Artigo
07/06/2024
Atualizado em 18/04/2026

Uma Abordagem Estruturada para a Gestão de Riscos e os Requisitos da ISO 31000

A ISO 31000 oferece um framework estruturado para gestão de riscos, integrando princípios, estrutura e processos que aumentam a eficiência, a tomada de decisões e a resiliência organizacional.

Imagem de capa do artigo

A natureza do risco envolve a incerteza e os possíveis desvios dos objetivos estabelecidos por uma empresa, e segundo a ISO, o risco é definido como o "efeito da incerteza nos objetivos", podendo ser positivo, negativo ou uma simples variação em relação ao esperado. Essa definição vincula o risco diretamente aos objetivos da empresa, exigindo que esses objetivos sejam claramente definidos e que suas premissas sejam constantemente desafiadas e testadas.

Os impactos do risco podem ser classificados em três categorias principais: estratégico, tático e operacional. Sendo que os riscos estratégicos envolvem decisões de longo prazo que podem afetar significativamente a direção e o sucesso futuro da empresa, enquanto que os riscos táticos estão associados a projetos específicos, fusões e aquisições ou desenvolvimento de novos produtos, e já os riscos operacionais estão relacionados às atividades diárias da empresa, como falhas em sistemas de TI, perda de dados e erros operacionais.

Neste sentido este documento da ISO 31000 é sem dúvida uma das principais referências da área, por isto queria falar um pouco mais dela, que para quem ainda não conhece, é uma norma internacional desenvolvida pela ISO - International Organization for Standardization (Organização Internacional para Padronização), que fornece princípios e diretrizes para a gestão de riscos, que pode ser aplicável a qualquer tipo de empresa, independentemente do seu tamanho, atividade ou setor, e tem como objetivo fornecer um "framework" (metodologia sistematizada) para a gestão de riscos que possa ser integrado aos sistemas de gestão já existentes.

A ISO 31000 tem como principais objetivos:

  • Aumentar a Probabilidade de Alcançar Objetivos: Ao gerir riscos de forma eficaz, as empresas podem minimizar as incertezas e maximizar as oportunidades.
  • Melhorar a Identificação de Oportunidades e Ameaças: Uma gestão de riscos bem estruturada ajuda a identificar riscos e também as oportunidades que possam afetar a empresa.
  • Alocar e Utilizar Recursos de Forma Eficiente: A gestão de riscos permite uma melhor alocação de recursos para tratar riscos, evitando desperdícios e aumentando a eficiência operacional.

A ISO 31000 é composta por três componentes principais: princípios, estrutura e processo.

1) Princípios da Gestão de Riscos:

Os princípios da ISO 31000 estabelecem que a gestão de riscos deve:

  • Criar Valor: Contribuir para o alcance dos objetivos organizacionais.
  • Ser Parte Integrante dos Processos Organizacionais: Ser incorporada à estrutura, operações e cultura da empresa.
  • Fazer Parte da Tomada de Decisões: Ajudar na tomada de decisões informadas e conscientes.
  • Tratar Explicitamente a Incerteza: Identificar e lidar com as incertezas nos objetivos organizacionais.
  • Ser Sistemática, Estruturada e Oportuna: Adotar uma abordagem estruturada e metódica.
  • Basear-se nas Melhores Informações Disponíveis: Utilizar dados e informações de qualidade para a tomada de decisões.
  • Ser Personalizada: Ajustar-se ao contexto interno e externo da organização.
  • Considerar Fatores Humanos e Culturais: Reconhecer a influência de fatores humanos e culturais.
  • Ser Transparente e Inclusiva: Envolver as partes interessadas apropriadas.
  • Ser Dinâmica, Iterativa e Capaz de Reagir às Mudanças: Ser adaptável a mudanças no ambiente e nos riscos.
  • Facilitar a Melhoria Contínua: Promover a aprendizagem e a melhoria contínua.

2) Estrutura para Gerenciamento de Riscos:

A estrutura para gerenciamento de riscos conforme a ISO 31000 envolve:

  • Mandato e Comprometimento: Envolvimento e compromisso da alta administração.
  • Design da Estrutura: Definição da política de gestão de riscos, objetivos, contexto e integração com outras funções.
  • Implementação da Gestão de Riscos: Desenvolvimento dos planos e procedimentos para integrar a gestão de riscos nas atividades diárias.
  • Monitoramento e Revisão da Estrutura: Avaliação contínua da eficácia da estrutura e dos processos de gestão de riscos.
  • Melhoria Contínua da Estrutura: Aprimoramento contínuo com base nos feedbacks e nas avaliações realizadas.

3) Processo de Gestão de Riscos:

O processo de gestão de riscos na ISO 31000 inclui as seguintes etapas:

  • Comunicação e Consulta: Envolver as partes interessadas no processo de gestão de riscos.
  • Estabelecimento do Contexto: Definir o ambiente em que os riscos serão gerenciados, incluindo o estabelecimento dos critérios de risco.
  • Identificação de Riscos: Reconhecer e descrever os riscos que podem afetar a empresa.
  • Análise de Riscos: Entender a natureza dos riscos e determinar seu nível de impacto e probabilidade.
  • Avaliação de Riscos: Comparar os resultados da análise de riscos com os critérios de risco para determinar a necessidade de tratamento.
  • Tratamento de Riscos: Selecionar e implementar medidas para modificar os riscos.
  • Monitoramento e Revisão: Monitorar e revisar o desempenho do processo de gestão de riscos e fazer ajustes conforme necessário.
  • Registro e Relato: Documentar todo o processo de gestão de riscos e relatar aos stakeholders apropriados.

A adoção da ISO 31000 traz diversos benefícios para as empresas como:

  • Melhoria na Tomada de Decisões: Informações mais precisas e compreensíveis sobre os riscos ajudam na tomada de decisões.
  • Maior Conformidade: Cumprimento de requisitos legais e regulamentares.
  • Proteção e Melhoria da Reputação: Gerenciamento eficaz dos riscos que podem afetar a reputação da organização.
  • Eficiência Operacional: Redução de perdas e melhoria da eficiência dos processos.
  • Resiliência Organizacional: Maior capacidade de resposta e adaptação a mudanças e crises.

Os princípios fundamentais da gestão de riscos, conforme apresentado pela ISO 31000 são:

  • Proporcionalidade: A gestão de riscos deve ser proporcional ao nível de risco presente na empresa.
  • Alinhamento: Deve estar alinhada com as outras atividades corporativas.
  • Abrangência: Deve cobrir todos os aspectos e processos da empresa.
  • Incorporação: Deve ser integrada às atividades rotineiras da empresa.
  • Dinamismo: Deve ser responsiva às mudanças e novas ameaças emergentes.

A implementação bem-sucedida desses princípios ajuda a empresa a melhorar a eficiência operacional, a eficácia de táticas e a eficácia estratégica,

Para quem desejar ir mais a fundo no tema segue o link para o documento original em português em:

https://dintegcgcin.saude.gov.br/attachments/download/23/2018%20-%20Diretrizes%20-%20Gest%C3%A3o%20de%20Riscos_ABNT%20NBR%20ISO%2031000.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante