Você está na página 1de 3

A

ISO 31000 – Risk management – principles and guidelines tem como escopo o
gerenciamento de riscos e se aplica a qualquer tipo de organização (privadas,
públicas e terceiro setor), no contexto de decisões, estratégias, operações,
processos, funções, projetos, produtos, serviços e ativos. Esta norma não é objeto
de certificação.
A norma é composta por três componentes, um conjunto de princípios, um
framework e um processo para o gerenciamento dos riscos. A a seguir mostra o
relacionamento entre esses componentes.
Os princípios para o gerenciamento de riscos são:
❒ O gerenciamento de riscos cria e protege o valor para objetivos de aumento de
desempenho em segurança e saúde das pessoas, compliance , proteção
ambiental, eficiência de operações e serviços etc.
❒ O gerenciamento de riscos é parte integral de todos os processos da
organização.
❒ O gerenciamento de riscos é parte do processo de tomada de decisão.



❒ O gerenciamento de riscos trata, explicitamente, da incerteza.
❒ O gerenciamento de riscos é sistemático, estruturado e realizado nos tempos
requeridos.
❒ O gerenciamento de riscos é baseado na melhor informação disponível.
❒ O gerenciamento de riscos é “customizado”.
❒ O gerenciamento de riscos leva em consideração fatores humanos e culturais.
❒ O gerenciamento de riscos é transparente e inclusivo.
❒ O gerenciamento de riscos é dinâmico, iterativo e responsivo à mudança.
❒ O gerenciamento de riscos facilita a melhoria contínua da organização.

O framework é a base para o gerenciamento dos riscos na organização em todos
os níveis e também serve para que seja integrado ao seu sistema de gestão. Os
elementos desse framework são:
❒ Mandato e comprometimento: a implantação de um sistema de gerenciamento
de riscos requer o comprometimento dos executivos da organização e da alta
administração. Deve estabelecer políticas, alinhar a cultura, determinar
indicadores de riscos, alinhar com os objetivos estratégicos da organização,
assegurar compliance etc.
❒ Projeto do framework para o gerenciamento de riscos: compreende o
entendimento da organização e de seu contexto, o estabelecimento de uma
política para o gerenciamento de riscos, a atribuição de responsabilidades pelo
gerenciamento e pela prestação de contas, a integração nos processos da
organização, a alocação de recursos para o gerenciamento dos riscos, o
estabelecimento dos mecanismos de reporte e os mecanismos de comunicação
externa.
❒ Implementação do gerenciamento de riscos: implementação dos processos de
gerenciamento de riscos, o monitoramento, a revisão e a melhoria contínua do
framework .

Os processos de gerenciamento de riscos devem ser parte integrante do
gerenciamento da organização, assim como devem estar embutidos na cultura e
nas práticas da organização e adaptados para os processos de negócio da
organização. Tais processos são:
❒ Comunicação e consultoria: compreende entender os requisitos dos
interessados relevantes, internos e externos, assim como da equipe que vai
auxiliar na definição do contexto dos riscos, assegurar que os requisitos dos
interessados relevantes sejam considerados e que os riscos sejam identificados
corretamente, trazer expertise multidisciplinar para a análise dos riscos,
assegurar que diferentes pontos de vista sejam usados para definir critérios de
riscos e sua avaliação e obter apoio para planos de tratamento dos riscos.
❒ Estabelecimento do contexto: compreende o estabelecimento do contexto do
ambiente externo e interno da organização que pode afetar a identificação dos
riscos para o atendimento aos objetivos da organização. Pode incluir variáveis
políticas, econômicas, culturais, regulatórias, estruturais e políticas da
organização, assim como sistemas de informação, padrões, normas etc. Também
contempla o estabelecimento do contexto do processo de gerenciamento de
riscos em termos de definir os objetivos e as metas das atividades de
gerenciamento de riscos, responsabilidades, escopo, metodologia de avaliação de
riscos, forma de medir o desempenho e, por fim, definir os critérios de riscos.
❒ Avaliação dos riscos: compreende a identificação dos riscos, sua análise e
avaliação.
❒ Tratamento dos riscos: compreende a avaliação das alternativas de tratamento
de riscos, o nível de tolerância dos riscos residuais (riscos que persistem após a
aplicação do tratamento selecionado) e a avaliação da eficácia do tratamento
selecionado.
❒ Monitoramento e revisão: compreende o monitoramento e o acompanhamento
dos processos e dos riscos. Assegura que os controles estão funcionando bem, se
novos riscos estão surgindo, registra lições aprendidas e monitora mudanças nos
contextos internos e externos que podem afetar os riscos que estão sendo
gerenciados.
❒ Registros do processo de gerenciamento de riscos: refere-se ao tratamento a
ser dado aos registros gerados pelo processo, à determinação de quem pode ter
acesso, quais informações são sigilosas, necessidades de compliance , períodos de
retenção dos registros etc.

Aplicabilidade:

Este modelo se aplica perfeitamente ao gerenciamento de riscos que a TI oferece
para o negócio. Geralmente, esta norma pode ser aplicada para um sistema de
gerenciamento de riscos corporativo, no qual o sistema de gerenciamento de
riscos da TI pode estar embutido. Em grandes organizações, os riscos dos
processos de negócios são mapeados, inclusive os riscos de TI. O gerenciamento
dos riscos de TI pode ser feito a partir desses mapas de riscos dos processos do
negócio. Acreditamos que esta seja a abordagem mais adequada, pois permite
focar nos maiores riscos que a TI representa para o negócio.