O gerenciamento de riscos é a identificação, avaliação e priorização de riscos (definidos na ISO 31000 como o efeito da incerteza sobre os objetivos), seguida pela aplicação coordenada e econômica de recursos para minimizar, monitorar e controlar a probabilidade ou o impacto de eventos infelizes[1] ou para maximizar a realização de oportunidades.

Os riscos podem vir de várias fontes, incluindo incerteza nos mercados internacionais, ameaças de falhas de projeto (em qualquer fase do projeto, desenvolvimento, produção ou manutenção de ciclos de vida), responsabilidades legais, risco de crédito, acidentes, causas naturais e desastres, ataque deliberado de um adversário ou eventos de causa raiz incerta ou imprevisível.

Existem dois tipos de eventos, ou seja, os eventos negativos podem ser classificados como riscos, enquanto os eventos positivos são classificados como oportunidades. Os padrões de gerenciamento de riscos foram desenvolvidos por várias instituições, incluindo o Project Management Institute, o National Institute of Standards and Technology, sociedades atuariais e padrões ISO (padrões de gerenciamento de qualidade para ajudar a trabalhar de forma mais eficiente e reduzir as falhas do produto). [2][3][4] Os métodos, definições e objectivos variam muito consoante o método de gestão de riscos se situe no contexto da gestão de projectos, da segurança, da engenharia, dos processos industriais, das carteiras financeiras, das avaliações actuariais ou da saúde e segurança públicas. Certas normas de gestão de riscos têm sido criticadas por não terem uma melhoria mensurável do risco, ao passo que a confiança nas estimativas e decisões parece aumentar. [1]

As estratégias para gerenciar ameaças (incertezas com consequências negativas) normalmente incluem evitar a ameaça, reduzir o efeito negativo ou a probabilidade da ameaça, transferir toda ou parte da ameaça para outra parte e até mesmo reter algumas ou todas as consequências potenciais ou reais de uma ameaça específica. O oposto dessas estratégias pode ser usado para responder a oportunidades (estados futuros incertos com benefícios).

Como um papel profissional, um gerente de risco [5] irá “supervisionar o abrangente programa de seguros e gerenciamento de riscos da organização, avaliando e identificando riscos que possam impedir a reputação, segurança, proteção ou sucesso financeiro da organização” e, em seguida, desenvolver planos para minimizar e / ou mitigar quaisquer resultados negativos (financeiros). Os analistas de risco [6] apoiam o lado técnico da abordagem de gerenciamento de riscos da organização: uma vez que os dados de risco tenham sido compilados e avaliados, os analistas compartilham suas descobertas com seus gerentes, que usam esses insights para decidir entre possíveis soluções. Consulte também Diretor de Riscos, auditoria interna e Gerenciamento de riscos financeiros § Finanças corporativas.

Introdução

A gestão de riscos aparece na literatura científica e de gestão desde a década de 1920. Tornou-se uma ciência formal na década de 1950, quando artigos e livros com “gerenciamento de risco” no título também aparecem em pesquisas em bibliotecas. [7] A maior parte da investigação estava inicialmente relacionada com finanças e seguros.

Um vocabulário amplamente utilizado para a gestão de riscos é definido pelo Guia ISO 73:2009, “Gestão de riscos. Vocabulário.” [2]

Na gestão de riscos ideal, segue-se um processo de priorização pelo qual os riscos com maior perda (ou impacto) e a maior probabilidade de ocorrência são tratados primeiro. Riscos com menor probabilidade de ocorrência e menor perda são tratados em ordem decrescente. Na prática, o processo de avaliação do risco global pode ser difícil, e o equilíbrio dos recursos utilizados para mitigar entre riscos com uma alta probabilidade de ocorrência, mas menor perda, versus um risco com alta perda, mas menor probabilidade de ocorrência, muitas vezes pode ser mal administrado.

O gerenciamento de riscos intangíveis identifica um novo tipo de risco que tem 100% de probabilidade de ocorrer, mas é ignorado pela organização devido à falta de capacidade de identificação. Por exemplo, quando o conhecimento deficiente é aplicado a uma situação, um risco de conhecimento se materializa. O risco de relacionamento aparece quando ocorre uma colaboração ineficaz. O risco de envolvimento do processo pode ser um problema quando procedimentos operacionais ineficazes são aplicados. Esses riscos reduzem diretamente a produtividade dos trabalhadores do conhecimento, diminuem a relação custo-benefício, a lucratividade, o serviço, a qualidade, a reputação, o valor da marca e a qualidade dos ganhos. A gestão de riscos intangíveis permite que a gestão de riscos crie valor imediato a partir da identificação e redução de riscos que reduzam a produtividade.

O custo de oportunidade representa um desafio único para os gerentes de risco. Pode ser difícil determinar quando colocar recursos no gerenciamento de riscos e quando usar esses recursos em outro lugar. Novamente, o gerenciamento de riscos ideal minimiza os gastos (ou mão de obra ou outros recursos) e também minimiza os efeitos negativos dos riscos.

O risco é definido como a possibilidade de ocorrer um evento que afete negativamente a realização de um objetivo. A incerteza, portanto, é um aspecto fundamental do risco. Sistemas como o Comitê de Organizações Patrocinadoras da Treadway Commission Enterprise Risk Management (COSO ERM), podem ajudar os gerentes a mitigar os fatores de risco. Cada empresa pode ter diferentes componentes de controle interno, o que leva a resultados diferentes. Por exemplo, a estrutura para componentes de ERM inclui Ambiente Interno, Definição de Objetivos, Identificação de Eventos, Avaliação de Riscos, Resposta a Riscos, Atividades de Controle, Informação e Comunicação e Monitoramento.

Riscos vs. oportunidades

As oportunidades aparecem pela primeira vez em pesquisas acadêmicas ou livros de gestão na década de 1990. O primeiro rascunho do PMBoK Project Management Body of Knowledge de 1987 não menciona oportunidades.

A moderna escola de gerenciamento de projetos reconhece a importância das oportunidades. As oportunidades foram incluídas na literatura de gerenciamento de projetos desde a década de 1990, por exemplo, no PMBoK, e se tornaram uma parte significativa do gerenciamento de riscos de projetos nos anos 2000,[8] quando artigos intitulados “gerenciamento de oportunidades” também começam a aparecer em pesquisas em bibliotecas. O gerenciamento de oportunidades, portanto, tornou-se uma parte importante do gerenciamento de riscos.

A moderna teoria de gerenciamento de riscos lida com qualquer tipo de eventos externos, positivos e negativos. Riscos positivos são chamados de oportunidades. Da mesma forma que os riscos, as oportunidades têm estratégias de mitigação específicas: explorar, compartilhar, aprimorar, ignorar.

Na prática, os riscos são considerados “geralmente negativos”. A pesquisa e a prática relacionadas ao risco se concentram significativamente mais nas ameaças do que nas oportunidades. Isso pode levar a fenômenos negativos, como a fixação do alvo[9]

MétodoEditar

Na maior parte, esses métodos consistem nos seguintes elementos, executados, mais ou menos, na seguinte ordem:

  1. Identifique as ameaças
  2. Avaliar a vulnerabilidade de ativos críticos a ameaças específicas
  3. Determinar o risco (ou seja, a probabilidade e as consequências esperadas de tipos específicos de ataques a ativos específicos)
  4. Identificar maneiras de reduzir esses riscos
  5. Priorize medidas de redução de riscos

A área de conhecimento em Gestão de Riscos, conforme definida pelo Corpo de Conhecimento de Gerenciamento de Projetos PMBoK, consiste nos seguintes processos:

  1. Plan Risk Management - definindo como conduzir as atividades de gerenciamento de riscos.
  2. Identificar Riscos - identificando riscos individuais do projeto, bem como fontes.
  3. Realizar Análise Qualitativa de Riscos - priorizando os riscos individuais do projeto, avaliando a probabilidade e o impacto.
  4. Realizar Análise Quantitativa de Risco - análise numérica dos efeitos.
  5. Planejar Respostas a Riscos - desenvolvimento de opções, seleção de estratégias e ações.
  6. Implementar Respostas ao Risco - implementar planos de resposta ao risco acordados. Na 4ª Ed. do PMBoK, esse processo foi incluído como uma atividade no processo de Monitor e Controle, mas posteriormente foi separado como um processo distinto no PMBoK 6th Ed.[10]
  7. Monitorar Riscos - monitorando a implementação. Esse processo era conhecido como Monitor e Controle na 4ª Ed. anterior do PMBoK, quando também incluía o processo “Implementar Respostas ao Risco”.

PrincípiosEditar

A Organização Internacional de Normalização (ISO) identifica os seguintes princípios de gestão de riscos:[11]

A gestão de riscos deve:

  • Criar valor – os recursos gastos para mitigar o risco devem ser menores do que a consequência da inação
  • Ser parte integrante dos processos organizacionais
  • Faça parte do processo de tomada de decisão
  • Abordar explicitamente a incerteza e os pressupostos
  • Ser um processo sistemático e estruturado
  • Basear-se nas melhores informações disponíveis
  • Seja adaptável
  • Leve em conta os fatores humanos
  • Seja transparente e inclusivo
  • Seja dinâmico, iterativo e responsivo às mudanças
  • Ser capaz de melhoria e aprimoramento contínuos
  • Ser contínua ou periodicamente reavaliado

Risco leve versus selvagemEditar

Benoit Mandelbrot distinguiu entre risco “leve” e “selvagem” e argumentou que a avaliação e o gerenciamento de riscos devem ser fundamentalmente diferentes para os dois tipos de risco. [12] O risco ligeiro segue distribuições de probabilidade normais ou quase normais, está sujeito a regressão à média e à lei dos grandes números e, por conseguinte, é relativamente previsível. O risco selvagem segue distribuições de cauda gorda, por exemplo, distribuições de Pareto ou lei de potência, está sujeito à regressão à cauda (média infinita ou variância, tornando a lei de grandes números inválida ou ineficaz) e, portanto, é difícil ou impossível de prever. Um erro comum na avaliação e gestão de riscos é subestimar a natureza selvagem do risco, assumindo que o risco é leve quando, na verdade, é selvagem, o que deve ser evitado para que a avaliação e o manejo de riscos sejam válidos e confiáveis, de acordo com Mandelbrot.

ProcessoEditar

De acordo com a norma ISO 31000 - “Gestão de riscos – Princípios e diretrizes sobre implementação”,[3] o processo de gerenciamento de riscos consiste em várias etapas da seguinte forma:

Estabelecendo o contextoEditar

Isso envolve:

  1. observando o contexto
    • o âmbito social da gestão de riscos
    • a identidade e os objetivos das partes interessadas
    • a base sobre a qual os riscos serão avaliados, restrições.
  2. definição de um quadro para a atividade e de uma agenda para a identificação
  3. desenvolver uma análise dos riscos envolvidos no processo
  4. mitigação ou solução de riscos utilizando os recursos tecnológicos, humanos e organizacionais disponíveis

IdentificaçãoEditar

Depois de estabelecer o contexto, o próximo passo no processo de gerenciamento de riscos é identificar riscos potenciais. Os riscos são sobre eventos que, quando desencadeados, causam problemas ou benefícios. Assim, a identificação de riscos pode começar com a fonte dos problemas e os dos concorrentes (benefício), ou com as consequências do problema.

  • Análise de fontes[13] – As fontes de risco podem ser internas ou externas ao sistema que é alvo da gestão de riscos (use mitigação em vez de gestão, uma vez que, por sua própria definição, o risco lida com fatores de tomada de decisão que não podem ser gerenciados).

Alguns exemplos de fontes de risco são: partes interessadas de um projeto, funcionários de uma empresa ou o clima sobre um aeroporto.

  • Análise de problemas[carece de fontes?] – Os riscos estão relacionados a ameaças identificadas. Por exemplo: a ameaça de perder dinheiro, a ameaça de abuso de informações confidenciais ou a ameaça de erros humanos, acidentes e vítimas. As ameaças podem existir com várias entidades, principalmente com acionistas, clientes e órgãos legislativos, como o governo.

Quando a origem ou o problema é conhecido, os eventos que uma fonte pode disparar ou os eventos que podem levar a um problema podem ser investigados. Por exemplo: as partes interessadas que se retiram durante um projeto podem pôr em perigo o financiamento do projeto; informações confidenciais podem ser roubadas por funcionários mesmo dentro de uma rede fechada; Um raio que atinge uma aeronave durante a decolagem pode fazer com que todas as pessoas a bordo tenham vítimas imediatas.

O método escolhido para identificar riscos pode depender da cultura, da prática da indústria e da conformidade. Os métodos de identificação são formados por modelos ou pelo desenvolvimento de modelos para identificação de origem, problema ou evento. Os métodos comuns de identificação de riscos são:

  • Identificação de risco baseada em objetivos[carece de fontes?] – Organizações e equipes de projeto têm objetivos. Qualquer evento que possa impedir que um objetivo seja alcançado é identificado como risco.
  • Identificação de risco baseada em cenário – Na análise de cenários, diferentes cenários são criados. Os cenários podem ser as formas alternativas de alcançar um objetivo, ou uma análise da interação de forças em, por exemplo, um mercado ou batalha. Qualquer evento que desencadeie uma alternativa de cenário indesejado é identificado como risco – veja Estudos de Futuros para a metodologia usada pelos futuristas.
  • Identificação de risco baseada em taxonomia – A taxonomia na identificação de risco baseada em taxonomia é uma discriminação de possíveis fontes de risco. Com base na taxonomia e no conhecimento das melhores práticas, é elaborado um questionário. As respostas às perguntas revelam riscos. [14]
  • Verificação de riscos comuns[15] – Em vários setores, listas com riscos conhecidos estão disponíveis. Cada risco na lista pode ser verificado quanto à aplicação a uma situação específica. [16]
  • Gráficos de risco[17] – Este método combina as abordagens acima, listando recursos em risco, ameaças a esses recursos, modificando fatores que podem aumentar ou diminuir o risco e as consequências que se deseja evitar. A criação de uma matriz sob esses títulos permite uma variedade de abordagens. Pode-se começar com os recursos e considerar as ameaças a que estão expostos e as consequências de cada um. Alternativamente, pode-se começar com as ameaças e examinar quais recursos elas afetariam, ou pode-se começar com as consequências e determinar qual combinação de ameaças e recursos estaria envolvida para trazê-las à tona.

AvaliaçãoEditar

Uma vez identificados os riscos, estes devem então ser avaliados quanto à sua potencial gravidade de impacto (geralmente um impacto negativo, como danos ou perdas) e à probabilidade de ocorrência. Essas quantidades podem ser simples de medir, no caso do valor de um edifício perdido, ou impossíveis de saber com certeza no caso de um evento improvável, cuja probabilidade de ocorrência é desconhecida. Portanto, no processo de avaliação é fundamental tomar as decisões mais bem fundamentadas, a fim de priorizar adequadamente a implementação do plano de gerenciamento de riscos.

Mesmo uma melhoria positiva de curto prazo pode ter impactos negativos a longo prazo. Tomemos o exemplo do “turnpike”. Uma rodovia é alargada para permitir mais tráfego. Uma maior capacidade de tráfego conduz a um maior desenvolvimento nas zonas circundantes à melhoria da capacidade de tráfego. Com o tempo, o tráfego aumenta para preencher a capacidade disponível. Os turnpikes, portanto, precisam ser expandidos em ciclos aparentemente intermináveis. Existem muitos outros exemplos de engenharia em que a capacidade expandida (para fazer qualquer função) é logo preenchida pelo aumento da demanda. Como a expansão tem um custo, o crescimento resultante pode se tornar insustentável sem previsão e gerenciamento.

A dificuldade fundamental na avaliação dos riscos é determinar a taxa de ocorrência, uma vez que a informação estatística não está disponível sobre todos os tipos de incidentes passados e é particularmente escassa no caso de eventos catastróficos, simplesmente devido à sua infrequência. Além disso, avaliar a gravidade das consequências (impacto) é muitas vezes bastante difícil para os ativos intangíveis. A avaliação de ativos é outra questão que precisa ser abordada. Assim, as opiniões mais bem educadas e as estatísticas disponíveis são as principais fontes de informação. No entanto, a avaliação de riscos deve produzir tais informações para os executivos seniores da organização de que os riscos primários são fáceis de entender e que as decisões de gerenciamento de riscos podem ser priorizadas dentro dos objetivos gerais da empresa. Assim, tem havido várias teorias e tentativas de quantificar os riscos. Existem inúmeras fórmulas de risco diferentes, mas talvez a fórmula mais amplamente aceita para quantificação de risco seja: “Taxa (ou probabilidade) de ocorrência multiplicada pelo impacto do evento é igual à magnitude do risco”. [vago]

Opções de riscoEditar

As medidas de mitigação de riscos são geralmente formuladas de acordo com uma ou mais das seguintes opções de risco principais, que são:

  1. Projete um novo processo de negócios com controle de risco integrado adequado e medidas de contenção desde o início.
  2. Reavalie periodicamente os riscos que são aceitos nos processos em andamento como uma característica normal das operações de negócios e modifique as medidas de mitigação.
  3. Transferir riscos para uma agência externa (por exemplo, uma companhia de seguros)
  4. Evitar completamente os riscos (por exemplo, fechando uma área de negócios específica de alto risco)

Pesquisas posteriores[18] mostraram que os benefícios financeiros da gestão de riscos são menos dependentes da fórmula utilizada, mas são mais dependentes da frequência e da forma como a avaliação de riscos é realizada.

Nos negócios, é imperativo ser capaz de apresentar os resultados das avaliações de risco em termos financeiros, de mercado ou de cronograma. Robert Courtney Jr. (IBM, 1970) propôs uma fórmula para apresentar riscos em termos financeiros. A fórmula de Courtney foi aceita como o método oficial de análise de risco para as agências governamentais dos EUA. A fórmula propõe o cálculo do ALE (expectativa de perda anualizada) e compara o valor da perda esperada com os custos de implementação do controle de segurança (análise de custo-benefício).

Tratamentos de risco potencialEditar

Uma vez identificados e avaliados os riscos, todas as técnicas para gerir o risco enquadram-se numa ou mais destas quatro categorias principais:[19]

  • Evitação (eliminar, retirar-se ou não envolver-se)
  • Redução (otimizar – mitigar)
  • Compartilhamento (transferência – terceirizar ou segurar)
  • Retenção (aceitação e orçamento)

O uso ideal dessas estratégias de controle de risco pode não ser possível. Alguns deles podem envolver trade-offs que não são aceitáveis para a organização ou pessoa que toma as decisões de gerenciamento de risco. Outra fonte, do Departamento de Defesa dos EUA (veja o link), Defense Acquisition University, chama essas categorias de ACAT, para Evitar, Controlar, Aceitar ou Transferir. Esse uso da sigla ACAT é uma reminiscência de outra ACAT (para Categoria de Aquisição) usada em aquisições da indústria de Defesa dos EUA, na qual a Gestão de Riscos figura de forma proeminente na tomada de decisões e planejamento.

Da mesma forma que os riscos, as oportunidades têm estratégias de mitigação específicas: explorar, compartilhar, aprimorar, ignorar.

Prevenção de riscosEditar

Isso inclui não realizar uma atividade que possa apresentar risco. Recusar-se a comprar uma propriedade ou empresa para evitar a responsabilidade legal é um desses exemplos. Evitar voos de avião por medo de sequestro. Evitar pode parecer a resposta para todos os riscos, mas evitar riscos também significa perder o ganho potencial que aceitar (reter) o risco pode ter permitido. Não entrar em um negócio para evitar o risco de perda também evita a possibilidade de obter lucros. O aumento da regulação do risco nos hospitais levou a evitar o tratamento de condições de maior risco, em favor de pacientes que apresentam menor risco. [20]

Redução de riscosEditar

A redução do risco ou “otimização” envolve a redução da gravidade da perda ou a probabilidade de a perda ocorrer. Por exemplo, os sprinklers são projetados para apagar um incêndio para reduzir o risco de perda por incêndio. Este método pode causar uma maior perda por danos causados pela água e, portanto, pode não ser adequado. Os sistemas de supressão de incêndio Halon podem mitigar esse risco, mas o custo pode ser proibitivo como estratégia.

Reconhecendo que os riscos podem ser positivos ou negativos, otimizar os riscos significa encontrar um equilíbrio entre o risco negativo e o benefício da operação ou atividade; e entre a redução do risco e o esforço aplicado. Ao aplicar efetivamente os padrões de gerenciamento de Saúde, Segurança e Meio Ambiente (HSE), as organizações podem alcançar níveis toleráveis de risco residual. [21]

As metodologias modernas de desenvolvimento de software reduzem o risco desenvolvendo e fornecendo software de forma incremental. As metodologias iniciais sofriam com o fato de que só entregavam software na fase final de desenvolvimento; quaisquer problemas encontrados em fases anteriores significavam retrabalho dispendioso e muitas vezes colocavam em risco todo o projeto. Ao desenvolver em iterações, os projetos de software podem limitar o esforço desperdiçado a uma única iteração.

A terceirização pode ser um exemplo de estratégia de compartilhamento de riscos se o terceirizado puder demonstrar maior capacidade de gerenciar ou reduzir riscos. [22] Por exemplo, uma empresa pode terceirizar apenas seu desenvolvimento de software, a fabricação de bens duráveis ou as necessidades de suporte ao cliente para outra empresa, enquanto lida com a própria gestão do negócio. Dessa forma, a empresa pode se concentrar mais no desenvolvimento de negócios sem ter que se preocupar tanto com o processo de fabricação, gerenciar a equipe de desenvolvimento ou encontrar um local físico para um centro. Além disso, a implantação de controles também pode ser uma opção na redução do risco. Controles que detectam causas de eventos indesejados antes das consequências que ocorrem durante o uso do produto ou detecção das causas raiz de falhas indesejadas que a equipe pode evitar. Os controles podem se concentrar em processos de gerenciamento ou tomada de decisão. Tudo isso pode ajudar a tomar melhores decisões em relação ao risco. [23]

Partilha de riscosEditar

Brevemente definido como “compartilhar com outra parte o ônus da perda ou o benefício do ganho, de um risco, e as medidas para reduzir um risco”.

O termo “transferência de risco” é frequentemente usado no lugar da partilha de riscos, na crença errada de que você pode transferir um risco para um terceiro por meio de seguros ou terceirização. Na prática, se a companhia de seguros ou o contratante forem à falência ou acabarem em tribunal, é provável que o risco original continue a reverter para a primeira parte. Como tal, na terminologia de profissionais e estudiosos, a compra de um contrato de seguro é frequentemente descrita como uma “transferência de risco”. No entanto, tecnicamente falando, o comprador do contrato geralmente retém a responsabilidade legal pelas perdas “transferidas”, o que significa que o seguro pode ser descrito com mais precisão como um mecanismo de compensação pós-evento. Por exemplo, uma apólice de seguro de danos pessoais não transfere o risco de um acidente de carro para a companhia de seguros. O risco continua a ser do tomador do seguro, ou seja, da pessoa que esteve no acidente. A apólice de seguro simplesmente prevê que, se ocorrer um acidente (o evento) envolvendo o segurado, então alguma compensação pode ser paga ao segurado que é proporcional ao sofrimento / dano.

Os métodos de gerenciamento de risco se enquadram em várias categorias. Os pools de retenção de risco estão tecnicamente retendo o risco para o grupo, mas espalhá-lo por todo o grupo envolve a transferência entre membros individuais do grupo. Isso é diferente do seguro tradicional, na medida em que nenhum prêmio é trocado entre os membros do grupo antecipadamente, mas, em vez disso, as perdas são avaliadas para todos os membros do grupo.

Retenção de riscosEditar

A retenção de risco envolve aceitar a perda, ou benefício de ganho, de um risco quando o incidente ocorre. O verdadeiro auto-seguro se enquadra nessa categoria. A retenção de riscos é uma estratégia viável para pequenos riscos, em que o custo do seguro contra o risco seria maior ao longo do tempo do que as perdas totais sofridas. Todos os riscos que não são evitados ou transferidos são retidos por padrão. Isso inclui riscos que são tão grandes ou catastróficos que não podem ser segurados ou os prêmios seriam inviáveis. A guerra é um exemplo, uma vez que a maioria dos bens e riscos não são segurados contra a guerra, de modo que a perda atribuída à guerra é retida pelo segurado. Além disso, quaisquer quantidades de perda potencial (risco) sobre o montante segurado são risco retido. Isso também pode ser aceitável se a chance de uma perda muito grande for pequena ou se o custo para garantir maiores valores de cobertura for tão grande que isso prejudicaria demais os objetivos da organização.

Plano de gestão de riscosEditar

Selecione controles ou contramedidas apropriadas para mitigar cada risco. A mitigação de riscos precisa ser aprovada pelo nível apropriado de gerenciamento. Por exemplo, um risco relativo à imagem da organização deve ter uma decisão de alta gerência por trás dele, enquanto o gerenciamento de TI teria autoridade para decidir sobre os riscos de vírus de computador.

O plano de gestão dos riscos deve propor controlos de segurança aplicáveis e eficazes para a gestão dos riscos. Por exemplo, um alto risco observado de vírus de computador pode ser mitigado pela aquisição e implementação de software antivírus. Um bom plano de gestão dos riscos deve conter um calendário para a execução do controlo e pessoas responsáveis por essas acções. Existem quatro etapas básicas do plano de gerenciamento de riscos, que são avaliação de ameaças, avaliação de vulnerabilidade, avaliação de impacto e desenvolvimento de estratégias de mitigação de riscos. [24]

De acordo com a ISO/IEC 27001, a etapa imediatamente após a conclusão da fase de avaliação de riscos consiste na preparação de um Plano de Tratamento de Riscos, que deve documentar as decisões sobre como cada um dos riscos identificados deve ser tratado. A mitigação de riscos geralmente significa a seleção de controles de segurança, que devem ser documentados em uma Declaração de Aplicabilidade, que identifica quais objetivos e controles de controle específicos do padrão foram selecionados, e por quê.

ImplementaçãoEditar

A implementação segue todos os métodos planejados para mitigar o efeito dos riscos. Compre apólices de seguro para os riscos que foi decidido transferir para uma seguradora, evite todos os riscos que possam ser evitados sem sacrificar os objetivos da entidade, reduza outros e retenha o restante.

Revisão e avaliação do planoEditar

Os planos iniciais de gestão de riscos nunca serão perfeitos. A prática, a experiência e os resultados reais de perdas exigirão mudanças no plano e contribuirão com informações para permitir que possíveis decisões diferentes sejam tomadas ao lidar com os riscos enfrentados.

Os resultados da análise de risco e os planos de gestão devem ser atualizados periodicamente. Há duas razões principais para isso:

  1. para avaliar se os controles de segurança selecionados anteriormente ainda são aplicáveis e eficazes
  2. para avaliar as possíveis mudanças no nível de risco no ambiente de negócios. Por exemplo, os riscos de informação são um bom exemplo de ambiente de negócios em rápida mudança.

ÁreasEditar

EmpresaEditar

Na gestão de riscos empresariais, um risco é definido como um possível evento ou circunstância que pode ter influências negativas na empresa em questão. Seu impacto pode ser sobre a própria existência, os recursos (humanos e de capital), os produtos e serviços, ou os clientes da empresa, bem como impactos externos na sociedade, mercados ou meio ambiente. Numa instituição financeira, a gestão do risco empresarial é normalmente considerada como a combinação de risco de crédito, risco de taxa de juro ou gestão de passivos activos, risco de liquidez, risco de mercado e risco operacional.

No caso mais geral, todo risco provável pode ter um plano pré-formulado para lidar com suas possíveis consequências (para garantir a contingência se o risco se tornar um passivo).

A partir das informações acima e do custo médio por funcionário ao longo do tempo, ou da taxa de competência de custos, um gerente de projeto pode estimar:

  • o custo associado ao risco, se este surgir, estimado multiplicando os custos dos trabalhadores por unidade de tempo pelo tempo estimado perdido (impacto nos custos, C em que C = razão de competência dos custos * S).
  • o provável aumento no tempo associado a um risco (variação do cronograma devido ao risco, Rs onde Rs = P * S):
    • A classificação nesse valor coloca os maiores riscos para o cronograma primeiro. Isso destina-se a fazer com que os maiores riscos para o projeto sejam tentados primeiro, para que o risco seja minimizado o mais rápido possível.
    • Isso é um pouco enganador_, pois as variações de cronograma_ com um P grande e um S pequeno e vice-versa não são equivalentes. (O risco de o RMS Titanic afundar versus as refeições dos passageiros serem servidas na hora ligeiramente errada).
  • o provável aumento do custo associado a um risco (variação de custo devido ao risco, Rc onde Rc = P*C = P*CAR*S = P*S*CAR)
    • A classificação nesse valor coloca os maiores riscos para o orçamento em primeiro lugar.
    • veja as preocupações com a variância do cronograma, pois isso é uma função dele, como ilustrado na equação acima.

O risco em um projeto ou processo pode ser devido à Variação de Causa Especial ou à Variação de Causa Comum e requer tratamento adequado. Trata-se de reiterar a preocupação de que os casos extremos não sejam equivalentes na lista imediatamente acima.

FinanciarEditar

Conforme aplicado às finanças, o gerenciamento de riscos diz respeito às técnicas e práticas para medir, monitorar e controlar o risco de mercado, o risco de crédito e o risco operacional no balanço patrimonial de uma empresa, na carteira de negociação de um banco ou no valor da carteira de um gestor de fundos.

Tecnologia da informaçãoEditar

Na tecnologia da informação, o gerenciamento de riscos inclui “Tratamento de Incidentes”, um plano de ação para lidar com invasões, roubo cibernético, negação de serviço, incêndio, inundações e outros eventos relacionados à segurança. De acordo com o SANS Institute, é um processo de seis etapas: Preparação, Identificação, Contenção, Erradicação, Recuperação e Lições Aprendidas. [25]

Gestão de riscos contratuaisEditar

O conceito de “gestão de riscos contratuais” enfatiza a utilização de técnicas de gestão de riscos na implantação de contratos, ou seja, a gestão dos riscos que são aceites através da celebração de um contrato. O acadêmico norueguês Petri Keskitalo define “gerenciamento de riscos contratuais” como “um método de contratação prático, proativo e sistemático que usa o planejamento e a governança de contratos para gerenciar riscos ligados às atividades comerciais”. [26] Em um artigo de Samuel Greengard publicado em 2010, dois casos legais dos EUA são mencionados que enfatizam a importância de ter uma estratégia para lidar com o risco:[27]

  • UDC v. CH2M Hill, que lida com o risco para um consultor profissional que assina uma cláusula de indenização, incluindo a aceitação de um dever de defesa, que pode, assim, assumir os custos legais de defender um cliente sujeito a uma reivindicação de terceiros,[28]
  • Witt v. La Gorce Country Club, que trata da eficácia de uma cláusula de limitação de responsabilidade, que pode, em certas jurisdições, ser considerada ineficaz. [29]

Greengard recomenda o uso da linguagem contratual padrão da indústria, tanto quanto possível, para reduzir o risco o máximo possível e confiar em cláusulas que estão em uso e sujeitas a interpretação judicial estabelecida ao longo de vários anos. [27]

AlfândegaEditar

A gestão dos riscos aduaneiros está relacionada com os riscos que surgem no contexto do comércio internacional e que têm uma influência sobre a segurança, incluindo o risco de as drogas ilícitas e as mercadorias de contrafação poderem atravessar as fronteiras e o risco de as remessas e o seu conteúdo serem incorretamente declarados. [30] A União Europeia adotou um Quadro de Gestão dos Riscos Aduaneiros (CRMF) aplicável em toda a União e em todos os seus Estados-Membros, cujos objetivos incluem o estabelecimento de um nível comum de proteção do controlo aduaneiro e um equilíbrio entre os objetivos de controlo aduaneiro seguro e a facilitação do comércio legítimo. [31]

Instituições de memória (museus, bibliotecas e arquivos)Editar

Segurança empresarialEditar

O ESRM é uma abordagem de gerenciamento de programas de segurança que vincula as atividades de segurança à missão e aos objetivos de negócios de uma empresa por meio de métodos de gerenciamento de riscos. O papel do líder de segurança no ESRM é gerenciar riscos de danos aos ativos da empresa em parceria com os líderes empresariais cujos ativos estão expostos a esses riscos. O ESRM envolve a educação dos líderes empresariais sobre os impactos realistas dos riscos identificados, a apresentação de estratégias potenciais para mitigar esses impactos e, em seguida, a promulgação da opção escolhida pela empresa de acordo com os níveis aceitos de tolerância ao risco empresarial[32]

Dispositivos médicosEditar

Para os dispositivos médicos, a gestão de riscos é um processo para identificar, avaliar e mitigar os riscos associados a danos às pessoas e danos à propriedade ou ao meio ambiente. A gestão de riscos é parte integrante da conceção e desenvolvimento de dispositivos médicos, dos processos de produção e da avaliação da experiência no terreno, e é aplicável a todos os tipos de dispositivos médicos. A evidência de sua aplicação é exigida pela maioria dos órgãos reguladores, como a FDA dos EUA. A gestão de riscos para dispositivos médicos é descrita pela Organização Internacional de Normalização (ISO) na ISO 14971:2019, Medical Devices – The application of risk management to medical devices, a product safety standard. A norma fornece uma estrutura de processo e requisitos associados para responsabilidades de gerenciamento, análise e avaliação de riscos, controles de risco e gerenciamento de riscos do ciclo de vida. Orientações sobre a aplicação da norma estão disponíveis via ISO/TR 24971:2020.

A versão europeia da norma de gestão de riscos foi atualizada em 2009 e novamente em 2012 para se referir à revisão da Diretiva de Dispositivos Médicos (MDD) e da Diretiva de Dispositivos Médicos Implantáveis Ativos (AIMDD) em 2007, bem como da Diretiva de Dispositivos Médicos In Vitro (IVDD). Os requisitos da EN 14971:2012 são quase idênticos aos da ISO 14971:2007. As diferenças incluem três anexos Z “(informativos)” que se referem aos novos MDD, AIDD e IVDD. Esses anexos indicam desvios de conteúdo que incluem o requisito de que os riscos sejam reduzidos o máximo possível e o requisito de que os riscos sejam mitigados por meio de projeto e não por rotulagem no dispositivo médico (ou seja, a rotulagem não pode mais ser usada para mitigar o risco).

As técnicas típicas de análise e avaliação de riscos adotadas pela indústria de dispositivos médicos incluem análise de perigos, análise de árvore de falhas (FTA), análise de modo e efeitos de falha (FMEA), estudo de perigo e operacionalidade (HAZOP) e análise de rastreabilidade de risco para garantir que os controles de risco sejam implementados e eficazes (ou seja, rastreando os riscos identificados de acordo com os requisitos do produto, especificações de projeto, verificação e resultados de validação, etc.). A análise FTA requer software de diagramação. A análise FMEA pode ser feita usando um programa de planilha. Existem também soluções integradas de gestão de riscos de dispositivos médicos.

Através de um rascunho de orientação, a FDA introduziu outro método chamado “Caso de Garantia de Segurança” para análise de garantia de segurança de dispositivos médicos. O caso da garantia de segurança é um argumento estruturado que argumenta sobre sistemas apropriados para cientistas e engenheiros, apoiado por um corpo de evidências, que fornece um caso convincente, compreensível e válido de que um sistema é seguro para uma determinada aplicação em um determinado ambiente. Com as orientações, espera-se um caso de garantia de segurança para dispositivos críticos de segurança (por exemplo, dispositivos de perfusão) como parte da apresentação da autorização de pré-comercialização, por exemplo, 510(k). Em 2013, a FDA introduziu outro projeto de orientação esperando que os fabricantes de dispositivos médicos enviassem informações de análise de risco de segurança cibernética.

Gerência de projetosEditar

O gerenciamento de riscos do projeto deve ser considerado nas diferentes fases de aquisição. No início de um projeto, o avanço dos desenvolvimentos técnicos, ou ameaças apresentadas pelos projetos de um concorrente, pode causar uma avaliação de risco ou ameaça e subsequente avaliação de alternativas (ver Análise de Alternativas). Uma vez que uma decisão é tomada e o projeto iniciado, aplicativos de gerenciamento de projetos mais familiares podem ser usados:[33][34][35]

  • Planejar como o risco será gerenciado no projeto em particular. Os planos devem incluir tarefas de gerenciamento de riscos, responsabilidades, atividades e orçamento.
  • Atribuir um responsável pelo risco – um membro da equipe que não seja um gerente de projeto que seja responsável por prever possíveis problemas do projeto. A característica típica do agente de risco é um ceticismo saudável.
  • Manutenção de banco de dados de risco de projeto em tempo real. Cada risco deve ter os seguintes atributos: data de abertura, título, breve descrição, probabilidade e importância. Opcionalmente, um risco pode ter uma pessoa designada responsável pela sua resolução e uma data até à qual o risco deve ser resolvido.
  • Criação de canal de denúncia de risco anônimo. Cada membro da equipe deve ter a possibilidade de relatar os riscos que ele / ela prevê no projeto.
  • Preparar planos de mitigação para os riscos que são escolhidos para serem mitigados. O objetivo do plano de mitigação é descrever como esse risco específico será tratado – o que, quando, por quem e como isso será feito para evitá-lo ou minimizar as consequências se ele se tornar um passivo.
  • Resumir os riscos planejados e enfrentados, a eficácia das atividades de mitigação e o esforço gasto para o gerenciamento de riscos.

Megaprojetos (infraestrutura)Editar

Megaprojetos (às vezes também chamados de “grandes programas”) são projetos de investimento em grande escala, normalmente custando mais de US $ 1 bilhão por projeto. Os megaprojetos incluem grandes pontes, túneis, rodovias, ferrovias, aeroportos, portos marítimos, usinas de energia, barragens, projetos de águas residuais, esquemas de proteção contra inundações costeiras, projetos de extração de petróleo e gás natural, edifícios públicos, sistemas de tecnologia da informação, projetos aeroespaciais e sistemas de defesa. Os megaprojetos demonstraram ser particularmente arriscados em termos de finanças, segurança e impactos sociais e ambientais. A gestão de riscos é, portanto, particularmente pertinente para megaprojetos e métodos especiais e educação especial foram desenvolvidos para essa gestão de riscos. [36]

Desastres naturaisEditar

É importante avaliar o risco em relação a desastres naturais, como inundações, terremotos e assim por diante. Os resultados da avaliação de risco de desastres naturais são valiosos ao considerar os custos futuros de reparo, as perdas por interrupção de negócios e outros tempos de inatividade, os efeitos no meio ambiente, os custos de seguro e os custos propostos de redução do risco. [37][38] O Quadro de Sendai para a Redução do Risco de Catástrofes é um acordo internacional de 2015 que estabeleceu objetivos e metas para a redução do risco de catástrofes em resposta a catástrofes naturais. [39] Realizam-se regularmente Conferências Internacionais sobre Catástrofes e Riscos em Davos, para tratar da gestão integral dos riscos.

Várias ferramentas podem ser usadas para avaliar o risco e o gerenciamento de riscos de desastres naturais e outros eventos climáticos, incluindo a modelagem geoespacial, um componente-chave da ciência da mudança de terra. Essa modelagem requer uma compreensão das distribuições geográficas das pessoas, bem como a capacidade de calcular a probabilidade de ocorrência de um desastre natural.

MatoEditar

A gestão de riscos para pessoas e propriedades em áreas selvagens e naturais remotas desenvolveu-se com o aumento da participação em recreação ao ar livre e diminuição da tolerância social à perda. As organizações que fornecem experiências comerciais na natureza selvagem podem agora alinhar-se com os padrões de consenso nacionais e internacionais para treinamento e equipamentos, como ANSI / NASBLA 101-2017 (navegação),[40] UIAA 152 (ferramentas de escalada no gelo),[41] e Norma Europeia 13089: 2015 + A1: 2015 (equipamento de montanhismo). [42][43] A Associação de Educação Experiencial oferece acreditação para programas de aventura no deserto. [44] A Conferência de Gestão de Riscos da Natureza Selvagem fornece acesso às melhores práticas, e as organizações especializadas fornecem consultoria e formação em gestão de riscos na natureza selvagem. [45]

O texto Outdoor Safety - Risk Management for Outdoor Leaders,[46] publicado pelo Conselho de Segurança das Montanhas da Nova Zelândia, fornece uma visão da gestão de riscos da natureza selvagem a partir da perspectiva da Nova Zelândia, reconhecendo o valor da legislação nacional de segurança ao ar livre e dedicando considerável atenção aos papéis dos processos de julgamento e tomada de decisão na gestão de riscos da natureza selvagem.

Um modelo popular para avaliação de risco é o Modelo de Avaliação de Risco e Gerenciamento de Segurança (RASM) desenvolvido por Rick Curtis, autor do The Backpacker’s Field Manual. [47] A fórmula para o Modelo RASM é: Risco = Probabilidade de Acidente × Gravidade das Consequências. O Modelo RASM pesa o risco negativo – o potencial de perda, contra o risco positivo – o potencial de crescimento.

Tecnologia da informaçãoEditar

Ver artigo principal: Gerenciamento de riscos de TI

O risco de TI é um risco relacionado à tecnologia da informação. Este é um termo relativamente novo devido a uma crescente conscientização de que a segurança da informação é simplesmente uma faceta de uma infinidade de riscos que são relevantes para a TI e os processos do mundo real que ela suporta. “A segurança cibernética está intimamente ligada ao avanço da tecnologia. Demora apenas o tempo suficiente para que incentivos como mercados negros evoluam e novas explorações sejam descobertas. Não há fim à vista para o avanço da tecnologia, por isso podemos esperar o mesmo da segurança cibernética”. [48]

A estrutura de TI de Risco da ISACA vincula o risco de TI ao gerenciamento de riscos corporativos.

A Análise de Risco do Dever de Cuidado (DoCRA)[49] avalia os riscos e as suas salvaguardas e considera os interesses de todas as partes potencialmente afetadas por esses riscos.

Petróleo e gás naturalEditar

Para a indústria offshore de petróleo e gás, o gerenciamento de riscos operacionais é regulado pelo regime de casos de segurança em muitos países. As ferramentas e técnicas de identificação de perigos e avaliação de riscos estão descritas na norma internacional ISO 17776:2000, e organizações como o CID (Associação Internacional de Empreiteiros de Perfuração) publicam diretrizes para o desenvolvimento de casos de Saúde, Segurança e Meio Ambiente (HSE) que são baseadas na norma ISO. Além disso, representações diagramáticas de eventos perigosos são frequentemente esperadas pelos reguladores governamentais como parte do gerenciamento de riscos em submissões de casos de segurança; estes são conhecidos como diagramas de gravata borboleta (ver Teoria das redes na avaliação de riscos). A técnica também é usada por organizações e reguladores em mineração, aviação, saúde, defesa, industrial e finanças.

Setor farmacêuticoEditar

Os princípios e ferramentas para a gestão de riscos de qualidade estão sendo cada vez mais aplicados a diferentes aspectos dos sistemas de qualidade farmacêutica. Esses aspectos incluem processos de desenvolvimento, fabricação, distribuição, inspeção e submissão/revisão ao longo do ciclo de vida de substâncias medicamentosas, medicamentos, produtos biológicos e biotecnológicos (incluindo o uso de matérias-primas, solventes, excipientes, materiais de embalagem e rotulagem em produtos farmacêuticos, produtos biológicos e biotecnológicos). O gerenciamento de riscos também é aplicado à avaliação da contaminação microbiológica em relação a produtos farmacêuticos e ambientes de fabricação de salas limpas. [50]

Comunicação de riscosEditar

A comunicação de riscos é um campo acadêmico interdisciplinar complexo que faz parte do gerenciamento de riscos e está relacionado a campos como a comunicação de crises. O objetivo é garantir que o público-alvo entenda como os riscos afetam a eles ou suas comunidades, apelando para seus valores. [51][52]

A comunicação dos riscos é particularmente importante na preparação para catástrofes,[53] na saúde pública[54] e na preparação para grandes riscos catastróficos a nível mundial. [53] Por exemplo, os impactos das alterações climáticas e os riscos climáticos afectam todas as partes da sociedade, pelo que comunicar esse risco é uma prática importante de comunicação climática, para que as sociedades planeiem a adaptação às alterações climáticas. [55] Do mesmo modo, na prevenção de pandemias, a compreensão do risco ajuda as comunidades a travar a propagação de doenças e a melhorar as respostas. [56]

A comunicação de riscos lida com possíveis riscos e visa aumentar a conscientização sobre esses riscos para incentivar ou persuadir mudanças de comportamento para aliviar ameaças a longo prazo. Por outro lado, a comunicação de crise visa aumentar a conscientização sobre um tipo específico de ameaça, a magnitude, os resultados e os comportamentos específicos a serem adotados para reduzir a ameaça. [57]

A comunicação de riscos em matéria de segurança alimentar faz parte do quadro de análise de riscos. Juntamente com a avaliação e a gestão dos riscos, a comunicação dos riscos visa reduzir as doenças transmitidas pelos alimentos. A comunicação dos riscos para a segurança alimentar é uma actividade obrigatória para as autoridades de segurança alimentar[58] nos países que adoptaram o Acordo sobre a Aplicação de Medidas Sanitárias e Fitossanitárias.

A comunicação de riscos também existe em menor escala. Por exemplo, os riscos associados às decisões médicas pessoais devem ser comunicados a esse indivíduo junto com sua família. [59]

Ver tambémEditar

ReferênciasEditar

  1. ^ Jump up to: um b Hubbard, Douglas (2009). O Fracasso do Gerenciamento de Riscos: Por que ele está quebrado e como corrigi-lo. John Wiley & Sons. pág. 46.
  2. ^ Jump up to: um b Guia ISO/IEC 73:2009 (2009). Gestão de riscos — Vocabulário. Organização Internacional de Normalização.
  3. ^ Jump up to: um b ISO/DIS 31000 (2018). Gestão de riscos — Princípios e diretrizes sobre a implementação. Organização Internacional de Normalização.
  4. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-4 “Jump up”) ISO 31000:2018 - Gestão de riscos - Um Guia Prático (1 ed.). ISO, UNIDO. 2021. ISBN 978-92-67-11233-6. Consultado em 17 de dezembro de 2021
  5. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-5 “Jump up”) Sociedade “Gestora de Riscos” para a Gestão de Recursos Humanos
  6. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-6 “Jump up”) “O que são analistas de risco e gerentes de risco?”, CFA Institute
  7. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-7 “Jump up”) Dionne, Georges (2013). “Gestão de Riscos: História, Definição e Crítica: Gestão de Riscos”. Gestão de Riscos e Revisão de Seguros. 16 (2): 147–166. DOI:10.1111/rmir.12016. 2 S154679294CID.
  8. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-8 “Jump up”) “A ascensão do risco”. www.pmi.org. Consultado em 2021-12-13.
  9. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-9 “Jump up”) “Fixação de metas na gestão de riscos. Argumentos para o lado bom do risco”. Stefan Morcov. 2021. Consultado em 2021-12-13.``: CS1 maint: url-status (link)
  10. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-Morcov2021_10-0 “Jump up”) Morcov, Stefan (2021). Gerenciando Complexidade Positiva e Negativa: Projeto e Validação de uma Estrutura de Gerenciamento de Complexidade de Projetos de TI. Universidade KU Leuven. Disponível em https://lirias.kuleuven.be/retrieve/637007
  11. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-iso3100_11-0 “Jump up”) “Rascunho do Comitê de Gerenciamento de Riscos ISO 31000” (PDF). Organização Internacional de Normalização. 2007-06-15. Arquivado do original (PDF) em 2009-03-25.
  12. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-12 “Jump up”) Mandelbrot, Benoit e Richard L. Hudson (2008). O (mal)comportamento dos mercados: uma visão fractal do risco, da ruína e da recompensa. Londres: Profile Books. ISBN 9781846682629.
  13. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-13 “Jump up”) “Identificação de Risco” (PDF). Comunidade de Madrid. Pág. 3.
  14. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-14 “Jump up”) CMU/SEI-93-TR-6 Identificação de risco baseada em taxonomia na indústria de software. Sei.cmu.edu. Página visitada em 2012-04-17.
  15. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-15 “Jump up”) “Lista de verificação de sistemas de gerenciamento de riscos (itens comuns)” (PDF). Disponível em: www.fsa.go.jpn.
  16. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-16 “Jump up”) Lista de Vulnerabilidades e Exposições Comuns. Cve.mitre.org. Página visitada em 2012-04-17.
  17. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-17 “Jump up”) Crockford, Neil (1986). Uma Introdução à Gestão de Riscos (2 ed.). Cambridge, Reino Unido: Woodhead-Faulkner. pág. 18. ISBN 0-85941-332-2.
  18. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-18 “Jump up”) “Questões do Exame CRISC”. Consultado em 23 de fevereiro de 2018
  19. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-19 “Jump up”) Dorfman, Mark S. (2007). Introdução à Gestão de Riscos e Seguros (9 ed.). Penhascos de Englewood, Nova Jersey: Prentice Hall. ISBN 978-0-13-224227-1.
  20. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-20 “Jump up”) Fernandes, Gerry; ↑ Fischer, Michael D. (1 de fevereiro de 2012). “Reatividade e reações à transparência regulatória em medicina, psicoterapia e aconselhamento” (PDF). Ciências Sociais e Medicina. 74 (3): 289–296. DOI:10.1016/j.socscimed.2011.09.035. PMID 22104085. Arquivado do original (PDF) em 21 de abril de 2018 Consultado em 20 de abril de 2018
  21. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-21 “Jump up”) Diretrizes de casos de HSE do CID para Unidades Móveis de Perfuração Offshore 3.2, seção 4.7
  22. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-22 “Jump up”) Roehrig, P (2006). “Aposte na governança para gerenciar o risco de terceirização”. Tendências de Negócios Trimestrais.
  23. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-23 “Jump up”) Shashi; Centobelli, Piera; Cerchione, Roberto; Ertz, Myriam (2020). “Gerenciando a resiliência da cadeia de suprimentos para buscar estratégias comerciais e ambientais”. Estratégia de Negócios e Meio Ambiente. 29 (3): 1215–1246. DOI:10.1002/bse.2428. versão impressa ISSN 0964-4733. 2 S213432044CID.
  24. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-24 “Jump up”) Snedaker, Susan (2014). Continuidade de negócios e planejamento de recuperação de desastres para profissionais de TI. Chris Rima (2ª ed.). Waltham, MA: Síngresso. ISBN 978-1-299-85332-4 (em inglês). OCLC 858657442.
  25. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-25 “Jump up”) SANS Glossary of Security Terms Retrieved on 2016-11-13
  26. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-26 “Jump up”) University of Tromsø, Contractual Risk Management (C-RM), accessed 6 January 2021
  27. ^ Jump up to: a b Greengard, S. (2010), The Difference Is in the Details, Engineering Inc., September/October 2010, pages 13-15
  28. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-28 “Jump up”) UDC–UNIVERSAL DEVELOPMENT, L.P., Cross–Complainant and Respondent, v. CH2M HILL, Cross–Defendant and Appellant, Court of Appeal, Sixth District, California, 15 January 2010, accessed 7 January 2021
  29. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-29 “Jump up”) State of Florida, Witt v. La Gorce Country Club, Third District Court of Appeal, 10 June 2009, accessed 6 January 2021
  30. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-30 “Jump up”) European Commission, Customs Risk Management Framework (CRMF), accessed 28 March 2023
  31. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-31 “Jump up”) European Commission, Customs risk management in details, accessed 28 March 2023
  32. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-32 “Jump up”) ASIS https://www.asisonline.org/publications–resources/news/blog/esrm-an-enduring-security-risk-model/
  33. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-33 “Jump up”) Lev Virine and Michael Trumper. Project Decisions: The Art and Science. (2007). Management Concepts. Vienna. VA. ISBN 978-1-56726-217-9
  34. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-34 “Jump up”) Lev Virine and Michael Trumper. ProjectThink: Why Good Managers Make Poor Project Choices. Gower Pub Co. ISBN 978-1409454984
  35. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-35 “Jump up”) Peter Simon and David Hillson, Practical Risk Management: The ATOM Methodology (2012). Management Concepts. Vienna, VA. ISBN 978-1567263664
  36. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-36 “Jump up”) Oxford BT Centre for Major Programme Management
  37. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-37 “Jump up”) Berman, Alan. Constructing a Successful Business Continuity Plan. Business Insurance Magazine, March 9, 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  38. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-38 “Jump up”) Craig Taylor; Erik VanMarcke, eds. (2002). Acceptable Risk Processes: Lifelines and Natural Hazards. Reston, VA: ASCE, TCLEE. ISBN 9780784406236. Archived from the original on 2013-12-03.
  39. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-39 “Jump up”) Rowling, Megan (2015-03-18). [“New global disaster plan sets targets to curb risk, losses Reuters”](http://in.reuters.com/article/us-disaster-risk-agreement-idINKBN0ME27720150318). Reuters. Retrieved 2016-01-13.
  40. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-40 “Jump up”) “American National Standard ANSI/NASBLA 101-2017: Basic Boating Knowledge–Human Propelled” (PDF). Retrieved 2018-11-01.
  41. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-41 “Jump up”) “UIAA Standard 152: Ice Tools” (PDF). Retrieved 2018-11-01.
  42. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-42 “Jump up”) “EN 13089 Mountaineering equipment - Ice-tools - Safety requirements and test methods (includes Amendment A1:2015)”. Retrieved 2018-11-01.
  43. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-43 “Jump up”) “Irish Standard I.S.EN 13089:2011+A1:2015 Mountaineering equipment - Ice-tools - Safety requirements and test methods” (PDF). Retrieved 2018-11-01.
  44. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-44 “Jump up”) “Association for Experiential Education”. Retrieved 2018-11-01.
  45. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-45 “Jump up”) “NOLS Risk Services”. Retrieved 2018-11-01.
  46. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-46 “Jump up”) Haddock (2013). Outdoor safety : risk management for outdoor leaders. Wellington, NZ: New Zealand Mountain Safety Council. ISBN 9780908931309.
  47. **[^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-:047-0 “Jump up”)** Schneider, Ari (23 May 2018). _Outdoor Leadership and Education. ISBN 9781732348202.
  48. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-48 “Jump up”) Arnold, Rob (2017). Cybersecurity: A Business Solution. Threat Sketch. p. 4. ISBN 978-0692944158.
  49. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-49 “Jump up”) “Duty of Care Risk Analysis Standard (DoCRA)”. DoCRA. Archived from the original on 2018-08-14. Retrieved 2018-08-22.
  50. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-Sandle_50-0 “Jump up”) Saghee M, Sandle T, Tidswell E (editors) (2011). Microbiology and Sterility Assurance in Pharmaceuticals and Medical Devices (1st ed.). Business Horizons. ISBN 978-8190646741. CS1 maint: multiple names: authors list (link)
  51. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-51 “Jump up”) Risk Communication Primer—Tools and Techniques. Navy and Marine Corps Public Health Center
  52. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-52 “Jump up”) Understanding Risk Communication Theory: A Guide for Emergency Managers and Communicators. Report to Human Factors/Behavioral Sciences Division, Science and Technology Directorate, U.S. Department of Homeland Security (May 2012)
  53. ^ Jump up to: a b Rahman, Alfi; Munadi, Khairul (2019). “Communicating Risk in Enhancing Disaster Preparedness: A Pragmatic Example of Disaster Risk Communication Approach from the Case of Smong Story”. Iop Conference Series: Earth and Environmental Science. 273 (1): 012040. Bibcode:2019E&ES..273a2040R. doi:10.1088/1755-1315/273/1/012040. S2CID 199164028.
  54. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-54 “Jump up”) Motarjemi, Y.; Ross, T (2014-01-01), “Risk Analysis: Risk Communication: Biological Hazards”, in Motarjemi, Yasmine (ed.), Encyclopedia of Food Safety, Waltham: Academic Press, pp. 127–132, ISBN 978-0-12-378613-5, retrieved 2021-11-12
  55. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-55 “Jump up”) “Risk communication in the context of climate change”. _weADAPT Climate change adaptation planning, research and practice_. 2011-03-25. Retrieved 2021-11-12.
  56. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-56 “Jump up”) “RISK COMMUNICATION SAVES LIVES & LIVELIHOODS Pandemic Influenza Preparedness Framework” (PDF). World Health Organization. 2015.
  57. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-57 “Jump up”) REYNOLDS, BARBARA; SEEGER, MATTHEW W. (2005-02-23). “Crisis and Emergency Risk Communication as an Integrative Model”. Journal of Health Communication. 10 (1): 43–55. doi:10.1080/10810730590904571. ISSN 1081-0730. PMID 15764443. S2CID 16810613.
  58. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-58 “Jump up”) Kasza, Gyula; Csenki, Eszter; Szakos, Dávid; Izsó, Tekla (2022-08-01). “The evolution of food safety risk communication: Models and trends in the past and the future”. Food Control. 138: 109025. doi:10.1016/j.foodcont.2022.109025. ISSN 0956-7135. S2CID 248223805.
  59. [^](https://en.m.wikipedia.org/wiki/Risk_management#cite_ref-Risk_communication_:159-0 “Jump up”)** Stevenson, Mabel; Taylor, Brian J. (2018-06-03). “Risk communication in dementia care: family perspectives”. _Journal of Risk Research. **21 (6): 692–709. doi:10.1080/13669877.2016.1235604. ISSN 1366-9877. S2CID 152134132.

External linksEdit