III_Teorico

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Análise de Riscos e 
Vulnerabilidade em 
Redes e Sistemas
ABNT NBR ISO 31000:2018
Responsável pelo Conteúdo:
Prof.ª Esp. Renata Farragoni Rodrigues da Silva Sodré
Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução;
• ABNT NBR ISO 31000:2018;
• O Processo de Implementação da ABNT NBR ISO 31000.
Fonte: Getty Im
ages
Objetivo
• Apresentar de maneira sintética as atividades compreendidas na Norma ABNT NBR 
ISO 31000:2018, indicando outras bibliografias que apresentam como executar uma ges-
tão de riscos. 
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
ABNT NBR ISO 31000:2018
UNIDADE 
ABNT NBR ISO 31000:2018
Contextualização
Na unidade anterior, você foi apresentado(a) a algumas breves definições do que vem 
a ser “risco”, bem como uma atividade da “gestão de risco”, a “identificação dos riscos” 
voltada para a área de proteção da informação. Agora, nesta unidade, você aprenderá 
que existe uma norma internacional que conduz as organizações a aderirem a algu-
mas atividades que a tornarão eficientes e eficazes, com um custo reduzido, em todo o 
processo de gestão de rico. Esperamos que você aproveite esta leitura e que os temas 
abordados sirvam de base para seus estudos futuros.
6
7
Introdução
Estamos constantemente gerenciando riscos, às vezes, conscientemente e, outras 
vezes, não. A necessidade de a gestão de riscos ser realizada de maneira sistemática 
aplica-se a todos os indivíduos, organizações, funções e atividades dos processos opera-
cionais de organização.
A implementação correta e eficaz da gestão de riscos faz parte das melhores práticas 
de negócios, tanto no âmbito corporativo quanto no estratégico, e é também uma ma-
neira de buscar a melhoria das atividades operacionais.
Em inglês, o uso da palavra ‘risk’ normalmente tem uma conotação negativa: o ris-
co como algo a ser minimizado ou evitado. Na definição mais genérica da ISO 31000, 
consideramos que as atividades envolvendo riscos podem ter tanto resultados positivos 
quanto negativos. Os processos descritos nesta unidade podem ser usados para identifi-
car e explorar oportunidades de melhorar os resultados organizacionais e de reduzir as 
consequências negativas.
 Você e seus colegas de curso deverão estar cientes de que este uso do termo difere da sua 
forma mais restrita usada em outros setores (por exemplo, a TI pelas considerações apre-
sentadas pelo NIST em seus boletins). Por exemplo, em algumas áreas, os termos ‘gestão 
de riscos’ e ‘controle de riscos ‘ são utilizados para descrever as formas de lidar com os riscos 
identificados, para as quais empregamos aqui o termo ‘tratamento de riscos’.
Risco é algo inerente a tudo que fazemos, seja optar por utilizar o carro ao transporte 
público, gerenciar um projeto, lidar com um cliente, determinar as prioridades para se 
executar uma atividade do trabalho antes da outra, tomar decisões sobre o futuro ou 
decidir simplesmente não tomar nenhuma ação e deixar a vida te levar.
A gestão de riscos é parte integrante das boas práticas empresariais. Aprender a ge-
renciar riscos de maneira eficaz possibilita que os gerentes melhorem os resultados por 
meio da identificação e da análise de uma gama mais ampla de questões, fornecendo 
uma forma sistemática de tomar decisões fundamentadas em informações.
A exemplo disso, temos a (AAP, 2018) ressaltando a respeito do papel do conselho 
de administração no gerenciamento de riscos, para além dos conceitos de conformi-
dade e compliance (conformidade com leis e regulamentos). Segundo essa cartilha, 
Ticker (1995) cita que antes houvera um comitê australiano de governança corporativa 
apontando que o gerenciamento de riscos agregava valor no dimensionamento estra-
tégico (nesse caso, somente para os financeiros). Nas palavras daquele comitê foi dito 
que “the board’s key role is to ensure that corporate management is continuously and 
 effectively striving for above average performance, taking account to risk”.
E também o (NIST, 2002), nas primeiras linhas do seu boletim, diz que são depen-
dentes do uso de processos gerenciamento de riscos que suportem uma tomada de 
7
UNIDADE 
ABNT NBR ISO 31000:2018
decisões em toda e qualquer ameaça contra as infraestruturas críticas, a segurança de 
custo efetivo e a continuidade das operações de um país.
Assim, é bom desmistificar que o gerenciamento de riscos é somente mais uma bu-
rocracia a ser trazida para dentro do ambiente corporativo. Uma vez que os princípios 
apresentados nesta unidade são genéricos em sua natureza e amplamente independen-
tes de qualquer tipo de estrutura organizacional. 
As técnicas para o processo de avaliação de riscos, apresentadas na Norma inter-
nacional ISO/IEC 31010, fornecem às pessoas, em todos os níveis, uma abordagem 
sistemática para a gestão de riscos que são parte integrante de suas responsabilidades.
ABNT NBR ISO 31000:2018
Uma implementação de gestão de riscos eficaz requer que os princípios estabeleci-
dos, no capítulo 4 da Norma ABNT ISO 31000, sejam seguidos durante todo o proces-
so de implantação. Tais princípios devem ser feitos de maneira:
• Integrada: A gestão de riscos é parte integrante de todas as atividades organizacionais;
• Estruturada e abrangente: Ter uma abordagem estruturada e abrangente para a 
gestão de riscos contribui para que os resultados sejam consistentes e comparáveis;
• Personalizada: A estrutura e o processo de gestão de riscos devem ser personali-
zados e proporcionais aos contextos externo e interno da organização de forma a 
estarem relacionados aos seus objetivos;
• Inclusiva: O envolvimento apropriado e oportuno das partes interessadas ao pro-
cesso de gestão de risco possibilitará que conhecimentos anteriores, pontos de 
vista e percepções sejam considerados, permitindo que o resultado de todo esse 
processo alcance em uma melhor conscientização com uma gestão de riscos fun-
damentada em todo o seu tratamento ;
• Dinâmica: Riscos podem emergir, mudar ou desaparecer à medida que os contex-
tos externo e interno mudem em uma organização. A gestão de riscos antecipa, 
detecta, reconhece e responde a essas mudanças e eventos de uma maneira apro-
priada e oportuna;
• Melhor informação disponível: As entradas para a gestão de riscos são basea-
das em informações atuais e históricas, bem como em expectativas futuras para 
o alcance de novos mercados originados de suas atividades. A gestão de riscos 
explicitamente leva em consideração quaisquer limitações e incertezas associadas a 
essas informações e expectativas. Convém que a informação seja oportuna, clara e 
disponível para as partes interessadas pertinentes;
• Fatores humanos e culturais: O comportamento humano e a cultura influenciam 
significativamente todos os aspetos da gestão de riscos em cada nível e estágio;
• Melhoria contínua: A gestão de riscos é melhorada continuamente por meio do 
aprendizado e experiências.
8
9
Fatores 
humanos
eculturais
Melhoria
contínua
Integrada
Estruturada e
abrangente
Personalizada
InclusivaDinâmica
Melhor
informação
disponível
Criação e
proteção
de valor
Figura 1 – Princípios
Fonte: Adaptado de ABNT NBR ISO 31000 – Gestão de Riscos – Diretrizes (pág. 3)
Alguns dos benefícios da gestão de riscos
• Redução de resultados inesperados (surpresas): O controle de eventos adver-
sos é aprimorado por meio da identificação e da tomada de ações para minimizar 
sua probabilidade e reduzir seus efeitos. Mesmo quando tais eventos não podem 
ser prevenidos, a organização pode alcançar um grau de flexibilidade por meio de 
planejamento e preparação;
• Aproveitamento das oportunidades: O comportamento de buscar oportunidades 
é aprimorado se as pessoas têm confiança no seu entendimento dos riscos e têm a 
capacidade necessária para gerenciá-los;
• Melhoria do planejamento, desempenho e eficácia: O acesso a informações 
estratégicas sobre a organização, suas operações e seu ambiente possibilitam um 
planejamento mais adequado e eficaz. Isso, por sua vez, aumenta a habilidade da 
organização de capitalizar as oportunidades, mitigar resultados negativos e obter 
um melhor desempenho;
• Economia e eficiência: Os benefícios em economia e eficiência podem ser obtidos 
quando são direcionados alguns recursos, ou protegendo ativos (em caso de vaza-
mento de dados, por exemplo) ou evitando erros que geram custos;
• Melhoria das relações com as partes interessadas: A gestão de riscos motiva a 
organização a identificar as partes interessadas (internas e externas) e a desenvolver 
um diálogo de mão dupla entre elas e a organização. Esse canal de comunicação 
traz à organização informações sobre como as partes interessadas reagirão a novas 
políticas, produtos ou decisões, e permite às partes interessadas compreenderem 
por que determinadas ações foram tomadas;
• Melhoria das informações para a tomada de decisão: A gestão de riscos fornece 
informações e análises mais precisas para a tomada de decisões estratégicas, tais 
como em grandes investimentos, fusões e aquisições;
9
UNIDADE 
ABNT NBR ISO 31000:2018
• Melhoria da reputação: Investidores, credores, seguradoras, fornecedores e clien-
tes são cada vez mais atraídos para organizações que reconhecidamente têm um 
processo bem definido, implementado e satisfatório de gestão de riscos;
• Proteção de diretores e gerentes: A boa gestão de riscos facilita a diligência por 
parte dos diretores e gerentes da organização;
• Responsabilidade, garantia e governança: Podem-se obter benefícios demons-
trando e documentando a abordagem de gestão adotada, e colocando o foco de 
cada nível da organização na conformidade com requisitos e na melhoria do desem-
penho organizacional;
• Bem-estar pessoal: A gestão eficaz de riscos pessoais normalmente melhora a 
saúde e o bem estar das pessoas que a praticam e da sociedade a qual a organiza-
ção está inserida (operações).
Algumas aplicações da gestão de riscos
A gestão de riscos possui uma gama variada de aplicações, em setores variados, 
em condições variadas, durante as fases de planejamento, operação, testes etc. Vale 
ressaltar que: em processos menos formais, podem ser apropriadas aquelas aplicações 
que sejam adequadas em decisões menos importantes; todos os resultados devem ser 
armazenados para gerar dados históricos para a organização. Assim, seguem alguns 
exemplos de aplicações da gestão de riscos.
• Durante as fases do planejamento estratégico, operacional ou de negócios;
• Durante as fases da gestão de ativos ou planejamento de recursos;
• Durante o planejamento, ou de ocorrência (planejada ou não) da interrupção e 
continuidade dos negócios;
• Nos processos mudança organizacional, tecnológica e política;
• Para atendimento de projeto e responsabilidade pelo produto, como o de imple-
mentação de uma ISO 9000;
• Pelas consequências do não atendimento dos compromissos civis, dos diretores e 
gerentes, junto aos órgãos de fiscalização;
• Durante o desenvolvimento de políticas públicas ou organizacionais;
• Durante o planejamento de questões ambientais (impactos);
• Em questões relativas à ética, fraude, segurança patrimonial e probidade;
• Para a alocação de recursos (gerenciando a capacidade deles, por exemplo);
• Em questões relacionadas à conformidade com os risco público e responsabilidade 
civil geral;
• Fazendo os estudos de viabilidade;
• Para atendimento, ou não, em questões de conformidade;
• Para atendimento, ou não, de algumas responsabilidades atreladas a segurança e 
saúde no trabalho;
• Para planejar as operações e sistemas de manutenção;
10
11
• Durante a gestão de projetos; e
• Durante os processos e atividades de gestão de compras (escolha do fornece-
dor) e contratos.
A gestão de riscos e sua relação com a governança corporativa
Segundo os estudos apresentados pela (AAP, 2018), a gestão de riscos contribui para a 
boa governança corporativa dando garantias à diretoria e à gerência sênior de que os objeti-
vos organizacionais serão alcançados dentro de um grau aceitável de risco residual. Seu foco 
está na conduta e na relação entre diretores, gerentes e acionistas da organização e pode 
ser definida como o sistema por meio do qual as organizações são dirigidas e controladas.
Uma gestão de riscos satisfatória não somente contribui para a boa governança, 
mas também ajuda a proteger diretores e gerentes em caso de resultados adversos. Ela 
fornece uma estrutura para facilitar a comunicação e a consulta entre as partes interes-
sadas externas, órgãos do governo, alta direção e funcionários de todos os níveis, sobre 
a definição e consecução dos objetivos organizacionais.
Uma vez que os riscos tenham sido gerenciados de acordo com o processo estabele-
cido na Norma ISO 31000:2018, a proteção ocorrerá em dois níveis. No primeiro, os 
resultados adversos talvez não sejam tão graves o quanto poderiam ser. No segundo, os 
responsáveis podem, em sua defesa, demonstrar que agiram com o devido zelo.
O Processo de Implementação 
da ABNT NBR ISO 31000
Este capítulo está relacionado à seção 6 da Norma ABNT NBR ISO 31000: 2018.
Processo de gestão de riscos
Escopo, contexto
e critério
Tratamento
de riscos
Registro e relato
Processo de
avaliação de riscos
Co
m
un
ica
çã
o e
 co
ns
ul
ta
M
on
ito
ra
m
en
to
 e 
an
ál
ise
 cr
íti
ca
Identificação
de riscos
Análise
de riscos
Avaliação
de riscos
F igura 2 – Processo
Fonte: Adaptado de ABNT NBR ISO 31000 – Gestão de Riscos – Diretrizes (pag. 9)
11
UNIDADE 
ABNT NBR ISO 31000:2018
As diretrizes detalhadas sobre a aplicação de cada etapa do processo de gestão de 
riscos serão apresentadas nos subtítulos a seguir seguidos de suas respectivas seções de 
Norma ABNT NBR ISO 31000. São elas:
• Comunicação e consulta (seção 6.2);
• Escopo, contexto e critérios (seção 6.3);
• Identificação de riscos (seção 6.4.2);
• Análise de riscos (seção 6.4.3);
• Avaliação de riscos (seção 6.4);
• Tratamento de riscos (seção 6.5);
• Monitoramento e análise crítica (seção 6.6);
• Registro e relato (seção 6.7).
Embora o processo de gestão de riscos (apresentado na Figura 2) seja frequentemen-
te apresentado como sequencial, na prática, ele é iterativo.
Escopo, contexto e critérios
M
on
ito
ra
m
en
to
 e 
an
ál
ise
 cr
íti
ca
Co
m
un
ica
çã
o e
 co
ns
ul
ta
Identi�cação de riscos
Análise de riscos
Avaliação de riscos
Tratamento de riscos
Registro e Relato
Figura 3 – Relação de iteratividade das atividades
Sendo assim, para as suas atividades ao longo de sua execução, automaticamente 
se retroalimentam com as saídas das atividades anteriores ou paralelas. Requeren-
do, assim, reavaliações de suas práticas e processos existentes de gestão de riscos, 
verificando quaisquer lacunas e abordando essas lacunas no âmbito da estrutura de 
toda a implementação.
Nas reavaliações, a Norma ABNT NBR ISO 31000:2018 ilustra os elementos 
desta estrutura.
12
13
Melhoria
Integração
Concepção
ImplementaçãoAvaliaçãoLiderança e 
comprometimento
Figura 4 – Componentes de uma estrutura de Implementação
Fonte: Adaptado de Norma NBR ISO IEC 31000
Para tanto, iniciemos os conceitos que cada atividade da Norma representa.
Desenvolvimento do processo de comunicação e consulta
Este trecho está relacionado à subseção 6.2 da Norma ABNT NBR ISO 31000:2018 .
Seu propósito (subseção 6.2)
O propósito desta subseção da Norma é identificar as partes interessadas e compre-
ender que a organização não escolhe as partes interessadas que quiser. Se algum grupo 
não for considerado inicialmente, tenha em mente que, em momento posterior, ele pode 
ser incluído, porém, durante esse tempo em que eles estiveram ausentes, eles perderam 
os benefícios de consulta e deixaram de agregar valor com o processo de gestão de risco 
por, talvez, terem tido experiências relevantes ao processo.
As partes interessadas são aquelas que podem afetar, serem afetadas, ou ainda se conside-
rarem afetadas pela organização (ou pelo processo de gestão de riscos). Em outras palavras, as 
partes interessadas são as pessoas ou grupos que têm um interesse genuíno na organização.
Haverá divergências na opinião sobre quem deveria ser incluído como parte envolvida, 
mas geralmente, quando se determinam as partes interessadas, é importante incluir o maior 
número possível de pessoas. O subtítulo abaixo traz alguns exemplos de partes interessadas.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
• Identificação das partes interessadas;
• Plano de comunicação e consulta.
13
UNIDADE 
ABNT NBR ISO 31000:2018
E scopo, Contexto e Critérios
Este trecho está relacionado à subseção 6.3 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.4.2)
O propósito desta subseção é garantir que todos os riscos significativos sejam identi-
ficados. Para isso, é necessário conhecer os objetivos da função ou atividade da organi-
zação que está sendo examinada. 
Os objetivos são a essência da definição do contexto. Os critérios para o êxito orga-
nizacional são a base para medir o alcance dos objetivos. Esses critérios são utilizados 
para identificar e mensurar os impactos e as consequências dos riscos que podem afetar 
resultados e objetivos (tanto tangíveis quanto intangíveis). E, para o estabelecimento do 
contexto, é necessário identificar os objetivos organizacionais e os ambientes externo e 
interno nos quais se buscam os objetivos.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
• Escopo das atividades de gestão de riscos que serão realizadas e seus resultados 
esperados;
• Objetivos organizacionais e medidas do sucesso;
• Fatores importantes no ambiente interno e externo;
• Partes interessadas pertinentes;
• Principais critérios de avaliação de riscos;
• Documentos consultados ao se estabelecer o contexto; e
• Elementos-chave por meio dos quais o restante do processo será estruturado.
I dentificação de Riscos
Este trecho está relacionado à subseção 6.4.2 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.4.2)
O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que 
possam ajudar ou impedir que uma organização alcance seus objetivos. Informações 
pertinentes, apropriadas e atualizadas são importantes na identificação de riscos, pois 
riscos não identificados podem se tornar uma ameaça à organização ou fazer com que 
se percam oportunidades importantes.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
• Abordagem ou método usado;
• Escopo coberto pela identificação;
14
15
• Participantes da identificação de riscos e as fontes de informação consultadas;
• Registro dos riscos levantados.
A nálise de Riscos
Este trecho está relacionado à subseção 6.4.3 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.4.3)
O propósito da análise de riscos é promover o entendimento da natureza do risco e 
suas características, incluindo o nível de risco. A análise ajudará a definir as prioridades 
e opções de tratamento (subseção 1.6), onde o nível de risco é determinado por meio 
da combinação da probabilidade e das consequências. As escalas e métodos adequa-
dos para tal combinação deveriam ser compatíveis com os critérios definidos quando o 
contexto for estabelecido (subseção 1.2). Para uma análise mais técnica, a natureza dos 
dados e a saída esperada determinam os métodos de análise requeridos.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
• Principais hipóteses e limitações;
• Fontes das informações utilizadas;
• Explicação do método de análise, e definições dos termos utilizados para especifi-
car a probabilidade e as consequências de cada risco;
• Controles existentes e sua eficácia;
• Descrição e severidade das consequências;
• Probabilidade dessas ocorrências específicas;
• Grau de risco resultante; e
• Consequências da incerteza.
A valiação de Riscos
Este trecho está relacionado à subseção 6.4.4 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.4.4)
O propósito da avaliação de riscos faz uso da compreensão dos riscos, obtida por 
meio das práticas de análise de riscos (subseção 1.4), para a tomada de decisão sobre as 
futuras ações.
Mesmo tendo sido escolhidos, os critérios de análise dos riscos e natureza das deci-
sões durante a fase de estabelecimento do contexto (1.2), na fase de avaliação de riscos, 
eles precisarão ser revistos. Uma justificativa é que, agora, após a fase de identificação 
15
UNIDADE 
ABNT NBR ISO 31000:2018
dos riscos ( subseção 1.3) e sua análise (subseção 1.4), você passa a conhecer mais a 
respeito dos riscos que incorrem sobre a organização em que trabalha.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
Podendo ser expressos quantitativa ou qualitativamente esta seção produzirá docu-
mentos de avaliação com:
• As consequências especificadas;
• A probabilidade de eventos ou resultados especificados;
• O efeito cumulativo de múltiplos eventos; e
• A amplitude da incerteza dos níveis de risco em um determinado nível de confiança.
Tratamento de Riscos
Este trecho está relacionado à subseção 6.5 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.5)
Do ponto de vista financeiro, geralmente não é bom, ou nem mesmo desejável, im-
plementar todos os tratamentos de riscos possíveis para se tratar um risco. Por isso será 
necessário que você escolha, priorize e implemente soluções de tratamento, baseando-
-se em fatores como custos e benefícios, eficácia e outros critérios relevantes para a 
organização, podendo até mesmo considerar fatores legais, sociais, políticos e econômi-
cos, por exemplo. 
Assim, o propósito desta subseção é fornecer uma lista dos riscos que requerem tra-
tamento (geralmente já com suas respectivas classificações e prioridades). 
E, como resultado, espera-se do tratamento de risco que ele forneça:
• Uma série de opções para o tratamento dos riscos que foram identificados (subse-
ção 1.3), analisados (subseção 1.4) e avaliados (subseção 1.5);
• Uma avaliação de tais opções;
• Elaboração de planos para tratamento; 
• Ações de implementação.
Porém, antes que ações adequadas de tratamento possam ser determinadas, a análi-
se de cada risco pode precisar ser revisada e ampliada, a fim de extrair as informações 
necessárias para identificar e explorar as diferentes opções de tratamento.
É particularmente importante identificar as causas dos riscos, para que os mesmos sejam 
tratados e não somente os sintomas de forma superficial.
16
17
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da Norma
• Relação e análise de custo-benefício:
» Listar todos os tipos de custos e benefícios;
» Agrupar todos os custos e benefícios nas categorias ‘concreto ‘ e ‘abstrato’;
» Calcular uma medida quantitativa para os custos e benefícios ‘concretos’ (como 
os descritos abaixo);
» Avaliar os custos e benefícios‘abstratos ‘, usando alguma escala de equivalência 
como a classificação de riscos definida na atividade Escopo, Contexto e Critérios 
(subseção 1.2);
» Apresentar de forma conjunta os resultados, tanto da análise de custos e benefí-
cios ‘concretos ‘ quanto dos ‘abstratos’.
• Preparação de planos de tratamento:
» Identificando a responsabilidades, prazos, o resultado esperado dos tratamentos, 
verbas, medidas de desempenho e o processo de análise crítica a ser implementado;
» Incluir mecanismos para a avaliação e monitoramento da eficácia do tratamen-
to em relação aos objetivos do mesmo, às responsabilidades individuais e aos 
objetivos organizacionais, bem como os processos para o monitoramento do 
progresso do plano de tratamento em relação aos principais marcos da imple-
mentação. Convém que o processo de concepção (projeto) do tratamento gere 
essas informações;
» Documentar como, na prática, as opções escolhidas serão implementadas.
• Documentos que identifiquem e aceitem (pela alta administração) o risco residual.
Monitoramento e Análise crítica
Este trecho está relacionado à subseção 6.6 da Norma ABNT NBR ISO 31000:2018.
Seu propósito (subseção 6.6)
As atividades de monitoramento proporcionam o acompanhamento rotineiro do de-
sempenho real, para que possa ser comparado ao desempenho esperado ou requerido. 
Já a análise crítica envolve a investigação periódica da situação atual, normalmente 
com um foco específico.
O monitoramento e a análise crítica são partes integrantes e essenciais da gestão de 
riscos, onde se tornam juntas uma das etapas mais importantes do processo de gestão 
de riscos no âmbito organizacional. É necessário que sejam monitorados os riscos, a 
eficácia e a adequação das estratégias e dos sistemas de gestão estabelecidos para a 
17
UNIDADE 
ABNT NBR ISO 31000:2018
implementação dos tratamentos de riscos, bem como o plano e o sistema de gestão de 
riscos como um todo.
Atividades e documentos que devem ser atendidos e produzidos pela 
subseção da norma
Sistemas e documentos que, ao longo do processo, comprovem e deem robustez aos:
• Monitoramento contínuo;
• Análise crítica pela gerência de linha;
• Auditoria de terceira parte.
18
19
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Livros
The Risk IT Framework
ISACA – Information Systems Audit and Control Association. The Risk IT Framework.
http://bit.ly/2TIlBQM
 Vídeos
Gestão de Risco – Aula 01 (Conceitos Iniciais)
 https://youtu.be/5tbxtrNNOr4
Gestão de Risco – Aula 02 (Princípios da Gestão de Riscos)
https://youtu.be/7XStg7EItY8
 Leitura
CIS RAM (Risk Assessment Method) FAQ – Part 1
CIS – Center for Internet Security Risk Assessment Metho. Version 1.0 Center for 
Internet Security® Risk Assessment Method.
http://bit.ly/38JTK6M
Risk Management Guidance for Information Technology Systems
NIST – National Institute of Standards and Technology. 2002. Risk Management 
Guidance for Information Technology Systems. [On-line] 2002.
http://bit.ly/2TVylSN
Threat and Risk Management
http://bit.ly/2W5Nq6Y
19
UNIDADE 
ABNT NBR ISO 31000:2018
Referências
AAP. ASSESSORIA DE ANÁLISE E PESQUISA. Gerenciamento de riscos corpora-
tivos: uma analise das diretrizes e das práticas. [On-line] Dezembro de 2018. Disponível 
em: <http://www.cvm.gov.br/export/sites/cvm/menu/acesso_informacao/serieshistori-
cas/estudos/anexos/Gerenciamento-de-riscos_final_151015.pdf>.
DE CICCO, F. Gestão de Riscos Diretrizes para a Implementação da ISO 31000:2018. 
Risk Tecnologia. São Paulo, SP: Abril, 2018.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 31000 – 
Gestão de riscos – Diretrizes. ISO/IEC, 20018.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 31004 – 
Gestão de riscos. Guia para implementação da ABNT NBR ISO 31004. ISO/IEC, 20015.
20