Pesquisa de site

O que é ISO 31000? Uma estratégia eficaz de gerenciamento de riscos

A ISO 31000 foi desenvolvida especificamente para ajudar as organizações a lidar efetivamente com eventos inesperados enquanto gerenciam riscos. Além de mitigar os riscos operacionais, a ISO 31000 suporta maior resiliência em todas as categorias de gerenciamento de riscos, incluindo o grupo mais complicado de gerenciar com eficácia - ameaças digitais.

Se você está pensando em implementar a ISO 31000 ou não está muito familiarizado com essa estrutura, este post fornece uma visão abrangente da norma.

Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

O que é ISO 31000?

A ISO 31000 é uma norma internacional que descreve uma estrutura de gerenciamento de risco que apoia estratégias eficazes de gerenciamento de risco. O padrão é dividido em três seções:

  1. Princípios
  2. Estrutura
  3. Processo

Princípios

O objetivo de todos os princípios da ISO 31000 é aumentar simultaneamente o valor e os aspectos de proteção de um sistema de gestão.

Os 11 princípios da ISO 31000 são os seguintes:

  • O gerenciamento de riscos cria e protege valor - O gerenciamento de riscos deve apoiar a realização de objetivos e melhorias de desempenho em vários setores, incluindo saúde e segurança humanas, segurança cibernética, conformidade regulatória, proteção ambiental, governança e reputação.
  • O gerenciamento de riscos é parte integrante de todos os processos organizacionais - O gerenciamento de riscos não deve ser separado do corpo principal de um sistema de gerenciamento. Deve ser integrado aos processos de uma organização para criar uma cultura consciente do risco. As equipes de gerenciamento devem defender essa mudança cultural.
  • O gerenciamento de riscos é sistemático, estruturado e oportuno - O gerenciamento de riscos deve cobrir todo o escopo do risco sistêmico. Não deve ser focado em um único componente de negócios propenso a riscos, como o ciclo de vendas.
  • O gerenciamento de riscos é personalizado - Um programa de gerenciamento de riscos deve ser adaptado aos seus objetivos no contexto de perfis de risco internos e externos.
  • A gestão de riscos é transparente e inclusiva - Todas as partes interessadas e tomadores de decisão apropriados devem estar envolvidos para garantir que a gestão de riscos permaneça relevante e atualizada.
  • O gerenciamento de riscos é dinâmico, iterativo e responsivo às mudanças - um programa de gerenciamento de riscos não deve ser baseado em um modelo rígido. Deve ser dinâmico, capaz de se adequar às mudanças nos cenários de ameaças internas e externas.
  • O gerenciamento de riscos é baseado nas melhores informações disponíveis - Os processos de gerenciamento de riscos não devem se limitar a dados históricos, feedback das partes interessadas, previsões e julgamentos de especialistas. É essencial considerar a limitação das fontes de dados e a provável possibilidade de opiniões divergentes entre os especialistas.
  • Ogerenciamento de riscos faz parte da tomada de decisões - O gerenciamento de riscos deve ajudar as equipes de liderança a tomar decisões inteligentes de mitigação de riscos, entendendo quais riscos devem ser priorizados para maximizar o impacto.
  • A gestão de riscos leva em consideração fatores humanos e culturais - Todas as atividades de gestão de riscos devem ser atribuídas a indivíduos com as competências mais relevantes. Ferramentas apropriadas devem estar disponíveis para esses indivíduos para apoiar seus esforços o máximo possível.
  • O gerenciamento de riscos facilita a melhoria contínua da organização - Estratégias devem ser desenvolvidas para garantir que os esforços de gerenciamento de riscos estejam melhorando continuamente.
  • O gerenciamento de riscos aborda explicitamente a incerteza - O gerenciamento de riscos deve abordar diretamente a incerteza, entendendo sua natureza e encontrando maneiras de mitigá-la.

Estrutura

O componente de estrutura da norma ISO 31000 descreve a estrutura de uma estrutura de gerenciamento de riscos, mas não de forma prescritiva. O objetivo é ajudar as organizações a integrar o gerenciamento de riscos em seu sistema geral de gerenciamento com base em seu contexto exclusivo de exposição ao risco. As empresas devem implementar a estrutura através das lentes de seus objetivos de gerenciamento de risco, priorizando o aspecto mais relevante da estrutura proposta. Essa flexibilidade torna qualquer sistema de gestão capaz de mapear para a ISO 31000, tornando a norma independente do setor.

A ISO 31000 pode ser implementada por qualquer setor para reduzir o risco corporativo, independentemente do tamanho ou do processo de gerenciamento de risco existente.

O fator determinante para o aspecto da estrutura da ISO 31000 é o compromisso da equipe de gestão em incorporar uma cultura de gestão de riscos em todos os níveis organizacionais.

Os cinco pilares da ISO 31000 são os seguintes:

  • Integração - A estrutura de gerenciamento de riscos deve ser integrada a todos os processos de negócios, uma mudança que segue o impulso da equipe de gerenciamento para uma mudança cultural em direção a uma maior conscientização sobre riscos.
  • Design - O design da estrutura final de gerenciamento de riscos deve considerar a exposição ao risco exclusiva da organização e o apetite ao risco.
  • Implementação - Uma estratégia de implementação deve considerar possíveis obstáculos, recursos, prazos, pessoal-chave e mecanismos para rastrear a eficácia da estrutura após a implementação.
  • Avaliação - Os componentes de avaliação ampliam o foco na medição da eficácia da estrutura. Esse processo pode envolver o apelo a várias fontes de dados, como reclamações de clientes, número de eventos inesperados relacionados a riscos, etc.
  • Melhoria - Esta é a etapa final do popular modelo de design do sistema de gestão, Plan Do, Check Act (PDCA). Melhorias devem ser feitas com base nos insights coletados na fase de avaliação. O objetivo de cada interação de melhoria é reduzir o número de surpresas causadas pela estrutura de gerenciamento de riscos.

O desenho da estrutura de riscos deve ser baseado nos objetivos de negócios e em uma política de gerenciamento de riscos dentro do contexto de risco único de uma organização (a contextualização dos riscos é um tema recorrente na ISO 31000).

O estágio Framework define o amplo contexto de gerenciamento de riscos, que é então refinado no estágio Processo, estabelecendo as bases para insights mais significativos coletados por meio de avaliações de risco.

Processo

A abordagem de processo para a ISO 31000 é representada graficamente da seguinte forma:

Comunicação e Consulta

A primeira etapa dessa abordagem de processo é a comunicação e a consulta. Quanto mais opiniões multifuncionais forem ouvidas, mais abrangentes serão seus esforços de gerenciamento de riscos. Este estágio baseia-se nos princípios de inclusão e fator cultural da ISO 31000.

As comunicações não se limitam apenas a funções internas. As partes interessadas externas devem ser envolvidas em todos os processos de tomada de decisão. Isso incentivará o envolvimento das partes interessadas em todas as etapas do desenvolvimento do programa de gerenciamento de riscos - o que apóia o objetivo principal do estágio Framework na ISO 31000:2018.

Escopo, contexto e critérios

Idealmente, muitos desses mecanismos já devem estar estabelecidos em seu sistema de gestão. O escopo de todas as atividades de gestão é realizado dentro do contexto da organização, conforme definido na Cláusula 4.1 da ISO 9001.

A inteligência contextual é uma consideração de todas as questões internas e externas que afetam a realização dos objetivos de negócios. A contextualização pode ser alcançada coletando informações das seguintes fontes:

  • Avaliação de risco de fatores de risco internos e externos
  • Auditorias internas
  • Declarações de política da organização
  • O uso de um modelo SWOT (Forças, Fraquezas, Oportunidades, Ameaças)
  • Documentos de estratégia
  • Questionários (para investigações de processos internos e externos)
  • Entrevistas (com partes interessadas, alta administração, equipes multifuncionais, incluindo finanças, recursos humanos, engenharia, treinamento, etc.).

Saiba mais sobre os questionários de segurança do UpGuard >

Os critérios usados para avaliar o risco dependem da iniciativa mais apropriada e da metodologia objetiva, conforme descrito no princípio de criação de valor da ISO 31000.

Isso pode incluir

  • Objetivos estratégicos
  • Objetivos operacionais
  • Objetivos de negócios
  • Objetivos de saúde e segurança
  • Objetivos de segurança cibernética
Comece restringindo seu foco a um único escopo. Então, depois que o processo for comprovado para funcionar, expanda seu escopo para outras regiões.

Avaliação do risco

Depois de definir seu escopo, contexto e critérios, o processo real de avaliação de risco começa. Existem três estágios principais no ciclo de vida da avaliação de risco.

  • Identificação de riscos - Compreender a origem dos riscos descobertos e sua classificação (se eles se originam de superfícies de ataque internas ou externas)
  • Análise de Risco - Compreender o impacto dos riscos identificados e potenciais e a eficácia de seus controles de segurança associados.
  • Avaliação de risco - Uma comparação dos riscos descobertos com seu registro de risco.
  • Decidir qual risco deve ser abordado com base em um critério de aceitação definido pelo seu apetite ao risco.

Saiba mais sobre os recursos de avaliação de risco do fornecedor do UpGuard >

Os dados de avaliação de risco determinarão quais ações precisam ocorrer. Quaisquer ajustes de controle ou melhorias de estrutura serão relativos a cada cenário exclusivo de escopo, contexto e critérios.

As partes interessadas devem ser envolvidas na decisão sobre a melhor forma de responder aos insights de avaliação de risco.

Tratamento de Risco

>

O estágio de tratamento de risco é onde você decide o melhor curso de ação. Essas decisões dependerão do seu apetite ao risco, que define o limite entre os níveis de risco que podem ser aceitos e aqueles que precisam ser abordados.

Diferentes tipos de risco devem ser considerados, incluindo:

  • Riscos estratégicos
  • Riscos de segurança cibernética
  • Riscos reputacionais

Os controles de segurança suprimem os riscos inerentes à segurança cibernética dentro de níveis aceitáveis de apetite ao risco

Sua metodologia para tratar riscos depende da cultura de risco que está sendo desenvolvida pela equipe de gerenciamento. Algumas organizações têm uma tolerância ao risco muito baixa, enquanto outras (como as de setores altamente regulamentados, como a saúde) têm uma tolerância muito baixa ao risco. Essas faixas de tolerância são decididas durante o cálculo do seu apetite de risco. Se o seu apetite ao risco já foi determinado, revise-o para garantir que esteja claro o suficiente para suportar os padrões de gerenciamento de risco da ISO 31000.

Aprenda a calcular seu apetite ao risco >

Uma matriz de risco é útil na fase de tratamento de risco, pois indica quais riscos devem ser priorizados nos esforços de remediação para minimizar o impacto.

No contexto do Gerenciamento de Riscos do Fornecedor, uma matriz de risco indica quais fornecedores representam o risco mais significativo para a postura de segurança de uma organização.

Para um mergulho profundo no gerenciamento de riscos do fornecedor, leia este post.

Esses insights, juntamente com a capacidade de projetar o impacto de

tarefas de remediação, ajudar as equipes de resposta a otimizar seus esforços de tratamento de riscos, apoiando os objetivos de melhoria contínua da ISO 3100

Matriz de risco de fornecedores da UpGuard.

Projeções de impacto de remediação na plataforma UpGuard.

Outra forma de tratamento de risco é terceirizar a responsabilidade para terceiros. Por exemplo, o gerenciamento de riscos de terceiros, o processo de gerenciamento de riscos de segurança causados por fornecedores terceirizados, pode ser terceirizado para uma equipe de especialistas em segurança cibernética. Sua organização ainda será responsável pelo resultado dos riscos detectados, mas sem o ônus adicional de também ter que gerenciá-los.

O benefício da redução de recursos internos torna a terceirização do gerenciamento de riscos de terceiros uma escolha muito econômica para expandir os negócios.

Assista a este vídeo para saber mais sobre o serviço de gerenciamento de risco terceirizado da UpGuard.

Monitoramento e revisão

Avaliar a eficácia de sua estrutura de risco implementada determinará se seu programa de gerenciamento de risco ISO 31000 foi ou não um investimento lucrativo. Durante cada processo de revisão e iteração, certifique-se de manter o princípio do fator humano e cultural em mente - não se esqueça das pessoas impactadas por cada iteração.

Seus objetivos de mitigação de risco não devem ser tão ambiciosos a ponto de você ter que algemar seus funcionários. Você precisa encontrar o equilíbrio perfeito entre gerenciamento de riscos, aceitação de riscos e bem-estar dos funcionários.

Registro e relatórios

Finalmente, todas as atividades de gerenciamento de risco devem ser registradas. Isso não apenas apoiará as partes interessadas em suas decisões estratégicas baseadas em risco em andamento, mas também fornecerá uma referência para rastrear a maturidade de seus sistemas de gestão ao longo do ciclo de vida de implementação da ISO 31000.

Artigos relacionados