Você utiliza a ISO 31000? Sabia que a norma está em revisão pela ISO e pode sofrer mudanças significativas?
Não se assuste! Como já é amplamente utilizada e consolidada, o objetivo não é reformular o conteúdo da norma completamente, mas aprimorá-la, preservando ao máximo sua estrutura, conceitos e terminologia.
Como especialista brasileiro no grupo de trabalho que está revisando a ISO 31000, mudanças radicais vão gerar impactos na sua aplicação!
Porém, algumas alterações relevantes estão sendo consideradas, com base em feedbacks de implementação – e uma delas pode fazer grande diferença: a substituição do termo "tratamento de riscos" por "resposta ao risco".
O que você acha?
Essa mudança aprimora a norma ou pode trazer mais desafios do que benefícios?
Por que trocar "Tratamento de Riscos" por "Resposta ao Risco"?
Uma das razões para essa mudança é que o termo "tratamento" pode ser interpretado em alguns contextos como uma ação direta e deliberada para modificar o risco. Já "resposta" abrange tanto intervenções ativas quanto decisões de monitoramento e aceitação do risco. Assim, a abordagem se tornaria mais flexível, reconhecendo que, em alguns casos, a melhor decisão não é modificar o risco, mas aceitar, compreendê-lo e reagir conforme o contexto.
Outro argumento é a convergência com frameworks corporativos e regulatórios internacionais, que já adotam "risk response" como conceito mais abrangente. Essa mudança facilitaria a harmonização terminológica e reforçaria a ligação entre gestão de riscos e tomada de decisão, deixando mais claro que a resposta ao risco não se limita ao controle de ameaças, mas também envolve a identificação e aproveitamento de oportunidades.
Por que manter "Tratamento de Riscos"?
Manter o termo "tratamento" preserva a clareza conceitual que a ISO 31000 consolidou ao longo dos anos, significando qualquer ação para modificar o risco, seja reduzindo sua probabilidade, minimizando impactos, compartilhando responsabilidades ou até mesmo aceitando-o dentro de critérios definidos. Diferente de "resposta", que pode soar mais passivo ou reativo, sugerindo reações pós-evento, podendo gerar confusão entre resposta a incidentes e estratégias de gestão de riscos.
Além disso, a mudança pode gerar desalinhamento com normas atuais, como a ISO 27001 / 27005 (Segurança da Informação) e a ISO 22301 (Continuidade de Negócios), que baseadas na ISO 31000, mantêm "tratamento de riscos" como um processo essencial da gestão.
Esta mudança exigiria então revisões em metodologias, treinamentos e sistemas internos, sem que haja um benefício claro e mensurável. O risco de confusão pode superar o possível ganho de flexibilidade?
Vamos debater!
Os prós e contras desta mudança e outras questões serão discutidas na Comissão Especial de Gestão de Riscos da ABNT - Associação Brasileira de Normas Técnicas, que coordeno e que reúne centenas de participantes com as mais variadas experiências e perfis.
Quer contribuir com essa discussão e ajudar a revisar o futuro da norma?
Entre em contato e participe do nosso comitê!
Abraços,
Sócio-Fundador da Modulo Security Solutions
