Gestão de riscos e ISO 31000: o que esperar da revisão da norma

Um risco é o efeito da incerteza nos objetivos. E compreendê-lo é o primeiro passo para superá-lo. 

Esse é o lema de gestores de risco que seguem a ISO 31000, norma internacional de diretrizes para gestão de riscos publicada pela International Organization for Standardization (ISO). 

Atualmente, a ISO 31000 está passando por um processo de revisão, o que vai impactar diretamente o trabalho de profissionais de segurança e compliance. 

Para responder dúvidas sobre esse processo, a Pós PUC-Rio Digital realizou o evento “Compliance de Cibersegurança: Revisão da ISO 31000 e o futuro da gestão de riscos” em 26 de maio de 2025. 

Falaram sobre o tema Alberto Bastos, CEO da Modulo Security e líder da delegação brasileira no comitê da ISO responsável pela série 31000; e Anderson Oliveira, professor do Departamento de Informática da PUC-Rio. 

Confira, a seguir, um resumo das principais ideias discutidas no evento. Boa leitura! 

Por que a gestão de riscos é tão importante para as organizações? 

A gestão de riscos é importante para as organizações porque é essencial na tomada de decisão. E nós tomamos decisões o tempo todo. 

Ou essa decisão é para afastar uma ameaça, um perigo, afastar algum tipo de prejuízo que possa impactar nos nossos objetivos. Ou é uma decisão de aproximar, né? 

É até por isso que não gosto de dizer “reduzir risco”, pois, se o risco é positivo, você quer induzi-lo. 

A definição de risco ajuda a entender essa importância. Um risco é o efeito da incerteza nos objetivos. Ou seja, se temos um objetivo, temos um risco – e tudo que nos ajuda a atingir esse objetivo também é um risco. 

Qual a relevância da ISO 31000 para a gestão de riscos? 

Na área da gestão, a ISO é a organização mais conhecida e mais potente na produção de normas de gestão. Uma bastante conhecida é a ISO 9000, de gestão de qualidade. Hoje é impossível pensar algum profissional que trabalhe na área de qualidade que não conheça ou não aplique a ISO 9000. 

Temos várias outras normas bastante conhecidas: a 22301, de gestão de continuidade de negócio; a 27005, de gestão de riscos em segurança da informação... 

Repare que sempre temos o conceito de gestão nas normas da ISO. Algumas delas são chamadas de requisitos, necessários para a implementação de um sistema de gestão. 

Não é o caso da ISO 31000. Ela não é uma norma de requisitos, não é uma norma de gestão, mas uma norma de diretriz. E qual a diferença? 

Em uma norma de requisito, na prática, é comum estar escrito “você deve fazer isso”, “você deve fazer aquilo”. Ela tem um caráter de obrigatoriedade. 

Já uma norma de diretriz diz “convém que você faça isso”, “convém que você faça aquilo”. A ISO 31000 é uma “norma de convém”. Ela contém as melhores práticas de gestão de riscos. 

A ISO 31000 coloca como propósito da gestão risco a criação e proteção de valor. De acordo com a norma, uma gestão de riscos eficaz e eficiente deve observar 8 princípios. Ela tem que ser integrada, estruturada e abrangente, personalizada, inclusiva, dinâmica, se basear na melhor informação disponível, dar atenção a fatores humanos e culturais e, por fim, prever melhoria contínua. 

Por que os princípios da ISO 31000 são tão importantes para a gestão de risco? 

Os princípios da ISO 31000 são importantes pois segui-los garante uma gestão de risco eficaz. A norma padronizou o “riskbase thinking” (termo que pode ser traduzido para “mentalidade de risco” ou “mentalidade baseada em risco”) em diversas áreas, servindo como um guarda-chuva para outras ISOs. 

Quando falamos da ISO 9000, por exemplo, ela é baseada em riscos: o risco de produzir um produto sem qualidade e deixar o cliente insatisfeito. A ISO 22301, a norma de continuidade de negócios, é baseada no risco antissuborno. 

Além disso, a ISO 31000 influenciou a criação de outras normas específicas, como a 27005, que aplica a gestão de riscos em segurança da informação. Outro exemplo é a 23894, que trata sobre gestão de riscos em inteligência artificial. 

Por que a estrutura da ISO 31000 é considerada um ciclo virtuoso para uma gestão bem-sucedida? 

A estrutura da ISO 31000 é considerada um ciclo virtuoso por ser um framework orientador, que se adapta a diferentes áreas. Apesar de não utilizar uma terminologia parecida com a do modelo PDCA (Plan, Do, Check, Act), a norma envolve um ciclo semelhante, com planejamento, execução, avaliação e melhoria contínua. 

Inicialmente, houve a percepção de que a norma provocaria uma mudança abrupta e generalizada, mas com o tempo percebeu-se que sua adoção ocorre de forma gradual, como uma "contaminação positiva". 

A gestão de riscos deve ser integrada aos processos da organização, como segurança da informação, gestão de projetos, qualidade e continuidade de negócios, e não funcionar como um processo isolado. 

A integração é essencial para a eficácia da gestão de riscos; quando áreas tratam o tema de forma isolada, cria-se uma estrutura ineficaz. O planejamento (design) da implementação é indispensável, assim como a liderança e o comprometimento da alta direção, pois a governança é um movimento top-down, que exige definição de políticas, normas, recursos e responsáveis. 

A implementação consiste em incorporar sistematicamente o processo de gestão de riscos em todas as áreas, garantindo uma linguagem comum. A avaliação contínua é necessária para verificar se a estrutura está funcionando, agregando valor e apoiando a tomada de decisão, evitando que se torne apenas uma tarefa burocrática. 

Por fim, a melhoria contínua é fundamental, considerando que o contexto organizacional muda com o tempo. Estruturas de gestão obsoletas podem comprometer a resposta a incidentes, como planos de continuidade desatualizados. 

A estrutura deve ser adaptada à realidade de cada organização, desde grandes empresas até pequenas e microempresas, formando um ciclo virtuoso: o bom funcionamento de cada componente fortalece todo o sistema. 

Na ISO 31000, qual é a finalidade das atividades do processo de gestão de riscos? 

O objetivo das atividades do processo é chegar a ações que reduzam ou eliminem os riscos. 

Na ISO 31000, o processo visa a ser incorporado em todos os sistemas, áreas e decisões organizacionais. Ele é representado de maneira cíclica, para mostrar que está sempre em funcionamento, sem início, meio e fim definidos. 

Embora tenha uma sequência, especialmente nas atividades centrais, a ideia é que seja aplicado em todas as áreas e tipos de risco, sejam negativos ou oportunidades, como no planejamento estratégico com a matriz SWOT. 

 O processo começa com a comunicação e consulta, em que se identificam e consultam as partes interessadas para coletar informações que alimentam todo o ciclo. 

A partir dessas informações, define-se o escopo, o contexto e os critérios do processo, incluindo o apetite por risco, que varia conforme a postura mais arrojada ou conservadora da organização. Esse apetite orienta o que é considerado um risco aceitável ou não. 

Em seguida, ocorre a avaliação de risco, composta por três etapas: identificação, análise e avaliação propriamente dita. 

A identificação consiste em reconhecer as incertezas que podem afetar os objetivos, utilizando técnicas como brainstorming ou análise SWOT. 

A análise quantifica o risco, relacionando probabilidade e impacto, podendo usar métodos sofisticados, como o FAIR, especialmente útil para riscos financeiros e cibernéticos. 

A avaliação compara os resultados da análise com os critérios previamente definidos, decidindo se o risco é aceitável ou exige tratamento. 

O processo culmina na etapa de tratamento de risco, fundamental para implementar ações que reduzam ou eliminem os riscos identificados. Sem essa etapa, o processo se tornaria meramente burocrático, sem impacto prático. 

Como o gestor de riscos deve agir para reverter eventuais recuos da alta direção? 

A gestão de riscos muitas vezes revela realidades indesejadas, que podem incomodar e fazer a alta direção de uma organização recuar na adesão do plano de ação. 

Nesse contexto, o trabalho deve ser feito de baixo para cima, o que é mais complexo, mas necessário. Mesmo sem uma política formal, apetite ao risco definido ou apoio da alta direção, é possível aplicar processos de gestão de risco, como os previstos na ISO 31000, que, embora não seja obrigatória, serve como uma referência importante. 

A gestão de risco funciona como uma espécie de seguro, já que não existe segurança 100%. Caso ocorra um incidente, é essencial comprovar que não houve negligência, imprudência ou imperícia. 

A aplicação sistemática das normas e melhores práticas evidencia que o gestor foi diligente e seguiu as orientações recomendadas, mesmo sem garantir a eliminação total dos riscos. 

Além disso, é fundamental manter registros e relatórios sobre os riscos identificados, sua probabilidade e comunicação às partes responsáveis, fortalecendo a necessidade de envolvimento da alta direção. 

A segurança da informação deixou de ser uma responsabilidade exclusiva de técnicos, passando a ser uma preocupação estratégica. 

Legislações e regulamentações, como o GDPR na Europa, a LGPD no Brasil e o DORA (Digital Operational Resilience Act), reforçam a importância da resiliência digital frente à crescente digitalização. 

O mesmo ocorre com a regulamentação de inteligência artificial, como o Projeto de Lei 2338/23 no Brasil, que, assim como outras normas, adota uma abordagem baseada em risco. 

Esse cenário evidencia que a gestão de riscos cibernéticos é uma responsabilidade compartilhada, que deve ser encarada com seriedade por todas as esferas da organização, especialmente pela alta liderança. 

Como fazer uma “gestão de riscos verdadeira” e fugir de práticas superficiais? 

Muitas vezes, as organizações criam processos e controles apenas para demonstrar conformidade, sem realmente implementá-los de forma eficaz. Essa situação é comparada a uma gestão “de fachada”, onde o foco está mais em aparentar do que em efetivamente proteger a organização. 

A gestão de riscos verdadeira deve apoiar decisões estratégicas, indo além de documentos e comitês fictícios. É fundamental que os controles sejam testados e avaliados quanto à sua eficácia, evitando surpresas quando problemas reais ocorrerem, como ataques de ransomware que podem gerar prejuízos bilionários. 

A avaliação periódica da eficácia dos controles e a integração da gestão de riscos são fundamentais nos processos estratégicos, incorporando conceitos como apetite por risco. 

Além disso, a auditoria interna desempenha papel essencial na validação da maturidade e da eficácia desses controles, assegurando que a gestão de riscos seja uma prática concreta e não apenas simbólica. 

A ISO 31000 será totalmente reorganizada? Os processos terão que ser reformulados? 

A ISO 31000 não será totalmente reorganizada. Organizações que usaram a norma como base desde o começo não precisarão reformular todos os processos. 

A versão atual, de 2018, está passando por uma revisão sistemática. A maioria dos países, incluindo o Brasil, votou pela sua manutenção, reconhecendo o impacto e a estabilidade que proporciona. 

Apesar de algumas sugestões para ampliar orientações ou modificar definições, optou-se por manter a norma enxuta, com apenas 20 páginas, complementada por guias de implementação e normas auxiliares. 

Um grupo de trabalho foi criado para avaliar pequenas melhorias, mas não há previsão de mudanças significativas ou transformações radicais. O processo de revisão segue um ciclo rigoroso e a próxima versão poderá surgir por volta de 2028, com ajustes pontuais para clarificar conceitos, mas sem alterar a essência da ISO 31000.