ISO 31000: gestão geral de riscos
O ISO 31000 é o padrão internacional de referência para gestão de riscos. Ele fornece um framework que ajuda organizações a identificar, avaliar, priorizar riscos e desenvolver estratégias para gerenciá-los.
O ISO 31000 se organiza em três pilares:
| Pilar | Descrição |
|---|---|
| Princípios | Estabelecer uma cultura de gestão de riscos integrada à organização |
| Framework | Construir um ambiente de suporte por meio de liderança, compromisso e integração nos processos organizacionais |
| Processo | Implementar uma abordagem sistemática para identificar, analisar, avaliar, tratar, monitorar e revisar riscos |
O processo de gestão de riscos do ISO 31000
- Identificar riscos — o que pode dar errado?
- Analisar riscos — qual a probabilidade e o impacto?
- Avaliar riscos — quais são prioritários?
- Tratar riscos — como mitigar, transferir, aceitar ou evitar?
- Monitorar e revisar — os controles estão funcionando?
Exemplos para fixar
Exemplo 1: Uma empresa de saúde quer usar IA para diagnósticos. Pelo ISO 31000, ela: identifica os riscos (diagnósticos errados, viés, violação de privacidade), analisa a probabilidade e impacto de cada um, avalia que diagnósticos errados são o risco prioritário, trata implementando validação humana obrigatória e monitora os resultados mensalmente.
Exemplo 2: O pilar de princípios do ISO 31000 enfatiza que a gestão de riscos deve estar integrada à organização — não ser uma atividade separada. Uma empresa que só faz análise de risco quando exigida por reguladores não está seguindo esse princípio.