ISO 31000:2018 Norma — gestão de riscos
22 controles, organizados por grupo, com resumo em português.
Norma internacional de gestão de riscos (de qualquer natureza, não só de TI). Traz princípios, uma estrutura de governança e um processo para identificar, analisar, avaliar, tratar e monitorar riscos.
Fonte oficial · A cor indica o perfil em que cada controle entra: Básico Intermediário Avançado.
Descrições em português redigidas pela InfoCuestaSec (o texto da norma é protegido). Divisão em perfis é didática.
PRIN Princípios
-
PRIN.1
Gestão de riscos integrada às atividades e decisões da organização. A gestão de riscos não é atividade isolada: faz parte de todas as áreas, processos e decisões. Assim o risco é considerado no dia a dia, e não como burocracia à parte.Intermediário
-
PRIN.2
Abordagem estruturada e abrangente para resultados consistentes. Seguir uma abordagem sistemática e completa gera resultados consistentes e comparáveis ao longo do tempo. Evita que cada área avalie risco de um jeito diferente.Intermediário
-
PRIN.3
Gestão personalizada ao contexto e aos objetivos da organização. A gestão deve se ajustar ao contexto, ao porte e aos objetivos de cada organização. Não existe modelo único — o que serve para um banco não serve para uma padaria.Intermediário
-
PRIN.4
Envolvimento adequado das partes interessadas (inclusiva). Envolver as partes interessadas certas traz perspectivas diferentes e aumenta a aceitação das decisões. Quem conhece o processo enxerga riscos que passariam despercebidos.Avançado
-
PRIN.5
Gestão dinâmica, que responde a mudanças. Riscos surgem, mudam e desaparecem conforme o contexto muda; a gestão precisa acompanhar isso. Uma análise feita só uma vez por ano fica rapidamente desatualizada.Avançado
-
PRIN.6
Uso da melhor informação disponível (dados, histórico, incertezas). Decisões de risco devem se basear na melhor informação disponível — dados, histórico e especialistas — reconhecendo as incertezas. Informação ruim leva a decisão ruim.Intermediário
-
PRIN.7
Consideração de fatores humanos e culturais. O comportamento e a cultura das pessoas influenciam muito os riscos e como são tratados. Ignorar o fator humano é ignorar uma das maiores fontes de risco.Avançado
-
PRIN.8
Melhoria contínua da gestão de riscos. A gestão de riscos evolui com o aprendizado e a experiência. O que funcionou ontem pode precisar de ajuste amanhã.Avançado
EST Estrutura (framework)
-
EST.1
Liderança e comprometimento da alta direção com a gestão de riscos. A alta direção precisa liderar e se comprometer visivelmente, definindo responsabilidades e recursos. Sem apoio do topo, o programa não sai do papel.Básico
-
EST.2
Integração da gestão de riscos à governança e à estrutura da organização. Encaixar a gestão de riscos na governança e na estrutura da organização, não como apêndice. Assim o risco chega às decisões estratégicas.Intermediário
-
EST.3
Concepção da estrutura (papéis, recursos, políticas). Desenhar como a gestão vai funcionar: papéis, políticas, recursos e comunicação. É a planta do programa antes de construir.Intermediário
-
EST.4
Implementação da estrutura de gestão de riscos. Colocar o plano em prática, com pessoas, ferramentas e processos operando de fato. É onde muitos programas falham, por falta de execução.Intermediário
-
EST.5
Avaliação periódica da eficácia da estrutura. Medir periodicamente se a estrutura está funcionando e entregando valor. O que não se mede não se melhora.Avançado
-
EST.6
Melhoria contínua da estrutura. Ajustar e aprimorar continuamente a própria estrutura de gestão de riscos com base nas avaliações. Fecha o ciclo de melhoria.Avançado
PROC Processo de gestão de riscos
-
PROC.1
Definir escopo, contexto e critérios de risco. Antes de analisar riscos, definir o escopo, o contexto e os critérios (o que é aceitável ou não). É a régua que guia todas as decisões seguintes.Básico
-
PROC.2
Identificar os riscos (o que pode afetar os objetivos). Levantar o que pode dar errado e afetar os objetivos — ameaças, vulnerabilidades, eventos. Risco não identificado não é gerenciado.Básico
-
PROC.3
Analisar os riscos (causas, probabilidade e impacto). Entender cada risco: causas, probabilidade de ocorrer e impacto se ocorrer. Dá base para priorizar.Básico
-
PROC.4
Avaliar os riscos (comparar com os critérios e priorizar). Comparar os riscos com os critérios definidos e decidir quais tratar primeiro. Nem tudo cabe no orçamento — é preciso priorizar.Básico
-
PROC.5
Tratar os riscos (mitigar, aceitar, transferir ou evitar). Escolher e aplicar como responder a cada risco: mitigar, aceitar, transferir (ex.: seguro) ou evitar. É onde o risco efetivamente diminui.Básico
-
PROC.6
Monitorar e analisar criticamente os riscos e controles. Acompanhar continuamente os riscos e a eficácia dos controles, ajustando quando necessário. Controles se degradam com o tempo.Intermediário
-
PROC.7
Registrar e relatar o processo e os resultados. Documentar o processo e comunicar os resultados para apoiar decisões e prestar contas. Sem registro, não há memória nem responsabilização.Intermediário
-
PROC.8
Comunicação e consulta com as partes interessadas ao longo do processo. Conversar com as partes interessadas ao longo de todo o processo, ouvindo e informando. Risco é tema coletivo, não de uma pessoa só.Intermediário