Guia para aplicar o marco de gestão de riscos ISO 31000. Princípios, marco de referência, processo de avaliação e tratamento de riscos.
ISO 31000 fornece princípios e diretrizes para gerenciar riscos de forma sistemática. Diferente de outras normas ISO, não é certificável, mas sua aplicação melhora a tomada de decisões e é a base metodológica de todo sistema de gestão.
Defina o contexto externo (regulações, mercado, partes interessadas) e interno (cultura, estrutura, recursos) que influenciam a gestão de riscos. O contexto determina os critérios de risco.
Use técnicas como workshops, entrevistas, análise de cenários e revisão de incidentes históricos. Cada risco deve ser descrito com sua fonte, evento e consequência potencial.
Estime a probabilidade e o impacto de cada risco. Compare-os com os critérios de risco definidos para determinar quais requerem tratamento e em que ordem de prioridade.
Para cada risco que supere o nível aceitável, escolha uma opção de tratamento: evitar, mitigar, transferir ou aceitar. Documente o risco residual após o tratamento.
Estabeleça indicadores-chave de risco (KRI) e revise periodicamente o registro de riscos. Comunique o estado de riscos à direção e às partes interessadas relevantes.
Não. ISO 31000 é um guia de princípios e diretrizes, não um padrão de requisitos. Não existe certificação ISO 31000, mas seu marco se aplica dentro de normas certificáveis como ISO 27001 ou ISO 22301.
O risco inerente é o nível de risco antes de aplicar controles. O risco residual é o que resta após o tratamento. Ambos devem ser documentados no registro de riscos.
No mínimo trimestralmente, e sempre diante de mudanças significativas no contexto (nova regulação, incidente, mudança organizacional). A revisão pela direção é a instância formal obrigatória.
Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.
Solicitar diagnostico