ISO 31000: conheça a norma internacional de gestão de risco

ISO 31000: conheça a norma internacional de gestão de risco
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Você já ouviu falar na ISO 31000? Essa norma de gestão de riscos é essencial para o planejamento e a tomada de decisão de qualquer empresa. Afinal, suas recomendações gerais são adaptáveis a todos os ramos de negócios.

Entretanto, ao seguir as normas da ISO 31000, é necessário preparação e funcionários qualificados, especialmente através de certificações de TI. Confira os detalhes a seguir e saiba tudo sobre esse aspecto tão importante para a gestão de riscos.

O que é ISO 31000?

ISO 31000 é uma norma internacional sobre gestão de riscos. No Brasil, quem elaborou o texto em português foi a Comissão de Estudo Especial de Gestão de Riscos (ABNT/CEE-063) e contou com a participação de sessenta e nove profissionais de diversos segmentos.

O principal objetivo do ISO 31000 é fornecer diretrizes que podem ser personalizadas para qualquer organização e seu contexto. Diferente das outras normas da International Organization for Standardization (ISO), esse texto é curto e conciso.

Por isso, ele é uma ferramenta essencial para auxiliar as empresas na tomada de decisões, no planejamento e, principalmente, no gerenciamento de risco.

Em resumo, a norma ISO 31000 é dividida em quatro seções principais:

  1. Definição dos termos-chave;
  2. Princípios da gestão de riscos;
  3. Estrutura para implementação do processo de gerenciamento de riscos;
  4. Elementos do processo de gestão de riscos.

Benefícios da norma ISO 31000

Sem dúvida, as recomendações da ABNT ISO 31000 são válidas para qualquer tipo de risco, inclusive na nova Lei Geral de Proteção de Dados. Assim, as empresas que seguirem as suas diretrizes serão capazes de:

  • Melhorar a eficiência das operações;
  • Garantir a governança e a confiança das partes interessadas;
  • Minimizar as perdas;
  • Otimizar o desempenho dos processos de saúde e segurança no trabalho;
  • Estabelecer processos sólidos de tomadas de decisão;
  • Incentivar a proatividade gestacional em todas as áreas.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Gestão de riscos baseada na ISO 31000

A norma ISO 31000 recomenda que o processo de gestão de riscos seja integrado à tomada de decisão e à gestão do negócio como um todo. Assim, a empresa pode aplicá-lo nos níveis de projetos, de programas, de operações e também de estratégia.

Por isso, veja a seguir como aplicar a gestão de riscos baseada na ISO 31000 na sua empresa.

Etapas do processo de gestão de riscos

Antes de mais nada, a norma ISO 31000 tem três etapas que se integram continuamente no processo de gerenciamento de risco. São elas:

  1. Comunicação e consulta;
  2. Monitoramento e análise crítica;
  3. Registro e relato.

A etapa de comunicação e consulta serve para alinhar os objetivos e planejamento das partes interessadas internas e externas. Assim, é possível definir os critérios de risco com maior assertividade.

Em seguida, durante a etapa de monitoramento e análise crítica, a empresa faz uma avaliação completa dos riscos para determinar quais as melhores ações que devem ser implementadas.

Esse processo pode envolver também o aprendizado sobre as técnicas de gestão de riscos aplicadas na empresa anteriormente.

Por fim, o registro e relato de cada etapa do processo de gestão de riscos tem como objetivo informar as partes interessadas sobre o desenvolvimento das ações. Assim, a empresa terá os dados necessários para traçar um plano de tratamento de riscos e tomada de decisões.

Avaliação de riscos

Segundo o ISO 31000, o objetivo da avaliação de riscos é auxiliar nas decisões. Por isso, ela pode ser dividida em três etapas:

  1. Identificação dos riscos: serve para compreender o que pode acontecer, quando, como e por quê;
  2. Análise dos riscos: busca entender qual a probabilidade e as consequências de cada risco;
  3. Avaliação de riscos: com base na comparação de resultados, a empresa determina quais as ações necessárias para fazer o tratamento dos riscos.

Tratamento de riscos

A avaliação e o tratamento de riscos estão profundamente ligados. Depois que a ameaça é identificada, é preciso realizar testes e comparar qual conjunto de técnicas é mais efetivo para o gerenciamento de cada risco.

Embora cada empresa possa determinar quais os melhores métodos, a norma ISO 31000 fornece um conjunto de sugestões de tratamento. São elas:

  • Não iniciar ou interromper a atividade que dá origem ao risco;
  • Assumir o risco para aproveitar uma oportunidade;
  • Remover a fonte do risco;
  • Alterar a probabilidade;
  • Mudar as consequências;
  • Compartilhar o risco;
  • Sustentar o risco por decisão fundamentada.

Dependendo da situação de cada organização, pode-se aplicar uma ou mais medidas de tratamento ao mesmo tempo.

Quando uma empresa pode aplicar o processo de gestão de riscos baseado na ISO 31000?

De forma geral, a ISO 31000 fornece a base para o gerenciamento de riscos. Por isso, o processo pode ser personalizado de acordo com as necessidades de cada empresa.

Entretanto, é sempre necessário que haja planejamento e preparação adequados, bem como funcionários capacitados.

Geralmente, a empresa precisa implementar o processo de gestão de riscos mais de uma vez. Isso acontece porque, à medida que os tratamentos são aplicados, novas informações vão surgindo e a tomada de decisão se torna mais detalhada.

De acordo com a norma ISO 31000, essas são algumas situações em que a empresa deve aplicar o processo de gerenciamento de riscos:

  • Mudanças nos objetivos da organização;
  • Tomada de decisões que crie ou modifique os riscos;
  • Mudanças no ambiente interno ou externo;
  • Análise da compreensão atual dos riscos em relação às medidas adotadas;
  • Adequação a novos requisitos legais.

Dessa forma, sempre que houver uma alteração interna ou externa, a empresa estará pronta para gerenciar os novos riscos envolvidos!

Considerações finais

De fato, a ISO 31000 é uma norma essencial para as empresas de qualquer ramo de negócios. Afinal, por conter diretrizes claras, o documento certamente auxilia no planejamento e na tomada de decisões.

Além disso, essa norma é fundamental para a adequação à nova Lei Geral de Proteção de Dados, que entrou em vigor em setembro de 2020, uma vez que é essencial uma boa gestão de riscos para evitar o descumprimento da lei.

Assim, ao aplicar a ISO 31000 no gerenciamento de riscos, as instituições terão menor índice de perdas, melhora dos processos operacionais e gestão proativa. Como resultado, será possível manter a saúde de um negócio mesmo diante de mudanças.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.

relacionadas