
valores-alvo e criar um nível baseado na significância do risco. Isso 
possibilita que os esforços de gerenciamento de risco se concentrem 
nos riscos mais importantes. A avaliação também é um requisito para 
a mitigação de riscos, ou seja, para avaliar o impacto combinado dos 
riscos nos objetivos de negócios (TRENTIM, 2011). O registro do risco 
em quantidade, magnitude, “quantidade de dano” e “probabilidade de 
ocorrência” é frequentemente usado na prática.
O valor da lesão indica o grau em que o risco afeta determinado tipo de 
alvo (por exemplo, lucro). A decisão é tomada por medições diretas e/
ou com auxílio de informações objetivas disponíveis. Multiplicando a 
quantidade de dano pela probabilidade de ocorrência, determina-se a 
quantidade esperada de risco de tempos em tempos, que é consistente 
com o dano esperado ao longo do tempo. A avaliação de risco usando 
taxas de antecipação de risco é um método muito difundido, mas 
existem algumas armadilhas sérias, pois resumir as informações de 
13
risco em um único valor (valor esperado) leva à perda de informações 
(RABECHINI JR.; CARVALHO,2013). Portanto, não é recomendado apenas 
estimar os riscos usando a quantidade esperada de dano, mas também 
determinar a distribuição dos fatores de risco. Isso pode ser medido de 
forma independente ou determinado diretamente dos dados históricos.
Dependendo do tipo de risco, uma grande quantidade de ferramentas 
pode ser usada para testes, como análise de sensibilidade, análise 
retrospectiva e métodos de simulação. Uma ferramenta amplamente 
utilizada no setor de serviços financeiros é a abordagem baseada 
em risco, que é adequada para avaliar riscos de mercado e preços. 
Assim, Value at Risk (VaR) é uma perda que não pode ser superada em 
condições normais de mercado em determinado período, geralmente 
superior (1-α, nível de confiança, em que α é o nível de significância e 
o cálculo da estimativa está entre os intervalos observados). Traduzido 
matematicamente, VaR é α-quantil de potencial para distribuição de 
ativos (TRENTIM, 2011).
Diante disso, o objetivo da inclusão de risco é determinar a área de risco 
de uma empresa ou parte de uma empresa. Isso é necessário porque 
os riscos individuais combinados afetam o perfil de risco da empresa. 
Adicionalmente, os riscos podem ser dependentes uns dos outros ou 
de causas comuns, a fim de minimizar o risco ou potenciais efeitos 
adversos. Não considerar essa dependência pode levar a um excesso de 
seguro ou a novas posições de risco. De fato, a consolidação de riscos 
ainda está em sua infância em muitas empresas. As razões para isso são, 
por um lado, a dificuldade metodológica de agregação e, por outro, a 
falta de integração do controle e da gestão de riscos (SILVA FILHO, 2021).
A maneira mais importante de combinar risco é imitar Monte Carlo. Isso 
é usado para avaliar o potencial de distribuição de variância aleatória 
e é adequado para imitar os valores de efeito de uma estrutura e 
seu comportamento desconhecido, considerando os fatores de risco 
subjacentes e a distribuição conhecida de oportunidades. Ao aplicá-
14
lo ao contexto da gestão de riscos de desastres, o modelo começa a 
ser construído (por exemplo, uma conta de lucros e perdas planejada) 
contendo fatores de risco que devem ser considerados e vinculados a 
um valor-alvo (por exemplo, resultado da empresa) (TRENTIM, 2011). 
Como resultado, a distribuição dos fatores de risco deve ser medida ou 
estipulada com base em dados históricos. Finalmente, o potencial de 
distribuição de variáveis direcionadas é determinado por simulação.
A identificação, avaliação e integração de riscos são a base para a 
tomada de decisões relativas a medidas de gestão de riscos. Com o 
auxílio dessa gestão, os riscos identificados e listados na empresa devem 
ser evitados, minimizados ou adotados criteriosamente, sendo levados 
em consideração. O objetivo da gestão de risco é modificar o perfil de 
risco da empresa para que a relação entre lucro e índice de risco seja 
melhorada (risco/melhoria no retorno). Uma diferença fundamental é 
feita entre medidas de gestão de risco eficazes (preveníveis) e corretivas.
Medidas eficazes moldam e impactam as estruturas de risco para 
reduzir efetivamente a probabilidade de ocorrência e/ou a extensão dos 
riscos individuais. Por outro lado, as medidas de gestão de risco não 
fazem nada isoladamente, deixando as estruturas de risco inalteradas, 
e não afetam a probabilidade de ocorrência e o grau de lesão. Em vez 
disso, as medidas de gerenciamento de riscos ociosas visam reduzir o 
impacto financeiro em uma empresa após um risco, por exemplo, com 
uma mudança na dívida contratual (RUPPENTHAL, 2013).
Como parte do relatório de risco, há relatórios identificados e avaliados, 
bem como medidas tomadas para lidar com o risco. Os relatórios de 
risco contêm resultados da avaliação e análise de risco, planejamento 
de status, controle e implementação de medidas de gerenciamento 
de risco, bem como informações de gerenciamento e monitoramento 
de risco. Idealmente, os relatórios devem ser feitos de acordo com o 
sistema de relatórios existente e podem ser incluídos como um processo 
autônomo (TRENTIM, 2011). Diferenças básicas são percebidas entre 
15
relatórios de risco internos (chefes de departamentos, gerenciamento 
central de desastres, comitê de risco de desastres, diretoria executiva 
e conselho de administração) e relatórios de risco externos (auditores, 
acionistas, devedores, analistas). O sistema interno de relatórios de 
riscos pode ser projetado livremente e deve incluir principalmente 
relatórios regulares com conteúdo, destinatários e prazos claramente 
definidos. “Relatórios de risco extraordinários” só devem ser criados em 
casos excepcionais. Essa é uma ótima ferramenta de relatório externo 
para o relatório anual. Além de outras fontes de informação, o relatório 
de risco é muito importante quando se trata de fornecer informações 
aos investidores (RABECHINI JR.; CARVALHO, 2013).
Em última análise, o objetivo é aumentar o valor da empresa, mantendo 
o potencial de lucro e redução de risco. Uma maneira de determinar 
o gerenciamento de risco de desastres é definir metas individuais 
de risco e gerenciamento. A gestão, por outro lado, pode ser vista 
como um processo e uma instituição de liderança. O sistema significa 
construir e fazer valer a vontade, e os gestores constroem a instituição. 
Isso significa, entre outras ações, planejamento, tomada de decisão e 
controle (RUPPENTHAL, 2013). Para construir um plano de gestão, é 
necessária uma direção oportuna. A alternativa define a gestão de riscos 
como uma função de gestão corporativa, com o objetivo de identificar, 
avaliar e utilizar ferramentas para lidar com riscos potenciais de forma 
que a sobrevivência da empresa nunca seja ameaçada.
No entanto, ao contrário dos executivos, os riscos que não 
comprometem a existência de uma empresa, como queda temporária 
de vendas e riscos identificados antecipadamente, também devem ser 
tratados de forma sistemática. Além disso, o planejamento estratégico 
geralmente tem que lidar com um conjunto maior de riscos do que 
os práticos. A principal razão para isso é o planejamento operacional 
de curto prazo, caso em que podem surgir investigações de risco, cuja 
principal tarefa é garantir a existência de longo prazo da empresa 
16
através do estabelecimento de medidas críticas, sendo as mais eficazes a 
duração de curto prazo, o processo decisório e a flexibilidade (TRENTIM, 
2011).
A identificação de riscos é importante em todas as etapas do processo 
de gestão, pois as deficiências a partir dela podem ser abordadas 
nas etapas seguintes. Acidentes negligenciados, por exemplo, podem 
fazer com que os acidentes apareçam muito tarde e repentinamente, 
o que reduz significativamente o tempo de resposta. A necessidade 
de identificar o risco está em saber quando uma situação perigosa 
pode surgir. Por outro lado, as decisões que envolvem risco devem ser 
tratadas prontamente (TRENTIM, 2011). Consistentemente, o risco surge 
devido à natureza geral da empresa. Isso significa uma situação normal, 
influenciada por circunstâncias externas.
Esse tipo de risco às vezes é permanente. Portanto, a identificação de 
risco cria uma distinção entre risco e condições não perigosas. Dessa 
forma, faz sentido planejar os fatores de risco. Primeiro, a estrutura 
do processo pode ser diferenciada. Por outro lado, o risco pode ser 
registrado em termos de uma condição e um tempo de resposta 
muito curto, o que resulta em etapas sintomáticas. Em segundo lugar, 
é possível distinguir estruturas e valores morais, que se referem 
principalmente ao nível do sujeito (RUPPENTHAL, 2013). Nesse contexto, 
a experiência e os valores dos tomadores de decisão desempenham um 
papel, influenciando muito a disposição de assumir riscos. A constante 
mudança de motivos e informações externas às vezes tem um efeito 
temporário sobre os preços, ou seja, durante o processo de tomada de 
decisão.
A terceira estrutura pode ser feita dependendo do nível de ameaça. 
Assim,atribuições temporárias podem ocorrer em termos de frequência, 
continuidade, repetição e outras estruturas dependentes do tempo. A 
funcionalidade também é uma característica considerada nesse cenário, 
ao descrever o andamento do processo de impacto de uma situação 
17
funcional para uma situação crítica, que também determina o alcance 
da tomada de decisão ou comportamento de resposta (RUPPENTHAL, 
2013). Assim, a segunda e a terceira formação ocorrem com variação 
estrutural e emergência, ou seja, flexibilização do escopo de ação 
do programa de estudos. O objetivo principal da gestão de riscos de 
desastres, em ordem cronológica, é identificar os riscos na forma de 
sinais precoces.
Assim, a varredura de sinal determina a rapidez com que um sinal é 
recebido. Ela classifica os sinais de acordo com o tipo de conteúdo, 
sua durabilidade, a diferença (ou seja, o fundo de onde se originaram), 
sua frequência e continuidade. As áreas, se usadas regularmente, 
são limitadas. Portanto, as listas de verificação não devem ser usadas 
de forma rígida, mas devem estar sempre sujeitas a um processo de 
desenvolvimento. Outra ferramenta é a análise dinâmica da natureza, na 
qual o importante é conhecer quais informações devem ser registradas. 
Uma pesquisa completa pode ser útil e aumentar a segurança, mas 
geralmente é mais cara (RUPPENTHAL, 2013). Então, a seleção de 
informações importantes a serem coletadas deve ser incluída. A 
intensidade da coleta de dados e do processamento contínuo depende 
em grande parte da urgência da situação. Isto é seguido pelo diagnóstico 
de sinal. Ele tenta descobrir onde, quando e como os eventos acontecem 
e os divide em categorias.
Desta forma, a causa do evento é, portanto, sistematicamente 
investigada. A etapa final é a previsão do impacto do sinal. Ela prevê 
tendências de desenvolvimento, que podem ser baseadas no cenário 
apresentado na avaliação de risco, podendo ser visto como um fator de 
risco. Interrupções potenciais e fontes de perigo de tempos em tempos 
devem ser documentadas o mais detalhadamente possível. Isso inclui 
registrar os perigos potenciais e os danos causados, o que pode ser 
feito usando fontes internas de informação, como sistemas de gestão 
de ativos, ou fontes externas, como agências de classificação. Nesse 
ponto, o conflito surge quando a integralidade da avaliação de risco 
18
está negativamente relacionada aos seus benefícios. Isso significa que 
a efetividade da informação só aumenta com a diminuição de medidas 
incertas. (RUPPENTHAL, 2013). O objetivo da identificação de riscos é, 
portanto, desenvolver, e não aprimorar o conhecimento.
Referências
BARALDI, P. Gerenciamento de riscos empresariais. 3. ed. Timburi: Cia do 
eBook, 2018.
RABECHINI JR., R.; CARVALHO, M. Relacionamento entre gerenciamento de risco 
e sucesso de projetos. Produção, v. 23, n. 3, p. 570-581, jul./set. 2013. Disponível 
em: https://www.scielo.br/j/prod/a/JD5hrwpD3HdQMY4JssSbQsD/?lang=pt. Acesso 
em: 7 set. 2022.
RUPPENTHAL, J. E. Gerenciamento de riscos. Santa Maria: Universidade Federal 
de Santa Maria; Colégio Técnico Industrial de Santa Maria; Rede e-Tec Brasil, 2013. 
120 p.
SILVA FILHO, J. A. da. Segurança do Trabalho: Gerenciamento de Riscos 
Ocupacionais–Gro/Pgr. São Paulo: LTr, 2021.
TRENTIM, M. H. Gerenciamento de projetos. São Paulo: Ed. Atlas, 2011.
19
Requisitos legais para gestão de 
riscos conforme ISO 45001
Autoria: Adriano Pereira da Silva
Leitura crítica: Felipe Delapria Dias dos Santos
Objetivos
• Orientar o estudante sobre conceitos da ISO 45001.
• Facilitar a compreensão dos requisitos legais da 
gestão de riscos conforme a ISO 45001.
• Estabelecer critérios para o cumprimento dos 
requisitos legais da ISO 45001.
20
1. ISO 45001
Em 2017, a Organização Internacional do Trabalho (OIT, agência 
especial da Organização das Nações Unidas) declarou que 2,78 
milhões de pessoas em todo o mundo morrem por acidentes e 
doenças ocupacionais a cada ano, ou 7.700 pessoas por dia. O custo 
de tais acidentes e doenças fatais é enorme, equivalente a cerca de 
4% do produto interno bruto mundial. No entanto, não são apenas os 
custos éticos e econômicos dos acidentes de trabalho e das doenças 
ocupacionais que afetam o sistema de gestão de saúde e segurança 
ocupacional, mas também a autoestima da empresa. Por serem 
empregadores, todos os gerentes têm uma responsabilidade pessoal: 
a obrigação legal de proteger o local de trabalho e a saúde de seus 
funcionários. Além disso, o uso de melhores práticas para segurança 
ocupacional, como a introdução de um sistema de gerenciamento de 
segurança no local de trabalho, também pode proteger contra alegações 
de falha organizacional. Da mesma forma, um sistema de gestão 
garantido em muitas indústrias hoje é uma questão importante para 
estabelecer novas relações comerciais e manter as antigas, ou seja, a 
demanda do mercado (VIEIRA; PASSOS JR., 2020).
Acidentes relacionados ao trabalho há muito tempo levam a leis 
exigindo que os empregadores garantam a segurança e a saúde de seus 
funcionários. Legislações vinculantes para proteger os trabalhadores são 
promulgadas em lei, mas o número de riscos e doenças ocupacionais 
mostra que não são suficientes. Portanto, o padrão de gestão de 
segurança e saúde no local de trabalho deve servir como um guia para 
os empregadores, com base em modelos de qualidade ou sistemas de 
gestão ambiental, para garantir a segurança e a saúde ocupacional, 
alcançar os objetivos de negócios e usá-los de forma eficaz como parte 
integrante das estruturas e dos processos operacionais. Isso pode 
conduzir aos próximos lucros da empresa (VIEIRA; PASSOS JR., 2020).
21
Saúde e segurança no trabalho organizadas e boas condições de 
trabalho são uma parte importante da melhoria dos processos 
laborais, outro componente relevante da competição. Todos os riscos 
ocupacionais e todos os absentismos devidos a doenças relacionadas 
com o trabalho devem ser interrompidos no sistema produtivo (VIEIRA; 
PASSOS JR., 2020).
Funcionários diligentes e eficientes desempenham um papel 
importante na competitividade da empresa. Em tempos de escassez 
de trabalhadores qualificados, a saúde e a segurança no trabalho 
ordenadas mostram aos trabalhadores que o alto número de 
funcionários não é apenas retórica, mas a ação segue. Além disso, 
proporcionam maior segurança jurídica aos gestores, que devem 
aplicar as obrigações do empregador decorrentes de dispositivos 
legais, à medida que são explicadas suas obrigações e, se necessário, os 
procedimentos de implementação (VIEIRA; PASSOS JR., 2020).
A ISO 45001:2018 (ABNT, 2018) especifica requisitos para sistemas 
de gestão de saúde e segurança ocupacional e dá orientação sobre 
sua aplicação. Seu objetivo é permitir que as organizações forneçam 
locais de trabalho seguros e saudáveis, previnam lesões e doenças 
relacionadas à atividade desenvolvida e melhorem proativamente seu 
desempenho no trabalho e na saúde e segurança ocupacional, sendo 
aplicável a qualquer organização que deseje estabelecer, implementar 
e manter um sistema de gestão para favorecer a saúde e segurança 
ocupacional, eliminar perigos e minimizar riscos de saúde e segurança 
ocupacional (incluindo deficiências do sistema), utilizar saúde e 
segurança ocupacional e oportunidades de segurança, e identificar 
não conformidades do sistema de gestão de SSO (Saúde e Segurança 
Ocupacional) para remover conexões para suas atividades (ABNT, 2018).
A gestão da segurança do trabalho, de acordo com a ISO 45001 (ABNT, 
2018), tem como objetivo proteger a empresa de acidentes e doenças 
e, assim, reduzir o absenteísmo e os custos dele decorrentes. A ISO 
22
45001:2018, publicada em junho de 2018, apoia a empresa na criação 
de um sistema eficaz de saúde e segurança ocupacional (Sistema de 
Gestão de Saúde e Segurança Ocupacional) e facilita o cumprimento das 
obrigações legais nessa área. Portanto, a ISO 45001 substitui a OHSAS 
18001, que fecha a lacuna deixada pelaInternational Organization for 
Standardization em segurança do trabalho. Isso significa que agora 
existe um padrão ISO para sistemas de gestão de saúde e segurança 
ocupacional que pode ser comparado a sistemas de gestão de 
qualidade, meio ambiente ou energia (DE JESUS; DE SOUZA, 2020).
O sistema de gestão ISO 45001 oferece à empresa uma ampla gama 
de benefícios e oportunidades, e ela obtém muita segurança jurídica 
por meio da regulamentação aplicável. Além disso, saúde e segurança 
ocupacional estão incluídas nas políticas de uma empresa, bem como 
podem aumentar a motivação dos funcionários para fazer o que é 
preciso, conseguindo engajá-los ativamente. Um sistema de saúde e 
segurança ocupacional eficaz também contribui para a redução de 
custos, pois ao prevenir os riscos e as doenças profissionais, reduz o 
absentismo e os custos associados (DE JESUS; DE SOUZA, 2020).
A International Organization for Standardization não regulamenta a saúde 
e segurança no trabalho, já que isso é função das leis: lei europeia, leis 
e regulamentos alemães e leis de prevenção de acidentes. A norma 
está em conformidade com essas regras, fornecendo uma estrutura 
que ajudará na implementação da boa governança através do ciclo 
PDCA (sigla em inglês para PLAN – DO – CHECK – ACT, que significa 
PLANEJAR – FAZER – VERIFICAR – AGIR, em um processo repetitivo). 
Isso inclui planejamento (determinação de riscos e oportunidades, 
definição de metas e estratégias de redução de riscos, e aproveitamento 
de oportunidades), implementação de medidas estratégicas, garantia 
do esclarecimento e alcance de metas, e tomada das providências 
necessárias (ação) para alcançar os resultados planejados. O ciclo PDCA 
é baseado em diretrizes estratégicas, que devem levar em conta o papel 
das organizações (VIEIRA; PASSOS JR., 2020).
23
Um SGSSO (Sistema de Gestão de Saúde e Segurança Ocupacional), de 
acordo com a ISO 45001 (ABNT, 2018), contém componentes que são 
usados para fornecer locais de trabalho seguros e saudáveis e prevenir 
lesões e doenças. Os parâmetros e o escopo são determinados pela 
organização. A conformidade só pode ser exigida se todos os requisitos 
de saúde e segurança ocupacional forem atendidos conforme o escopo 
(SILVA FILHO, 2021).
A introdução do sistema de gestão de saúde e segurança ISO 45001 
já era demandada por clientes de outras indústrias durante a OHSAS 
18001. Espera-se que esse requisito aumente para os padrões ISO. 
No entanto, a vantagem de um sistema SGSSO é resolvida pelo custo: 
projetar um ambiente estruturado e focado no local de trabalho e 
realizar a melhoria contínua da segurança nesse local custa tempo e 
dinheiro (DE JESUS; DE SOUZA, 2020).
Deve-se ter em mente que os riscos ocupacionais e as doenças 
relacionadas ao trabalho também custam tempo e dinheiro. O 
absenteísmo deve ser compensado; os funcionários, substituídos e 
treinados; os equipamentos danificados, reparados. A insatisfação com 
as condições de trabalho pode reduzir o desempenho dos funcionários, 
e as penalidades são investimentos improdutivos. Um bom plano 
deve custar menos do que as consequências de acidentes e doenças. 
Os custos (parcialmente ocultos) do passado devem ser pesados e 
comparados com o esforço de implantação e implementação de um 
plano de gestão, que pode ser determinado em um plano limitado 
(SILVA FILHO, 2021). Após essa etapa, a empresa deve saber por que 
está lançando o plano de gestão e o que quer ganhar com ele. Com base 
nisso, um pedido (projeto) para a introdução deve ser feito.
A implantação do sistema de gestão de segurança e saúde ocupacional 
pode ser vista como um projeto, pois é uma tarefa complexa, única e 
pontual realizada offline. O objetivo pode ser uma (primeira) certificação 
bem-sucedida (um certificado não é absolutamente necessário, a menos 
24
que os clientes o solicitem, mas muitas empresas se esforçam para ter 
controle externo sobre todos os requisitos padrão, identificando se 
são atendidos). Em empresas que já possuem um sistema de gestão 
de saúde e segurança alinhado à OHSAS 18001, uma transformação 
pode ter bom resultado. Pequenas empresas usarão a introdução de 
um plano de gestão como parte do seu dia a dia, enquanto grandes 
empresas preferem o desenho formal do projeto (DE JESUS; DE SOUZA, 
2020).
De qualquer forma, o gerenciamento de projetos é uma maneira eficaz 
de envolver os funcionários no processo desde o início. Para garantir 
uma abordagem sistemática, uma pessoa deve ser responsável pela 
implementação do projeto. Ela planeja e gerencia o projeto, reporta-
se à gerência da empresa, faz a ligação e aconselha sobre as etapas 
necessárias a equipe do projeto, a gerência e o pessoal apropriados. 
Também supervisiona as atividades indispensáveis para a certificação 
(SILVA FILHO, 2021). Os representantes dos gestores já conhecem os 
requisitos do sistema de gestão, especialmente porque a maioria das 
normas contém módulos de texto padrão devido à estrutura legal. Os 
profissionais de segurança do trabalho estão particularmente atentos às 
obrigações legais da empresa no domínio da segurança do trabalho.
Além de implementar as medidas planejadas, o nível dos planos de 
segurança no local de trabalho define certos requisitos de aplicação. 
Entre outras ações, eles devem fornecer os recursos necessários e 
determinar as habilidades requeridas. Isso precisa ser encontrado 
e documentado. Além disso, devem promover a conscientização do 
pessoal da SGSSO e garantir a comunicação exigida. Os documentos 
necessários também devem ser criados e gerenciados (SILVA FILHO, 
2021).
O ponto-chave é planejar e controlar os processos relacionados à 
segurança do trabalho para reduzir o risco. Isso deve incluir, inter 
alia, mudanças de gestão e regulamentos de aquisição, assim como 
25
requisitos especiais para regular o processo de exportação. É necessário 
determinar o que precisa ser monitorado e avaliado para analisar 
o desempenho e saber como e quando os resultados devem ser 
examinados. A conformidade com os requisitos legais e outros também 
deve ser verificada de tempos em tempos. Além disso, auditorias 
internas regulares (a serem planejadas no programa de pesquisa) e 
revisões gerenciais devem ser realizadas (DE JESUS; DE SOUZA, 2020).
É preciso investigar incidentes e deficiências e corrigi-los, se necessário. 
Deve, então, ser determinado se incidentes e erros comparáveis 
ocorreram ou são possíveis e se são necessárias medidas corretivas 
(medidas para eliminar a causa do incidente ou recurso). Em caso 
afirmativo, elas devem ser usadas, e sua eficácia, testada. A promoção 
da cultura SGSSO é também um compromisso com a melhoria contínua 
(SILVA FILHO, 2021).
Na versão anterior da BS OHSAS 18001:2007, era necessário um 
representante da alta administração no sistema de gestão. Tal 
necessidade está descrita na ISO 45001, assim como nas novas 
versões da ISO 9001 e ISO 14001 (sistemas de gestão da qualidade e 
meio ambiente). Mas também para manter e melhorar o sistema de 
gestão SGSSO, é necessário um “cuidador”. Como resultado, muitas 
empresas continuam a nomear executivos. De qualquer forma, tais 
figuras geralmente não tinham o poder necessário – conforme exigido 
pelas normas – para garantir introdução e uso consistentes (ou seja, 
autoridade para emitir diretivas), de modo que eram principalmente 
unidades de pessoal que atuavam como coordenadores internos, 
enquanto necessário. O representante da administração precisaria ter 
sido membro da alta administração (DE JESUS; DE SOUZA, 2020).
Nas grandes empresas, o comitê gestor é responsável pela maior parte 
do trabalho. Estão incluídos nele executivos da empresa, gerentes e 
profissionais qualificados; às vezes, o Comitê de Saúde e Segurança 
Ocupacional assume esse papel. Se possível, a equipe de projeto em 
26
grandes empresas deve ter representantes das áreas apropriadas 
da organização e um especialista (pelo menos um especialista em 
segurança do trabalho,e possivelmente também um oficial de 
proteção contra incêndio). Mas ela não deve ser muito grande para 
continuar trabalhando (DE JESUS; DE SOUZA, 2020). O tempo do projeto 
é obviamente tempo de trabalho, ou seja, esse é um dos recursos 
necessários. A primeira tarefa do gerente de projeto/da equipe do 
projeto é planejar o projeto ISO 45001. Para isso, os envolvidos devem 
obter um resumo dos requisitos da ISO 45001. Se necessário, o projeto 
pode ser subdividido em projetos menores, como “ planejamento” e 
“implementação”.
O planejamento padrão pode já ter ocorrido em preparação para o 
processo de tomada de decisão estratégica para lançar o sistema ISO 
45001; em seguida, há um plano detalhado, incluindo até a descrição 
de cada pacote de trabalho, que deve ser usado de forma eficaz. O 
planejamento é um processo dinâmico, com novas ideias que podem 
ser adquiridas durante o trabalho. Portanto, o plano do projeto deve 
ser atualizado de tempos em tempos. Termos (resultados esperados), 
fundos necessários, obrigações e prazos devem ser especificados para 
cada atividade/pacote de trabalho. Ao mesmo tempo, um processo está 
em andamento, e é necessário planejar posteriormente para atingir 
a meta do SGSSO. Depois, há testes de desempenho, que podem ser 
baseados nos resultados obtidos. É também preciso verificar isso no 
projeto. O plano do projeto deve ser aprovado pela direção da empresa, 
que também disponibiliza os recursos necessários (DE JESUS; DE SOUZA, 
2020).
Depois de todos os tópicos que podem ser relevantes, muitas vezes há 
mais alguns (incluindo funcionários que devem sempre ser considerados 
envolvidos em questões de segurança do trabalho). Portanto, faz 
sentido levar em conta as questões relevantes e as partes interessadas 
em conjunto. Geralmente, mesmo que não seja usado nenhum outro 
sistema de gestão que exija o trabalho, uma boa empresa deve estar 
27
atenta às condições internas e externas adequadas e saber quais 
pessoas ou organizações ainda são responsáveis perante a empresa 
(SILVA FILHO, 2021).
Devido à necessidade de abordar o contexto já conhecido, as empresas 
utilizam o sistema de gestão da qualidade de acordo com a ISO 9001 ou 
sistema de gestão ambiental de acordo com a ISO 14001. Por outro lado, 
as notícias descrevem como “únicas” as empresas que introduziram até 
à data um sistema de gestão de saúde e segurança no trabalho alinhado 
com a OHSAS 18001. A base para esses requisitos é esta: os planos 
de gestão individuais geralmente são organizados e vivem de forma 
independente e sem referência aos interesses estratégicos “reais” da 
empresa (DE JESUS; DE SOUZA, 2020).
Em termos de qualidade, por exemplo, é possível dizer que os clientes 
satisfeitos estão na linha da frente; na política ambiental, o que esta 
é a proteção do ambiente, e na política de segurança no trabalho, a 
segurança e saúde dos colaboradores é declarada uma prioridade 
(CAMPAILLA, 2019). As políticas parecem boas em si mesmas, mas não 
podem estar certas: priorizar é priorizar, então três fatores não podem 
ser todos priorizados. De qualquer forma, todos os três geralmente 
estão errados: o principal é o sucesso econômico da empresa, e os 
clientes satisfeitos costumam ser a maneira de fazer isso, ou seja, sob a 
empresa (SILVA FILHO, 2021).
O requisito ISO 45001 da organização para determinar questões internas 
e externas relevantes ao seu propósito afeta sua capacidade de alcançar 
os resultados pretendidos pelo seu sistema de gestão de SGSSO, o 
fornecimento de locais de trabalho seguros e saudáveis e a prevenção 
de lesões ou doenças relacionadas ao trabalho. Portanto, a pergunta é: 
o que pode afetar (positivamente ou negativamente) a capacidade de 
uma organização de fornecer locais de trabalho seguros e saudáveis e 
prevenir lesões e doenças relacionadas ao trabalho? Para informação 
(ou seja, não vinculativa), o Anexo A da ISO 45001 (ABNT, 2018) lista 
28
os tópicos que podem ser considerados neste contexto. Exemplos de 
títulos ISO 45001 internos e externos (ABNT, 2018) são apresentados na 
Tabela 1.
Tabela 1 – exemplos de títulos da ISO 45001
Temas 
externos:
Ambiente social, político e econômico (internacional, 
nacional, local). 
Novas informações sobre produtos e seu impacto 
na segurança e saúde. Ideias e valores das partes 
interessadas.
Tópicos 
internos:
Liderança, políticas e objetivos.
Habilidades, recursos, conhecimento.
Relacionamento com funcionários e suas ideias e 
valores. 
Cultura na organização.
Fonte: adaptada de ABNT (2018).
Com as exigências das normas de saúde e segurança ocupacional, nos 
deparamos com uma política de gestão que não está em uma lista 
clara de padrões: somente é possível gerenciar o que se pode medir. A 
fim de implementar os objetivos e conceitos estabelecidos na política 
de segurança do trabalho, a norma exige, portanto, uma explicação 
dos objetivos de segurança do trabalho que sejam tão mensuráveis 
quanto possível, mas, em qualquer caso, apropriados para avaliação 
de desempenho. E para trabalhar a fim de atingir a meta de verdade, a 
conquista da meta também deve ser planejada (DE JESUS; DE SOUZA, 
2020).
Os objetivos de saúde e segurança ocupacional devem levar em 
consideração as necessidades práticas (ou seja, legais e outras) e o 
resultado da avaliação de risco e oportunidade para reduzir as chances 
29
e/ou consequências de doenças ocupacionais, no local de trabalho 
e relacionadas, e especialmente os riscos ocupacionais – ou seja, os 
resultados da avaliação de risco – devem ser considerados. Devem ser 
confirmados primeiro os objetivos estratégicos ou operacionais, que 
podem ser obtidos a partir da necessidade da ação tomada (CAMPAILLA, 
2019).
Uma vez aprovadas pela alta administração, as políticas devem ser 
definidas, mas um responsável pelo controle de segurança do trabalho 
pode ser contratado para fazer recomendações, se necessário. Ao 
desenvolver diretrizes de desempenho de saúde e segurança, atenção 
especial deve ser dada ao balanceamento. Dessa forma, as políticas 
de saúde e segurança ocupacional são estabelecidas pela organização 
para alcançar resultados específicos alinhados com a legislação 
pertinente. As funções e os padrões relevantes devem ser definidos e 
operados para manter e melhorar continuamente o sistema de gestão 
e sua implementação de acordo com a política de saúde e segurança 
ocupacional (DE JESUS; DE SOUZA, 2020). O planejamento direcionado 
deve ser avaliado (quando possível) ou capaz de avaliar o desempenho, 
levando em consideração os requisitos operacionais e os resultados 
da avaliação de riscos e oportunidades, e consultando a equipe e seus 
representantes, quando apropriado. Eles devem ser monitorados e 
relatados e, se necessário, atualizados (SILVA FILHO, 2021).
Em seguida, deve-se definir claramente a política de segurança 
ocupacional ISO 45001 e os princípios e objetivos de segurança 
ocupacional. Pelo menos um objetivo deve levar à redução direta das 
chances e/ou consequências de acidentes de trabalho e/ou doenças 
ocupacionais. Além disso, outras medidas de segurança ocupacional 
podem ser influenciadas indiretamente (por exemplo, promover a 
conscientização sobre segurança/promover a segurança ocupacional). 
O Apêndice A.6.2 da ISO 45001 define o que significa “papéis e padrões 
importantes”: por exemplo, pode ser feita uma distinção entre objetivos 
estratégicos e operacionais de segurança (CAMPAILLA, 2019). O objetivo 
30
estratégico da SGSSO (empresa) será reduzir a exposição do pessoal ao 
ruído. O alvo estratégico desta configuração está em diferentes níveis 
– por exemplo, acima pode estar a redução de ruído na produção. Para 
conseguir isso, devem existir metas eficazes e mensuráveis para cada 
instituição (ABNT, 2018).
O apêndice explica que as medições também podem ser feitas com 
qualidade, por exemplo, por meio de testes e observações. Além das 
metas de desenvolvimento, pode haver objetivos que trabalhem para 
mantero desempenho do SGSSO, como a preparação para futuras 
mudanças na lei para manter a conformidade. O requisito de fazer a 
consulta aos funcionários (5.4 ISO 45001) na definição de metas de 
saúde e segurança deve ser considerado: as opiniões dos funcionários 
ou de seus representantes (especialmente o conselho trabalhista) devem 
ser ouvidas como recebidas e levadas em conta (ABNT, 2018).
As políticas de segurança do trabalho devem ser integradas com os 
funcionários e seus representantes, ou seja, é preciso existir um acordo 
de política, e não uma especificação de política. A comunicação e o 
monitoramento necessários das políticas de segurança também estão 
vinculados a outros requisitos. A ISO 45001 exige que os funcionários 
estejam cientes das normas de segurança no local de trabalho. 
Portanto, não basta tornar as políticas do SGSSO conhecidas apenas 
pelos responsáveis ou afetados, mas todos os funcionários devem ser 
informados sobre elas. O progresso no alcance da meta da organização 
precisa ser monitorado e avaliado. Monitorar os princípios do SGSSO 
significa que a organização deve acompanhar sistematicamente o 
progresso na busca dos objetivos (ABNT, 2018).
Com isso em mente, devem ser planejados os passos para lidar com 
os riscos e as oportunidades, assim como os passos para atingir as 
metas. Riscos e oportunidades podem surgir de fatores contextuais, 
expectativas e necessidades das partes interessadas, riscos operacionais 
(avaliações de risco) e requisitos legais e outros da organização, que 
31
devem determinar a implementação do sistema de gestão de saúde 
ocupacional (DE JESUS; DE SOUZA, 2020). Pode ser preciso criar maneiras 
de lidar com os riscos e aproveitar as oportunidades. Além disso, metas 
para melhorar o sistema de gestão e desempenho do SGSSO devem ser 
definidas, e metas de realização precisam ser planejadas (CAMPAILLA, 
2019).
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 45001: Sistema de 
Gestão da Segurança e Saúde no Trabalho. Requisitos com Orientações para Uso. 
Rio de Janeiro: ABNT, 2018.
CAMPAILLA, C. ISO 45001. In: Quality Management: Tools, Methods, and 
Standards. Bingley, England: Emerald Publishing Limited, 2019.
DE JESUS, B.; DE SOUZA, C. Compreendendo a nova Norma ISO 45001 e sua 
relação com a OHSAS 18001. Gestão da Produção em Foco. Belo Horizonte: Ed. 
Poisson, 2020. Volume 39, p. 107.
SILVA FILHO, J. A. da. Segurança do Trabalho: Gerenciamento de Riscos 
Ocupacionais–Gro/Pgr. São Paulo: LTr, 2021.
VIEIRA, A. A.; PASSOS JR., C. Strategy for implementing an occupational safety 
and health management system based on ISO 45001. Research, Society and 
Development, v. 9, n. 7, p. 1-18, 2020.
32
Conceitos e aplicações de gestão 
de risco conforme ISO 31000
Autoria: Adriano Pereira da Silva
Leitura crítica: Felipe Delapria Dias dos Santos
Objetivos
• Orientar o estudante sobre os conceitos da ISO 
31000.
• Facilitar a compreensão dos requisitos da ISO 31000.
• Estabelecer critérios para métricas de aplicações da 
ISO 31000.
33
1. Sistema de gestão de riscos 
conforme ISO 31000
Muitas das atividades de uma organização envolvem riscos. As empresas 
identificam, analisam e gerenciam os riscos aos quais podem estar 
expostas, avaliando se os alterarão por meio de uma avaliação de 
risco. Embora todas as organizações gerenciem riscos em algum grau, 
esse padrão estabelece um conjunto de princípios que devem ser 
seguidos para permitir o gerenciamento de riscos. Nessa condição, 
riscos são eventos possíveis que podem levar a danos, mas também 
a oportunidades, e estão sujeitos a incertezas (PONTE, 2005). No 
entanto, os riscos podem ser identificados, avaliados e controlados até 
certo ponto. Sua probabilidade de ocorrência e seus efeitos também 
podem ser reduzidos, mas isso deve ser feito de forma sistemática e 
direcionada. Assim, o maior desafio que o mundo dos negócios enfrenta 
hoje é manter-se competitivo a longo prazo. Não obstante, os altos e 
baixos da economia e os efeitos negativos da crise política e econômica 
afetaram significativamente essa competitividade (BARALDI, 2018).
Através disso, toda organização tem objetivos; porém, as incertezas que 
surgem criam riscos para o alcance das metas traçadas, de modo que as 
empresas tentam, então, gerenciar esses riscos. Transformar incerteza 
em oportunidade é uma habilidade separada, e as empresas agora 
estão se concentrando no gerenciamento de riscos para alcançar essa 
habilidade. Em primeiro lugar, a gestão de riscos corporativos não pode 
ser negligenciada em nenhuma pequena ou grande empresa. Muitas 
organizações já tomaram medidas para lidar com riscos específicos 
(BARALDI, 2018). As organizações que gerenciam os riscos de forma 
eficaz são mais propensas a se proteger e crescer. O desafio para todas 
as empresas é integrar as melhores práticas em suas operações diárias e 
aplicar seus métodos de negócios em uma perspectiva mais ampla.
34
A norma de gestão de risco ISO 31000 (ABNT, 2018) define os requisitos 
para uma gestão de risco eficaz nas empresas, que pode ser aplicada 
aos processos de planejamento, gestão e comunicação na esfera 
pública, privada ou social para aumentar a eficiência operacional, a 
gestão e a confiança dos acionistas, e para perdas de qualquer tipo 
serem minimizadas, ou seja, é um padrão de sistema de gestão. Esse 
padrão internacional contribui para melhorar o desempenho de saúde 
e segurança, fornece uma base sólida para a tomada de decisões e 
promove uma gestão proativa em todas as áreas (BARALDI, 2018).
Para tanto, a International Standards Organization iniciou o projeto 
ISO 31000 Risk Management – Princípios e Diretrizes em 2005. O ponto 
de partida foi a norma australiana/neozelandesa AS/NZS 4360 Risk 
Management. A abordagem sistêmica (PLAN – DO – CHECK – ACT) da 
série ONR 49000, publicada pela primeira vez em 2004, foi adicionada 
como elemento-chave, que se consolidou como o quadro de gestão do 
risco. Logo, a norma Gestão de Riscos ISO 31000 – Princípios e Diretrizes, 
publicada no final de 2009, descreve os princípios, a estrutura e o 
processo de gerenciamento de riscos de todos os tipos de empresas 
privadas e organizações públicas. Assim, sua aplicação destina-se 
a ajudar as organizações a atingirem seus objetivos, identificando 
sistematicamente oportunidades e ameaças e implantando efetivamente 
os recursos para gerenciar riscos. Portanto, a norma fundamenta uma 
importante contribuição para atender aos requisitos de governança 
corporativa, sendo entendida e integrada como ferramenta de gestão 
(PONTE, 2005).
Diante desse prisma, a ISO 31000 encontrou grande interesse 
internacional, de modo que, em pouco tempo, ficou em quinto lugar no 
mundo, considerando padrões ISO comparáveis. De uma perspectiva 
global, a ISO 31000 está agora em um nível padrão americano de 
auditores, visto que o Committee of Sponsoring Organizations (COSO)1 e 
1 COSO: organização privada, criada nos EUA, para prevenir e evitar fraudes nos procedimentos e processos 
internos das empresas, cuja missão aborda a evolução do gerenciamento de riscos corporativos e a necessi-
dade das organizações de melhorarem sua abordagem.
35
a OCDE (Organização para a Cooperação e Desenvolvimento Econômico) 
se referiram à ISO 31000 como o “padrão mundial de fato”. Em 
contrapartida, a norma não pretende ser objeto de certificações formais, 
mas apoia a implementação de avaliações internas e externas de gestão 
de riscos (MOKGOANTLE, 2012).
Nesta perspectiva, os padrões do Sistema de Gerenciamento de Riscos 
Corporativos ISO 31000, publicados em 2009, fornecem orientação 
para que as organizações se preparem para essa estrutura sistemática. 
Graças aos seus padrões, é mais fácil e saudável estabelecer princípios 
de gerenciamento de risco em uma organização e preparar a 
infraestrutura necessária para uma análise de risco precisa e análise 
de impacto de risco. A norma ISO 31000 não prevê o trabalho de 
certificação, mas as empresasquerem ganhar crédito, com razão, 
demonstrando que integraram e implementaram esse sistema. Nesse 
caso, é claro, os organismos de certificação realizam tal trabalho para as 
organizações solicitantes. Da mesma maneira que acontece com todos 
os outros sistemas de garantia de qualidade, são utilizadas duas etapas 
nesse processo de certificação (BARALDI, 2018).
No Brasil, essa nova versão foi elaborada pela Comissão de Estudo 
Especial de Gestão de Riscos (ABNT/CEE-063) e contou com a 
participação de 69 profissionais de várias empresas de diversos 
segmentos. Embora a ISO 31000:2018 esteja longe de ser o único 
documento que trata do gerenciamento de riscos, seria difícil encontrar 
um conjunto mais sucinto de princípios para implementar e avaliar esse 
tipo de processo, sendo ainda pouco aderida nacionalmente, até mesmo 
por ser recente em termos de retornos profissionais.
Na primeira fase, o organismo de certificação inicia o exame com 
base na documentação criada pela empresa durante o trabalho de 
instalação do sistema. Enquanto isso, defeitos ou discrepâncias serão 
corrigidos. Na segunda fase do estudo, o organismo de certificação 
envia auditores para a empresa e acompanha o site estabelecido e 
36
implementado. Os auditores criam um relatório com base em suas 
observações, e o organismo de certificação decide sobre esse relatório. 
Se não houver problemas, o Certificado do Sistema de Gerenciamento 
de Riscos Corporativos ISO 31000 será emitido e entregue à empresa 
(MOKGOANTLE, 2012).
Ressalta-se que a ISO 31000 fornece princípios e padrões gerais 
para gerenciamento de riscos. Não é uma norma específica do setor 
empresarial e pode ser usada por organizações públicas ou privadas, 
aplicando-se a qualquer tipo de risco e a uma ampla gama de atividades 
e transações. A ISO 31000 é uma referência global para sistemas 
de gerenciamento de risco e, se desejado, coloca-se na vanguarda 
do mercado para garantir que seus clientes confiem nas decisões 
estratégicas da empresa. Como resultado, o Certificado do Sistema 
de Gerenciamento de Riscos Corporativos ISO 31000 mostra que a 
organização tem uma identidade corporativa e está construindo uma 
boa reputação em relação aos seus concorrentes. No mundo de hoje, 
tudo é feito para estar um passo à frente da concorrência, em condições 
implacavelmente competitivas (PONTE, 2005).
De acordo com essa fundamentação, a fase mais importante do 
gerenciamento de riscos é o processo de avaliação. Uma avaliação 
de risco precisa fornecer aos órgãos decisórios da organização e aos 
responsáveis um fluxo abrangente de informações sobre todos os 
possíveis riscos que podem ter um impacto negativo no cumprimento 
das metas. As informações do processo de avaliação de risco são a fonte 
para a tomada de decisão (MOKGOANTLE, 2012). Nesse momento, de 
acordo com os resultados da avaliação, o risco é identificado, percebido 
e registrado. É assim que são determinadas as situações que afetam os 
objetivos.
Nos padrões do Sistema de Gerenciamento de Riscos Corporativos ISO 
31000, as pessoas podem ser feridas mediante sua saúde econômica, 
ocorrência de atividades ou eventos causados por uma situação física 
37
ou psicológica negativa reconhecível, lesões e risco de deterioração da 
saúde ou morte. Se o estado de saúde se deteriorar ou levar à morte, 
os riscos passíveis de surgir durante a operação do empreendimento 
podem ser identificados e avaliados com cuidado e detalhe, e são 
tomadas medidas para minimizar ou eliminar esses riscos, e assim 
por diante (ALDENUCCI; SPINOSA; FAVARETTO, 2009). Por outro lado, 
ao definir a estrutura geral do sistema (incluindo suas regras gerais, 
instruções e conformidade), o desenho da estrutura para gerenciamento 
de riscos, a formação de políticas de gerenciamento de riscos, a 
prestação de contas, a integração nos processos organizacionais, os 
recursos e os mecanismos de comunicação interna e externa, o processo 
de gestão de risco é implementado, acompanhado e revisado mediante 
sistema de melhoria contínua (PONTE, 2005).
Logo, pode-se reconhecer o objetivo de fornecer uma análise do risco 
assumido ou involuntariamente incorrido, mensurar o benefício ou 
prejuízo que a empresa obterá dele, controlar o impacto negativo 
e minimizar os danos. A gestão de riscos é a gestão sistemática de 
possíveis riscos sem entrar em perigos e potenciais, oferecendo controle 
com os dados obtidos e minimizando os efeitos de possíveis danos. Ao 
aplicar a gestão de riscos no negócio de uma empresa, os riscos atuais 
e futuros conhecidos têm a ver com a análise dos riscos possíveis e 
prováveis, e, neste caso, com o risco de ocorrência da extensão do dano 
à sociedade (MOKGOANTLE, 2012).
Embora todas as organizações forneçam algum nível de gerenciamento 
de risco, o padrão do Sistema de Gerenciamento de Risco ISO 31000 
estabelece um conjunto de princípios que devem ser seguidos 
para gerenciar o risco de forma eficaz. O padrão ISO 31000 Risk 
Management System recomenda que as organizações desenvolvam 
uma estrutura cujo objetivo é integrar o processo de gerenciamento de 
riscos à gestão geral, à estratégia e ao planejamento da organização, 
com gerenciamento, processo de relatório, políticas, valores e 
cultura integrados para implementar e melhorar continuamente. 
38
O gerenciamento de riscos pode ser posto em prática a qualquer 
momento e em muitas áreas da organização, e pode ser aplicado 
a funções, projetos e atividades específicas (ALDENUCCI; SPINOSA; 
FAVARETTO, 2009).
Apesar de a prática de gerenciamento de risco em muitos setores ter 
evoluído ao longo do tempo para atender a diferentes necessidades, a 
adoção de processos apropriados dentro de uma estrutura abrangente 
ajuda a garantir que o risco seja gerenciado de maneira eficaz, eficiente 
e em rede em toda a organização. A abordagem geral definida na norma 
ISO 31000 fornece princípios e diretrizes para a gestão sistemática, 
clara e confiável de riscos em qualquer escopo e contexto. Cada setor 
ou aplicação de gestão de risco traz consigo necessidades individuais, 
grupos-alvo, percepções e critérios. Portanto, a principal característica 
do padrão do Sistema de Gerenciamento de Risco ISO 31000 é construir 
o contexto como uma atividade no início desse processo geral de 
gerenciamento de risco.
Muitas organizações já tomaram medidas contra vários riscos a partir da 
adoção dessa prática mediante norma e passaram a estar preparadas 
para seus processos de negócios existentes, bem como procedimentos, 
instruções de implementação, descrições de cargos e possíveis riscos, 
sendo que, ao longo do tempo, a gestão de riscos evoluiu para atender 
às diversas demandas de diferentes setores. No entanto, surgiu a 
necessidade de realizar esses estudos em uma ordem e sistema, e não 
descuidar de pontos importantes (PONTE, 2005).
Na busca pela gestão de riscos em uma estrutura abrangente, iniciou-
se a introdução de processos adequados e uma gestão de risco eficaz 
e eficiente em toda a organização. Graças aos padrões ISO 31000, é 
mais fácil e saudável estabelecer princípios de gerenciamento de risco 
em uma organização e preparar a infraestrutura necessária para uma 
análise de risco precisa e análise de impacto de risco. Desenvolvidas 
pela International Standards Organization e publicadas em 2009, as 
39
normas ISO 31000 para gerenciamento de riscos corporativos fornecem 
orientação para que as organizações se preparem para essa estrutura 
sistemática (ALDENUCCI; SPINOSA; FAVARETTO, 2009).
Assim, a norma ISO 31000 estabelece princípios para ajudar a atingir 
o objetivo da gestão de risco (criar e preservar valor). Os princípios 
destinam-se a formar uma base para lidar com riscos e, portanto, devem 
ser levados em consideração ao serem desenvolvidos a estrutura e os 
processos de um sistema de gerenciamento de riscos. Desta forma, 
respeitando os princípios da entidade, a gestão eficaz de riscos deve ser 
integrada, estruturada, abrangente, adaptada,inclusiva e dinâmica. Além 
disso, a melhor informação disponível deve ser usada, fatores humanos 
e culturais devem ser levados em conta e a gestão de risco deve ser 
continuamente melhorada (ABNT, 2018).
Em linhas gerais, a eficácia do gerenciamento de riscos depende de quão 
bem-sucedida é sua implementação nas atividades internas de uma 
organização, principalmente pelos seus administradores. A estrutura de 
gerenciamento de riscos promove a integração desse gerenciamento às 
funções e aos processos significativos da organização. Os procedimentos 
e processos de gestão de risco, juntamente com as lacunas existentes, 
também são registrados, tratados e avaliados em uma estrutura, a qual 
inclui os seguintes componentes de gerenciamento de risco: integração, 
projeto, implementação, avaliação e melhoria (ALDENUCCI; SPINOSA; 
FAVARETTO, 2009).
40
Figura 1 – Estrutura de gerenciamento de risco organizacional
Fonte: elaborada pelo autor.
As atribuições da gestão organizacional e dos órgãos internos de 
fiscalização são a integração da gestão de riscos nas atividades 
organizacionais e a verificação do sucesso da implementação. Isso inclui 
adaptar os componentes da estrutura às necessidades da organização, 
definir um plano que inclua os recursos necessários e alocar as 
tarefas em todos os níveis da empresa. Em acordo, a administração 
é responsável por definir a estratégia global de tratamento do risco, 
enquanto os órgãos de supervisão estão mais preocupados em 
supervisionar a gestão de risco (PONTE, 2005).
Um pré-requisito importante para a integração bem-sucedida da gestão 
de riscos é a compreensão da organização interna da empresa. As 
partes da estrutura organizacional da empresa diferem em propósito, 
objetivo e complexidade, mas o risco é tratado em todas elas. Para lidar 
com os riscos, a administração da empresa determina a estratégia geral 
41
e as diretrizes individuais, bem como a obrigação de prestação de contas 
e supervisão. A integração da gestão de riscos é um processo dinâmico 
que deve ser constantemente adaptado aos objetivos e processos da 
empresa (ALDENUCCI; SPINOSA; FAVARETTO, 2009).
Ao projetar a estrutura, fatores específicos da empresa, internos e 
externos, devem ser levados em consideração. Os fatores externos 
incluem todas as questões sociais, legais, financeiras e econômicas 
em nível local, nacional e internacional que afetam os objetivos da 
organização. Além disso, fatores-chave externos e tendências devem 
ser tidos em conta. Relacionamentos com pessoas externas, obrigações 
contratuais, complexidade das redes e dependências da organização 
também estão entre os fatores externos (ABNT, 2018).
Os fatores internos são a visão, a missão e os valores, bem como a 
cultura da organização e sua estrutura interna. A distribuição das 
funções gerenciais e fiscalizadoras, as normas, as diretrizes e os modelos 
adotados e aplicados, bem como os recursos e capital disponíveis 
(incluindo capital humano) também são fatores internos relevantes. 
Além disso, a norma menciona os sistemas de informação e dados, as 
relações com os stakeholders internos e a concretização das relações e 
obrigações contratuais.
A direção da organização ou os órgãos de fiscalização devem 
comprometer-se com a gestão de risco a longo prazo, escrevendo 
objetivos, necessidades, responsabilidades, recursos necessários, 
procedimentos e medidas claramente definidos para rever e melhorar 
ainda mais o sistema de gestão de risco na empresa. Esses atores se 
comunicam dentro da organização e com os proprietários externos da 
empresa (MOKGOANTLE, 2012).
As funções de gerenciamento de risco relevantes devem ser distribuídas 
em todos os níveis da organização e claramente comunicadas aos 
funcionários responsáveis. Recursos, habilidades, competências, 
42
processos, métodos e ferramentas necessários para lidar com os riscos 
em conformidade também devem ser assegurados e alocados no 
nível superior, levando em consideração a escassez de recursos. Para 
garantir a eficácia do sistema de gestão de riscos na organização, é 
necessário estabelecer canais de comunicação e consulta adequados, 
que troquem de forma eficiente e atempada a informação geral, as 
tarefas concretas, bem como o feedback e as expectativas das partes 
interessadas em todos os níveis da empresa (ABNT, 2018). A informação 
que é eficientemente comunicada, ordenada, condensada e analisada 
dentro da organização contribui para que todas as atividades possam 
ser adaptadas umas às outras, ajudadas a moldar e melhoradas.
A partir disso, a implementação do quadro de gestão de risco deve 
começar com o desenvolvimento de um plano adequado, com medidas 
concretas e tendo em conta os recursos necessários. As decisões mais 
importantes devem determinar quando, onde, como e por quem os 
processos aplicáveis devem ser alterados. A implementação bem-
sucedida requer o envolvimento das partes interessadas para que o 
surgimento de incertezas possa ser abordado no processo de tomada 
de decisão, pois a estrutura de gerenciamento de riscos adequadamente 
planejada e implementada garante que o processo desse gerenciamento 
se torne parte das atividades de toda a organização e possa ser 
adaptado às mudanças nos contextos interno e externo (ABNT, 2018).
Para aproximar a estrutura de gerenciamento de riscos o máximo 
possível das atividades da organização e dos fatores internos e externos, 
sua eficácia deve ser avaliada regularmente (ABNT, 2018). As entregas 
devem ser comparadas com os propósitos planejados e os planos de 
implementação, a fim de determinar se a estrutura ainda é apropriada 
para atingir as metas organizacionais ou se precisa ser revisada para 
refletir as mudanças nas condições.
A estrutura de gestão de risco deve ser continuamente monitorada, e 
sua adequação e eficácia devem ser adaptadas às mudanças externas 
43
e internas. Se houver lacunas significativas ou oportunidades de 
aprimoramento, a organização deve desenvolver novos planos e 
tarefas concretas de melhoria e determinar as pessoas responsáveis 
por sua implementação. Após a melhoria e otimização do sistema, ele 
deve se adequar melhor às necessidades da organização e contribuir 
para a gestão de riscos. Assim, o processo de gestão de risco consiste 
na aplicação sistemática de políticas, procedimentos e processos às 
atividades de comunicação e consulta, bem como diz respeito a definir 
o contexto, avaliar, tratar, monitorar, revisar, registrar e relatar (ABNT, 
2018).
Enquanto isso, a comunicação serve para aumentar a conscientização 
sobre os riscos das partes interessadas, e a consulta fornece aos 
envolvidos informações para apoiar a tomada de decisões. Através 
de comunicação e consulta, por exemplo, é possível combinar 
conhecimentos interdisciplinares em todas as etapas do processo 
de gerenciamento de riscos e levar em consideração as diferentes 
perspectivas ao definir os critérios de risco e avaliar os riscos. Não 
obstante, o escopo das atividades de gerenciamento pode ser 
determinado pela organização, cujos objetivos relevantes e ajustes 
desempenham um papel importante, pois o processo deve ser 
aplicado em diferentes níveis. Assim, os contextos externos e internos 
do ambiente precisam ser levados em conta na definição das metas 
(MOKGOANTLE, 2012).
Compreender os dois contextos e incorporá-los ao seu processo de 
gerenciamento de riscos é importante para as organizações porque 
o propósito e o escopo podem ser vinculados aos objetivos gerais da 
empresa. A definição de critérios de risco deve estar alinhada com a 
estrutura de gestão de risco e adaptada ao objetivo específico e escopo 
das atividades. Além disso, os critérios de risco precisam incluir os 
valores, visto que a avaliação envolve o processo sistemático, iterativo 
e colaborativo de identificação de risco, análise de risco e avaliação de 
44
risco, usando o conhecimento e as visões das partes interessadas (ABNT, 
2018).
O objetivo da identificação de riscos