Artigos

Implementação da ISO 31000 para Gerenciamento de Riscos na Organização

Por 26 de setembro de 2022 Sem comentários

São Paulo/SP – 26 de setembro de 2022. Gerenciamento de riscos tem por objetivo a criação e proteção de valor, melhorando o desempenho, encorajando a inovação e apoiando o alcance de objetivos.

*Por Lucas Santos

O risco é o efeito da incerteza em determinados objetivos podendo ser representado por um desvio em relação ao esperado, trazendo consequências positivas ou negativas. Organizações de todos os portes e em todos os segmentos possuem riscos em nível estratégico, tático e operacional.

O gerenciamento dos riscos é importante para que a organização conheça e controle os riscos relacionados ao negócio de forma padronizada e aderente as melhores práticas.

De acordo com a norma ABNT NBR ISO 31000:2018, a Gestão de riscos tem por objetivo a criação e proteção de valor, melhorando o desempenho, encorajando a inovação e apoiando o alcance de objetivos.

Princípios da Gestão de Riscos

A norma ISO 31000 determina que a estrutura da gestão de riscos de uma organização deve atender aos seguintes princípios:

  • Integrada: deve ser executada de forma a integrar todas as atividades da organização, viabilizando a identificação e tratamento de todos os riscos aos quais a organização possa estar exposta;
  • Estruturada e abrangente: deve ser estruturada de forma a abranger todas as atividades da organização, contribuindo para resultados consistentes e comparáveis;
  • Personalizada: o processo de gestão de riscos deve ser personalizado para cada organização, considerando o seu contexto interno e externo relacionados aos seus objetivos;
  • Inclusiva: o envolvimento das partes interessadas resulta em uma gestão de riscos mais eficaz, uma vez que considera diferentes pontos de vista e percepções das atividades abordadas;
  • Dinâmica: deve viabilizar a antecipação, detecção, reconhecimento e respostas a riscos que podem surgir por meio de mudanças nos contextos externos e internos da organização;
  • Melhor informação disponível: as informações utilizadas para a gestão dos riscos devem ser coletadas e/ou geradas através de fontes confiáveis, considerando dados históricos, atuais e projeções futuras. É importante que estas informações sejam oportunas, claras e estejam disponíveis para as partes interessadas para que seja atingido o objetivo da gestão de riscos;
  • Fatores humanos e culturais: o comportamento humano e as características culturais da organização influenciam significativamente nos riscos relacionados ao negócio;
  • Melhoria contínua: deve ser continuamente melhorada, através do aprendizado e experiências para garantir a adequação ao contexto da organização.

Estrutura da Gestão de Riscos

A gestão de riscos deve ser estruturada de forma a viabilizar a sua integração às atividades significativas da organização. Tal estruturação depende do envolvimento e conscientização das partes envolvidas para facilitar a tomada de decisões para um gerenciamento eficaz dos riscos.

O envolvimento da liderança e comprometimento das partes envolvidas é parte fundamental da gestão de riscos na organização. É responsabilidade da Alta Direção e órgãos supervisores (nomeados pela Alta Direção) garantir a integração da gestão de riscos às atividades da organização e a tomada de decisão necessária para gerenciamento dos riscos do negócio.

A norma ABNT NBR ISO 31000 propõe as seguintes fases para a estrutura da gestão de riscos:

  • Integração: a gestão de riscos é responsabilidade de todos na organização. É importante que a gestão de riscos seja considerada como uma parte do propósito organizacional e governança da organização, e não como uma atividade apartada.
  • Concepção: o entendimento do contexto da organização é fundamental para a estrutura da gestão de riscos. Durante a fase de concepção, os contextos externo e interno são entendidos para atendimento do princípio de personalização da gestão de riscos. Além do entendimento do contexto, nesta fase existe a articulação do comprometimento com a gestão de riscos (através da criação de políticas, por exemplo), a atribuição de papéis, autoridades e responsabilidades do processo, a alocação de recursos necessários e o estabelecimento de comunicações relacionadas à gestão de riscos;
  • Implementação: o sucesso da implementação depende do envolvimento e conscientização das partes interessadas. Uma vez que a gestão de riscos foi devidamente implementada, são garantidos os princípios de integração às atividades da organização e tomadas de decisão, bem como a característica dinâmica desta para adequação às mudanças no negócio.
  • Avaliação: os resultados da gestão de riscos devem ser avaliados a fim de mensurar a sua qualidade, eficácia e adequação à organização;
  • Melhoria: através da análise dos resultados, coletados na etapa de avaliação, a gestão de riscos poderá passar por adaptações para garantir a sua aplicabilidade ao contexto da organização.

Processo de gestão de riscos

Após a devida implementação da estrutura de gestão de riscos, a organização estará apta a executar o processo de gestão de riscos. Este processo poderá ser aplicado em nível estratégico, operacional, de programas ou projetos.

É importante que os canais de comunicação sejam definidos e claros para todas as partes interessadas, durante todas as etapas do processo, de forma a padronizar os fluxos de compartilhamento de informações.

A norma ISO 31000 define as seguintes etapas para o processo:

  • Escopo, contexto e critérios: O escopo do processo de gestão deve ser definido e claramente comunicado entre as partes interessadas. Por exemplo, se a gestão de riscos será realizada em nível operacional ou qual tipo de risco será avaliado. Além disso, devem ser definidos o contexto do processo (processos internos ou que possam envolver partes externas, por exemplo) e os critérios de riscos;
  • Processo de avaliação de riscos: nesta etapa, ocorre a identificação de riscos e coleta de informações relacionadas a estes, como fontes de risco, causas, vulnerabilidades relacionadas etc. Após a identificação dos riscos, estes são analisados para determinação da probabilidade e impacto da sua materialização no ambiente da organização, entre outros fatores. A última atividade desta etapa é a avaliação dos riscos, onde será definida a decisão a ser tomada como resposta aos riscos identificadas;
  • Tratamento de riscos: como resposta ao risco, será escolhida uma entre as opções de tratamento definidos durante a etapa de escopo, contexto e critérios;
  • Monitoramento e análise crítica: assim como a estrutura, o processo de gestão de riscos é monitorado para avaliação da sua eficácia e adequação ao cenário da organização (através da melhoria contínua do processo);
  • Registro e relato: é importante que o resultado e informações provenientes do processo de gestão de riscos sejam formalmente registrados e comunicados entre as partes interessadas.

Considerações finais

Uma gestão eficaz do risco é indispensável para as organizações, independente do seu segmento e porte. A integração da gestão às atividades da organização minimiza a exposição a fatores internos e externos que possam significar um impacto negativo.

Uma estrutura bem definida para a gestão de riscos garante à organização um controle mais eficaz do seu ambiente, tanto em cenários atuais, considerando alterações e mudanças no contexto interno e externo da organização, quanto facilitando a projeção futura e preparação da organização para riscos emergentes.

— Lucas Santos é GRC, Privacy and Information Security Senior Consultant at [SAFEWAY]

Como podemos ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!