ISO 31000:2018: Resumo para o TSE (TI)

Olá pessoal, tudo bem? Neste artigo apresentaremos um resumo da ISO 31000.

Para quem se prepara para concursos, especialmente aqueles organizados pela CEBRASPE, como é o caso do concurso do TSE Unificado, compreender a ISO 31000 pode ser um grande diferencial, pois quando este tópico está no edital, a banca costuma cobrá-lo.

Este artigo visa apresentar os principais aspectos da norma e fornecer uma base sólida para resolver as questões de concurso de forma eficaz.

Vamos organizar este artigo da seguinte forma:

• Introdução
• Principais termos e definições
• Princípios da Gestão de Riscos
• Estrutura da Gestão de Riscos
• Processo da Gestão de Riscos
• Conclusão

Introdução

A ISO 31000 é uma norma internacional que fornece diretrizes para a gestão de riscos, sendo aplicável a qualquer tipo de organização, independentemente do seu tamanho ou setor.

Desenvolvida para ajudar as organizações a gerenciar incertezas, a norma é fundamental para garantir que as decisões sejam tomadas com base em uma avaliação robusta dos riscos.

A gestão de riscos, segundo a ISO 31000, é um processo contínuo que deve estar integrado à governança e liderança em todos os níveis da organização, considerando influências internas, externas, comportamentais e culturais. 

Além disso, a gestão de riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas.

A norma estabelece princípios, estrutura e processos que podem ser adaptados ou aprimorados para garantir que a gestão de riscos seja eficiente, eficaz e consistente.

Principais termos e definições da ISO 31000

Aqui estão as principais definições dos termos conforme a ISO 31000, com atenção especial ao conceito de risco, que costuma ser cobrado em questões de concurso:

Risco: Na ISO 31000, risco é definido como o “efeito da incerteza nos objetivos”. Esse efeito pode ser tanto positivo quanto negativo, influenciando a capacidade da organização de atingir seus objetivos. A definição de risco engloba tanto ameaças quanto oportunidades decorrentes da incerteza.

Gestão de Riscos: Refere-se ao processo coordenado de dirigir e controlar uma organização no que diz respeito aos riscos. A gestão de riscos envolve etapas como identificação, análise, avaliação, tratamento, monitoramento e revisão dos riscos, sendo integrada em todas as atividades organizacionais.

Parte Interessada: Qualquer indivíduo ou grupo que pode afetar, ser afetado, ou perceber-se afetado por uma decisão ou atividade da organização. Partes interessadas incluem funcionários, clientes, fornecedores, acionistas, entre outros.

Fonte de Risco: É o elemento que, isoladamente ou em combinação, pode originar um risco. As fontes de risco podem ser tangíveis (como ativos) ou intangíveis (como aspectos culturais ou comportamentais).

Evento: É uma ocorrência ou mudança específica de circunstâncias que pode gerar um impacto nos objetivos da organização. Um evento pode ter múltiplas causas e resultar em diversas consequências.

Consequência: O resultado ou impacto de um evento sobre os objetivos da organização. Consequências podem ser positivas ou negativas e ocorrer em diferentes dimensões, como financeira, reputacional ou operacional.

Probabilidade: A chance de um evento ocorrer. Na gestão de riscos, a probabilidade é usada para avaliar a possibilidade de um risco se concretizar e causar uma consequência.

Controle: São medidas que alteram o risco, podendo ser preventivas, detectivas ou corretivas. O objetivo dos controles é reduzir a probabilidade ou o impacto de um risco, ou ambos.

Princípios da gestão de riscos

Os princípios da gestão de riscos, conforme a ISO 31000, fornecem uma base para a criação e proteção de valor nas organizações, ajudando a melhorar o desempenho, apoiar a inovação e alcançar objetivos. Esses princípios são:

1. Integrada: A gestão de riscos deve ser parte integrante de todas as atividades organizacionais, garantindo que os riscos sejam considerados em todas as decisões e processos.
2. Estruturada e Abrangente: Uma abordagem estruturada e abrangente contribui para resultados consistentes e comparáveis, garantindo que todos os riscos sejam gerenciados de forma sistemática.
3. Personalizada: A gestão de riscos deve ser adaptada aos contextos interno e externo da organização, proporcional aos seus objetivos e necessidades.
4. Inclusiva: Envolver as partes interessadas de forma apropriada e oportuna permite considerar seus conhecimentos e percepções, resultando em uma gestão de riscos mais consciente e fundamentada.
5. Dinâmica: A gestão de riscos deve ser capaz de antecipar, detectar e responder a mudanças nos contextos externo e interno da organização, adaptando-se a novos riscos que possam surgir.
6. Melhor Informação Disponível: A gestão de riscos deve basear-se nas melhores informações disponíveis, considerando dados históricos, atuais e expectativas futuras, bem como as limitações e incertezas associadas.
7. Fatores Humanos e Culturais: O comportamento humano e a cultura organizacional influenciam todos os aspectos da gestão de riscos, devendo ser considerados em cada nível e estágio.
8. Melhoria Contínua: A gestão de riscos deve ser continuamente aprimorada através do aprendizado e da experiência acumulada ao longo do tempo.

Esses princípios visam garantir que a gestão de riscos seja eficaz, eficiente e capaz de lidar com a incerteza de maneira consistente, promovendo a proteção e criação de valor dentro da organização.

Estrutura da Gestão de Riscos

A Estrutura da Gestão de Riscos conforme a ISO 31000 é fundamental para integrar a gestão de riscos em todas as atividades e funções da organização.

A eficácia da gestão de riscos depende da sua integração na governança e nos processos de tomada de decisão, com apoio ativo da Alta Direção.

Componentes principais da estrutura:

1. Liderança e Comprometimento: A Alta Direção deve garantir que a gestão de riscos esteja integrada em toda a organização, mostrando liderança ao personalizar e implementar os componentes da estrutura, alocar recursos necessários, e atribuir responsabilidades claras.
2. Integração: A gestão de riscos deve ser incorporada em todas as partes da organização, ajustada ao seu contexto organizacional e cultural. A governança deve alinhar a gestão de riscos com a estratégia e os objetivos da organização.
3. Concepção: Ao desenvolver a estrutura de gestão de riscos, é necessário entender os contextos interno e externo da organização, articulando o compromisso da Alta Direção, atribuindo papéis e responsabilidades, alocando recursos e estabelecendo comunicação e consulta eficazes.
4. Implementação: A estrutura deve ser implementada por meio de um plano adequado que envolva todas as partes interessadas, modificando os processos de tomada de decisão conforme necessário.
5. Avaliação: A organização deve medir periodicamente o desempenho da estrutura de gestão de riscos para garantir que continue adequada e eficaz no suporte aos objetivos organizacionais.
6. Melhoria: A estrutura deve ser continuamente monitorada e adaptada para abordar mudanças internas e externas, com um foco constante em melhorar a adequação e eficácia da gestão de riscos.

Essa estrutura é dinâmica e iterativa, exigindo um compromisso contínuo da organização para assegurar que a gestão de riscos seja parte integral de todas as suas atividades e decisões, contribuindo para um desempenho sustentável e a longo prazo.

Processo de Gestão de Riscos

O processo de gestão de riscos conforme a ISO 31000 é um ciclo contínuo que envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. 

A seguir iremos descrever cada uma das atividades do processo de gestão de riscos.

Comunicação e Consulta

Envolve a troca de informações com as partes interessadas, tanto internas quanto externas, ao longo de todo o processo de gestão de riscos. O objetivo é garantir que todos compreendam os riscos e participem da tomada de decisões.

Escopo, Contexto e Critérios

Define-se o escopo das atividades de gestão de riscos, compreendendo os contextos externo e interno da organização, e estabelecem-se os critérios para avaliar os riscos.

Processo de Avaliação de Riscos

O processo de avaliação de riscos é um dos componentes mais críticos na gestão de riscos, pois ele permite que a organização compreenda a natureza dos riscos, avalie sua significância e tome decisões informadas sobre como lidar com eles.

Este processo é dividido em três etapas principais:

• Identificação de Riscos: Identificar todos os possíveis riscos que possam afetar os objetivos da organização. Durante a identificação, é importante considerar uma ampla gama de fatores, como fontes tangíveis e intangíveis de risco, causas, eventos, ameaças, oportunidades, vulnerabilidades, mudanças nos contextos externo e interno, entre outros.
• Análise de Riscos: Compreender a natureza dos riscos identificados, considerando fatores como probabilidade e impacto. A análise pode ser qualitativa, quantitativa ou uma combinação de ambas, dependendo das circunstâncias ou do uso pretendido. Na análise, são considerados fatores como a probabilidade de eventos, a magnitude das consequências, a eficácia dos controles existentes, a complexidade e conectividade dos riscos, e os fatores temporais e de volatilidade.
• Avaliação de Riscos: O propósito da avaliação de riscos é apoiar decisões. É realizada a comparação dos resultados da análise com os critérios estabelecidos para decidir se os riscos precisam de tratamento. A avaliação pode levar a decisões como: não tomar nenhuma ação adicional, tratar os riscos identificados, realizar mais análises para melhor compreensão do risco, manter os controles existentes, ou reconsiderar os objetivos organizacionais.

Tratamento de Riscos

Envolve selecionar e implementar medidas para tratar os riscos, podendo incluir a mitigação, transferência, aceitação ou eliminação dos riscos. 

Este processo iterativo inclui: formular e escolher as opções de tratamento, planejar e executar essas ações, avaliar sua eficácia, verificar se o risco residual é aceitável, e, se necessário, adotar medidas adicionais.

Monitoramento e Análise Crítica

Consiste no acompanhamento contínuo e na revisão periódica do processo de gestão de riscos para garantir sua eficácia e eficiência. É essencial para adaptar a gestão de riscos às mudanças no contexto da organização.

Registro e Relato

Todos os processos e resultados da gestão de riscos devem ser documentados e relatados para apoiar a tomada de decisões e melhorar as práticas de gestão. O relato é fundamental para a governança e para a comunicação eficaz com as partes interessadas.

Este processo, apesar de ser apresentado de forma sequencial, é na prática iterativo e dinâmico, permitindo ajustes contínuos conforme as circunstâncias e os contextos internos e externos mudam.

Conclusão

A ISO 31000 é uma norma essencial para a gestão de riscos, fornecendo uma estrutura robusta que ajuda as organizações a lidar com incertezas de maneira eficaz e estratégica. Compreender seus princípios, estrutura e processo é importante, especialmente para quem se prepara para concursos como o do TSE, em que uma questão pode fazer muita diferença. Por fim, espero que este resumo seja útil para sua aprovação. Bons estudos!

Quer saber quais serão os próximos concursos?

Confira nossos artigos!

Concursos abertos

Concursos 2024