Diversas políticas e documentos que lidam com gestão de riscos utilizam diferentes terminologia e definições. Pensando neste desafio, a ISO lançou a nova 31073 para padronizar o vocabulário e desenvolver um entendimento comum sobre os termos e conceitos de gestão de riscos entre organizações e funções.
Existem inúmeros tipos de risco, diversas aplicações e diferentes situações que a gestão de riscos é utilizada de forma específica. O problema surge quando os termos relacionados à gestão de riscos são utilizados com significados diferentes e muitas vezes até contraditórios. Esta diversidade de linguagens prejudica a compreensão mútua e consistente para uma abordagem integrada para gestão de riscos, fazendo com que muitos termos sejam mal interpretados, deturpados ou mal utilizados.
A norma internacional da série ISO 31000 - Gestão de Riscos vem substituir a antiga ISO Guide 73 (ABNT ISO Guia 73:2009) e teve a contribuição brasileira através da Comissão de Estudo Especial de Gestão de Riscos da ABNT, que tenho o orgulho de coordenar, grupo com mais de 600 participantes especialistas em mais de 300 organizações.
No Brasil, a versão traduzida da ISO 31073 encontra-se em consulta nacional para comentários e revisão pela ABNT para adoção como Norma Brasileira (ABNT NBR).
Alguns dos 49 termos e definições de destaque no documento são:
risco
efeito da incerteza nos objetivos
Nota 1: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças.
Nota 2: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis.
Nota 3: Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.
objetivo
resultado a ser alcançado
Nota 1: Um objetivo pode ser estratégico, tático ou operacional.
Nota 2: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança e metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, da organização, projeto, produto e processos).
Nota 3: Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado pretendido, um propósito, um critério operacional, como objetivo de um sistema de gestão, ou pelo uso de outras palavras com significado similar (por exemplo, finalidade, meta, alvo).
Obs.: Tradução alinhada à NBR ISO 9000:2015.
gestão de riscos
atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
Recentemente a ABNT também lançou a versão traduzida da ISO 22300 - Segurança e Resiliência - Vocabulário contendo termos e definições para uso em normas e documentos sobre segurança, resiliência e gestão de continuidade de negócios.
Finalmente, sobre este tema, recomendo ainda artigo recente de Fernando Nery: (30) Torre de Babel na LGPD | LinkedIn que discute a necessidade de uma padronização para diversos cursos, práticas, leis e profissionais que tratam o assunto 'proteção de dados e privacidade', muitas vezes com comunicações imprecisas e termos usados sem consistência.
Para participar do Comitê de Gestão de Riscos da ABNT e colaborar com a elaboração e tradução das normas internacionais de gestão de riscos e gestão de continuidade de negócios (GCN), enviar email para risk-l@modulo.com
Até a próxima e espero que utilize os termos e definições da ISO 31073 em seus documentos.
Alberto Bastos, abastos@modulo.com
Founder & CEO Modulo Security
Considerações: A Consulta Nacional da ABNT NBR ISO 31073 está disponível para avaliação até o dia 04/07/2022 no site da ABNT: https://www.abntonline.com.br/consultanacional/
