04/09/2019 - Equipe Target
NBR ISO/IEC 31010 de 04/2012: as técnicas para o processo de avaliação de riscos
A avaliação de riscos é a identificação de perigos que podem impactar negativamente a capacidade de uma organização em conduzir seus negócios. Essas avaliações ajudam a identificar esses riscos de negócios inerentes e fornecem medidas, processos e controles para reduzir o impacto desses riscos nas operações de negócios.
As empresas podem usar uma estrutura de avaliação de riscos para priorizar e compartilhar os detalhes da avaliação, incluindo quaisquer riscos à sua infraestrutura de tecnologia da informação. Isso pode ajudar uma organização a identificar os riscos potenciais e quaisquer ativos de negócios colocados em risco por esses perigos, bem como possíveis consequências se esses riscos se concretizarem.
Como uma avaliação de risco é conduzida varia muito, dependendo dos riscos exclusivos do tipo de negócio, da indústria em que se encontra o negócio e das regras de conformidade aplicadas a esse determinado negócio ou setor. No entanto, existem algumas etapas gerais que as empresas podem seguir, independentemente de seu tipo de negócio ou setor.
Pode-se identificar os perigos, que seria o primeiro passo em uma avaliação de risco é identificar quaisquer riscos potenciais que, se ocorrerem, influenciariam negativamente a capacidade da organização de conduzir negócios. Os riscos potenciais que podem ser considerados ou identificados durante a avaliação de risco incluem desastres naturais, interrupções de energia, ataques cibernéticos e falta de energia.
Pode-se determinar o que ou quem pode ser prejudicado. Depois que os riscos são identificados, o próximo passo é determinar quais ativos de negócios seriam influenciados negativamente se o risco se concretizasse. Os ativos de negócios considerados em risco para esses riscos podem incluir infraestrutura crítica, sistemas de TI, operações de negócios, reputação da empresa e até mesmo segurança dos funcionários.
Em uma outra etapa, pode-se avaliar os riscos e desenvolver medidas de controle. Uma análise de risco pode ajudar a identificar como os perigos afetarão os ativos da empresa e as medidas que podem ser implementadas para minimizar ou eliminar o efeito desses riscos nos ativos da empresa. Os riscos potenciais incluem danos à propriedade, interrupção de negócios, perdas financeiras e penalidades legais.
Depois disso, pode-se conhecer os resultados da avaliação de risco que necessitam ser registrados pela empresa e arquivados como documentos oficiais de fácil acesso. Os registros devem incluir detalhes sobre riscos potenciais, seus riscos associados e planos para prevenir os riscos.
Por fim, deve-se revisar e atualizar a avaliação de risco regularmente. Os potenciais riscos e seus controles resultantes podem mudar rapidamente em um ambiente de negócios moderno. É importante que as empresas atualizem suas avaliações de risco regularmente para se adaptarem a essas mudanças.
As ferramentas de avaliação de risco, como modelos de avaliação de risco, estão disponíveis para diferentes indústrias. Elas podem ser úteis para empresas que desenvolvem suas primeiras avaliações de risco ou atualizam avaliações mais antigas.
A NBR ISO/IEC 31010 de 04/2012 - Gestão de riscos - Técnicas para o processo de avaliação de riscos é uma norma de apoio à NBR ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.
Targe...