Uma gestão de riscos eficaz começa com a clareza e a precisão na comunicação, que dependem diretamente do vocabulário utilizado. Muitas organizações se baseiam no ISO Guide 73 para definir os termos e conceitos relacionados à gestão de riscos. Contudo, em 2022, a ISO introduziu a nova ISO 31073 - Vocabulário, que veio substituir o ISO Guide 73, tornando-o obsoleto.

A ISO realiza periodicamente revisões e atualizações em suas normas para melhorar a clareza e aplicabilidade, garantindo que continuem relevantes e alinhadas com as práticas contemporâneas e inovações tecnológicas.

Em 2 de novembro de 2023, o ISO Guide 73 foi oficialmente cancelado. Essa atualização visa harmonizar a terminologia usada em todo o mundo, trazendo definições claras para 49 termos essenciais na área de gestão de riscos, desde o próprio conceito de "risco" até nuances mais específicas, como "efeito da incerteza nos objetivos". Estas definições são fundamentais, considerando a diversidade de interpretações e a aplicação variada de termos em diferentes contextos organizacionais e setoriais.

É importante alertar que, até hoje, muitas empresas e referências continuam a usar a terminologia desatualizada, que pode levar a confusões e interpretações erradas, comprometendo a gestão de riscos. Este artigo destaca a urgência e a importância de atualizar os documentos para alinhá-los com o novo vocabulário.

A gestão de riscos é uma área dinâmica, com novas ameaças, tecnologias e estratégias emergindo constantemente. A ISO 31073 foi desenvolvida para refletir essas mudanças, oferecendo um vocabulário atualizado que facilita a compreensão comum e melhor comunicação com todas as partes interessadas.

Mais do que uma simples atualização de vocabulário

A transição para a ISO 31073 é mais do que a mera substituição de termos antigos por novos ou uma mudança puramente burocrática. É uma oportunidade para revisar e atualizar todos os documentos de gestão de riscos, começando pela política. As etapas para esta atualização incluem:

1. Avaliação abrangente: Inicie com uma avaliação de todos os documentos de gestão de riscos existentes, identificando onde os termos e conceitos desatualizados do ISO Guia 73 ainda estão sendo utilizados.

2. Revisão de Documentos: Atualize a política de gestão de riscos e todos os documentos relacionados com o vocabulário da ISO 31073, incluindo normas, planos, relatórios, procedimentos e até materiais de treinamento.

3. Educação e Treinamento: Garanta que toda a equipe esteja familiarizada com a nova terminologia da ISO 31073, considerando sessões de treinamento ou workshops para facilitar uma transição.

4. Implementação e Comunicação: Após a atualização dos documentos, implemente as mudanças na organização e garanta que as partes interessadas, internas e externas, estejam cientes das atualizações e compreendam os novos termos e conceitos.

5. Monitoramento e Melhoria Contínua: Continue monitorando a eficácia das práticas de gestão de riscos, ajustando-as conforme necessário para garantir a conformidade e a melhoria contínua das estratégias de riscos.

Um exemplo ilustrativo: "Apetite por Risco"

Vejamos o uso do termo "apetite por riscos", que ainda hoje é comum utilizar variações como "apetite de riscos", "apetite a riscos" e "apetite para riscos" em documentos corporativos, políticas internas e literatura especializada. Essa diversidade de expressões gera confusão, além de impedir a compreensão e aplicação uniformes do conceito.

Neste caso, por exemplo, se parte da organização interpreta "apetite por riscos" como a disposição para assumir riscos elevados em busca de grandes recompensas, enquanto outra parte vê como uma preferência por cautela e riscos minimizados, a discrepância pode levar a estratégias de risco conflitantes, afetando a tomada de decisão e a alocação de recursos.

A ISO 31073 elimina essa confusão ao estabelecer "apetite por riscos" como o termo padrão, definindo-o precisamente e garantindo um entendimento comum em todas as organizações.

apetite por riscos: quantidade e tipo de riscos que uma organização está disposta a buscar ou reter.

Se sua organização ainda se baseia em termos e conceitos do antigo ISO Guide 73, agora é o momento de revisar e atualizar suas políticas e documentos para a ISO 31073. Aproveite a oportunidade, atualize seu vocabulário de gestão de riscos, assegurando que todos estejam alinhados com as práticas mais atuais e garantindo que falem a mesma língua, eliminando ambiguidades.

Até a próxima,

Alberto Bastos, abastos@modulo.com

Founder & CEO Modulo Security

Mais informações sobre a versão brasileira da norma quando Consulta Nacional pela ABNT no artigo: O novo vocabulário da ISO 31073 para gestão de riscos

Aproveito também para recomendar o artigo de Fernando Nery sobre a "Torre de Babel na LGPD", reforçando a importância de um vocabulário consistente não apenas para a gestão de riscos, mas também para a compreensão e uso em leis e normas relacionadas à LGPD, proteção de dados e privacidade.