Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

ISO 31000:2018 Norma — gestão de riscos

22 controles, organizados por grupo, com resumo em português.

Fazer a avaliação

Norma internacional de gestão de riscos (de qualquer natureza, não só de TI). Traz princípios, uma estrutura de governança e um processo para identificar, analisar, avaliar, tratar e monitorar riscos.

Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.

Descrições em português redigidas pela InfoCuestaSec (o texto da norma é protegido). Divisão em perfis é didática.

PRIN Princípios

  • PRIN.1
    Gestão de riscos integrada às atividades e decisões da organização. A gestão de riscos não é atividade isolada: faz parte de todas as áreas, processos e decisões. Assim o risco é considerado no dia a dia, e não como burocracia à parte.
    Intermediário
  • PRIN.2
    Abordagem estruturada e abrangente para resultados consistentes. Seguir uma abordagem sistemática e completa gera resultados consistentes e comparáveis ao longo do tempo. Evita que cada área avalie risco de um jeito diferente.
    Intermediário
  • PRIN.3
    Gestão personalizada ao contexto e aos objetivos da organização. A gestão deve se ajustar ao contexto, ao porte e aos objetivos de cada organização. Não existe modelo único — o que serve para um banco não serve para uma padaria.
    Intermediário
  • PRIN.4
    Envolvimento adequado das partes interessadas (inclusiva). Envolver as partes interessadas certas traz perspectivas diferentes e aumenta a aceitação das decisões. Quem conhece o processo enxerga riscos que passariam despercebidos.
    Avançado
  • PRIN.5
    Gestão dinâmica, que responde a mudanças. Riscos surgem, mudam e desaparecem conforme o contexto muda; a gestão precisa acompanhar isso. Uma análise feita só uma vez por ano fica rapidamente desatualizada.
    Avançado
  • PRIN.6
    Uso da melhor informação disponível (dados, histórico, incertezas). Decisões de risco devem se basear na melhor informação disponível — dados, histórico e especialistas — reconhecendo as incertezas. Informação ruim leva a decisão ruim.
    Intermediário
  • PRIN.7
    Consideração de fatores humanos e culturais. O comportamento e a cultura das pessoas influenciam muito os riscos e como são tratados. Ignorar o fator humano é ignorar uma das maiores fontes de risco.
    Avançado
  • PRIN.8
    Melhoria contínua da gestão de riscos. A gestão de riscos evolui com o aprendizado e a experiência. O que funcionou ontem pode precisar de ajuste amanhã.
    Avançado

EST Estrutura (framework)

  • EST.1
    Liderança e comprometimento da alta direção com a gestão de riscos. A alta direção precisa liderar e se comprometer visivelmente, definindo responsabilidades e recursos. Sem apoio do topo, o programa não sai do papel.
    Básico
  • EST.2
    Integração da gestão de riscos à governança e à estrutura da organização. Encaixar a gestão de riscos na governança e na estrutura da organização, não como apêndice. Assim o risco chega às decisões estratégicas.
    Intermediário
  • EST.3
    Concepção da estrutura (papéis, recursos, políticas). Desenhar como a gestão vai funcionar: papéis, políticas, recursos e comunicação. É a planta do programa antes de construir.
    Intermediário
  • EST.4
    Implementação da estrutura de gestão de riscos. Colocar o plano em prática, com pessoas, ferramentas e processos operando de fato. É onde muitos programas falham, por falta de execução.
    Intermediário
  • EST.5
    Avaliação periódica da eficácia da estrutura. Medir periodicamente se a estrutura está funcionando e entregando valor. O que não se mede não se melhora.
    Avançado
  • EST.6
    Melhoria contínua da estrutura. Ajustar e aprimorar continuamente a própria estrutura de gestão de riscos com base nas avaliações. Fecha o ciclo de melhoria.
    Avançado

PROC Processo de gestão de riscos

  • PROC.1
    Definir escopo, contexto e critérios de risco. Antes de analisar riscos, definir o escopo, o contexto e os critérios (o que é aceitável ou não). É a régua que guia todas as decisões seguintes.
    Básico
  • PROC.2
    Identificar os riscos (o que pode afetar os objetivos). Levantar o que pode dar errado e afetar os objetivos — ameaças, vulnerabilidades, eventos. Risco não identificado não é gerenciado.
    Básico
  • PROC.3
    Analisar os riscos (causas, probabilidade e impacto). Entender cada risco: causas, probabilidade de ocorrer e impacto se ocorrer. Dá base para priorizar.
    Básico
  • PROC.4
    Avaliar os riscos (comparar com os critérios e priorizar). Comparar os riscos com os critérios definidos e decidir quais tratar primeiro. Nem tudo cabe no orçamento — é preciso priorizar.
    Básico
  • PROC.5
    Tratar os riscos (mitigar, aceitar, transferir ou evitar). Escolher e aplicar como responder a cada risco: mitigar, aceitar, transferir (ex.: seguro) ou evitar. É onde o risco efetivamente diminui.
    Básico
  • PROC.6
    Monitorar e analisar criticamente os riscos e controles. Acompanhar continuamente os riscos e a eficácia dos controles, ajustando quando necessário. Controles se degradam com o tempo.
    Intermediário
  • PROC.7
    Registrar e relatar o processo e os resultados. Documentar o processo e comunicar os resultados para apoiar decisões e prestar contas. Sem registro, não há memória nem responsabilização.
    Intermediário
  • PROC.8
    Comunicação e consulta com as partes interessadas ao longo do processo. Conversar com as partes interessadas ao longo de todo o processo, ouvindo e informando. Risco é tema coletivo, não de uma pessoa só.
    Intermediário