Desde o lançamento da ISO 31000, em novembro de 2009, as corporações contam com uma norma de gestão de riscos com reconhecimento internacional. Essa série de orientações da International Organization for Standardization (ISO) fornece diretrizes para implementar a gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação. Em entrevista à GRC Management, Alberto Bastos, Diretor de Tecnologia e Sócio-Fundador da Módulo e Coordenador, no Brasil, da Comissão Especial da Associação Brasileira de Normas Técnicas (ABNT) sobre as Normas de Gestão de Riscos, fala sobre os benefícios da ISO 31000 e a participação do Brasil nesse cenário.
GRC Management - Quais são os principais pontos tratados na ISO 31000 e o que mudou no cenário de gestão de riscos após o seu lançamento?
Alberto Bastos - A ISO 31000 é hoje a referência internacional em gestão de riscos. Foi lançada mundialmente em 13 de novembro de 2009 e, no Brasil, foi traduzida e publicada pela Associação Brasileira de Normas Técnicas (ABNT) como norma brasileira ainda em novembro. Junto com a ISO 31000, também foi publicada a ISO Guia 73, que contém a terminologia e os conceitos usados em gestão de riscos.
A ISO 31000 é uma norma com apenas 24 páginas e que contém princípios e diretrizes genéricas para a gestão de riscos nas organizações de todos os tipos e tamanhos. A partir do lançamento da norma, pretende-se que ela seja utilizada para harmonizar os processos de gestão de riscos tanto em normas atuais como em futuras. Nesse sentido, foram lançados diversos outros padrões, normas e regulamentações sobre gestão de riscos e que se baseiam nos conceitos e linguagem da ISO 31000, como, por exemplo, a ISO/IEC 27005 – norma específi ca de gestão de riscos em segurança da informação.
GRC Management - Quais são os principais conceitos da gestão de riscos aplicados hoje e que têm base na norma ISO 31000?
Alberto Bastos - A ISO 31000 estabelece onze princípios básicos que devem ser observados para uma gestão de riscos efi caz nas organizações, em todos os níveis.
A norma também descreve os componentes necessários a uma estrutura de gestão de riscos com os fundamentos e arranjos para incorporá-la por toda a organização, em todos os níveis, e a forma como eles se inter-relacionam de maneira interativa. Outra parte importante é a que fornece o processo padrão que contém as atividades de gestão de riscos. Convém que esse processo seja parte da gestão, incorporado à cultura e às práticas, e adaptado aos processos de negócios da organização.
Finalmente, a norma oferece um anexo informativo que contém atributos de uma gestão de riscos avançada para auxiliar as organizações a medirem seu desempenho e indicadores tangíveis para cada atributo.
GRC Management - As organizações estão buscando se adequar à ISO 31000? De que forma?
Alberto Bastos - As empresas vêm utilizando a ISO 31000 como referência para concepção e implementação de planos e estruturas para gestão de riscos, levando em conta as suas necessidades específi cas, segundo seus objetivos, estrutura, processos, funções, produtos, serviços e práticas específi cas empregadas.
GRC Management - Ela é válida também para pequenas empresas ou apenas para as de grande porte?
Alberto Bastos - A norma pode ser utilizada por empresas de todos os tipos e tamanhos, seja empresa pública, privada ou comunitária, associação, grupo ou indivíduo. Portanto, não é específi ca a uma indústria ou um segmento e pode ser aplicada também a todos os tipos de riscos, sejam estratégicos, fi nanceiros ou operacionais.
GRC Management - Qual é o papel da Módulo como parceira das organizações que almejam a excelência em gestão de riscos com base na ISO 31000?
Alberto Bastos - A Módulo tem colaborado ativamente com o desenvolvimento de normas de gestão de riscos e padrões em segurança da informação. No Brasil, coordeno pessoalmente o Comitê de Gestão de Riscos da ABNT, composto por mais de 500 empresas dos mais diferentes setores, como bancos,indústrias, hospitais, universidades, tecnologia, seguradoras, telecomunicações, energia etc. Em TI, o foco da Módulo é contribuir para o desenvolvimento de padrões relacionados à segurança da informação, como a série de normas ISO 27000 e ISO 20000, além de apoiar a tradução de frameworks como o COBIT – Control Objectives for Information and related Technology.
Nos EUA, estamos participando de grupos de trabalho ligados a defesa cibernética e interoperabilidade de sistemas de segurança da informação, como, por exemplo, membros do Conselho do OVAL – Open Vulnerability and Assessment Language e do CCE – Common Confi guration Enumeration.
GRC Management - Existem modelos de aplicação dessa nova norma? Como são?
Alberto Bastos - Recentemente, a ISO criou um comitê internacional composto por 35 países para desenvolver a ISO 31004 – diretrizes para implementação da ISO 31000, que fornecerá orientações práticas e informações detalhadas de como as organizações podem implementar a estrutura e os processos defi nidos na ISO 31000. A primeira reunião desse comitê ocorreu em setembro, em Londres. Eu estive lá, coordenando a delegação brasileira que participou de forma ativa dos trabalhos.
GRC Management - Quais são as diferenças entre o modelo de gestão de riscos baseado na ISO 31000 e os outros?
Alberto Bastos - Por se tratar de norma ISO, tem reconhecimento internacional e está disponível em vários idiomas. É fruto de um trabalho que envolveu centenas de especialistas de vários países, com experiências e conhecimentos nos mais variados tipos de empresas e organizações. Trata de objetivos nos seus mais diferentes aspectos, sejam negativos ou positivos, como metas fi nanceiras, de saúde e segurança ou ambientais, e que podem ser aplicados a diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).
GRC Management - Existem diversos cursos sobre a ISO 31000 e muito se fala dela. Por que essa norma é tão importante?
Alberto Bastos - Todas as atividades de uma organização envolvem risco. Hoje em dia, as empresas estão tratando internamente a gestão de riscos de diferentes modos, áreas e níveis e utilizando termos e conceitos distintos. Isso cria uma verdadeira “Torre de Babel”, onde pessoas, áreas ou funções, dentro da própria organização, falam línguas diferentes. É preciso criar uma linguagem comum, e a ISO 31000 descreve exatamente esse processo de forma sistemática, lógica e em detalhes.
No comments:
Post a Comment
Digite seu comentario