GESTÃO E ANÁLISE DE RISCOS Livro-Texto - Unidade I

Prévia do material em texto

Autor: Prof. Ricardo Sewaybriker
Colaboradores: Prof. Mauro Kiehn
 Profa. Christiane Mazur Doi
Gestão e Análise de Riscos
Professor conteudista: Ricardo Sewaybriker
Pós-graduado em Gestão da Segurança da Informação pelo Instituto de Pesquisas Energéticas e Nucleares 
(Ipen-USP). Administrador profissional formado em Administração de Empresas pelas Faculdades Integradas Campos 
Salles (FICS). Professor da UNIP desde 2007. Profissional de segurança da informação, atuando em instituição 
financeira há 30 anos.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
S514g Sewaybriker, Ricardo.
Gestão e Análise de Riscos / Ricardo Sewaybriker. – São Paulo: 
Editora Sol, 2021.
192 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Riscos. 2. Governança. 3. Mapa. I. Título.
CDU 658.012.2
U511.30 – 21
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy 
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial: 
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Aline Ricciardi
 Ricardo Duarte
 Elaine Pires
Sumário
Gestão e Análise de Riscos
APRESENTAÇÃO ......................................................................................................................................................7
INTRODUÇÃO ...........................................................................................................................................................7
Unidade I
1 INTRODUÇÃO A RISCOS ..................................................................................................................................9
1.1 Risco: o efeito da incerteza .................................................................................................................9
1.2 Princípios da gestão de riscos ......................................................................................................... 12
1.3 Estrutura da gestão de riscos .......................................................................................................... 14
1.4 Processo da gestão de riscos ........................................................................................................... 20
2 CONCEITUAÇÃO DE RISCOS E GOVERNANÇA ..................................................................................... 30
2.1 Medindo o risco .................................................................................................................................... 30
2.2 Governança, riscos e conformidade ............................................................................................. 37
2.3 Riscos e a segurança da informação: ABNT NBR ISO 27001 .............................................. 38
2.4 Equação do risco e a segurança da informação: visão executiva .................................... 40
Unidade II
3 INTRODUÇÃO À GESTÃO DO RISCO À SEGURANÇA DA INFORMAÇÃO .................................... 52
3.1 Terminologia de análise de risco à segurança da informação ........................................... 52
3.2 Estabelecendo a metodologia de análise e avaliação de risco .......................................... 60
3.3 Tratamento dos riscos à segurança da informação ............................................................... 65
3.3.1 Critérios de aceitação de risco .......................................................................................................... 67
4 FERRAMENTAS DE ESTUDO DO RISCO ................................................................................................... 68
4.1 Mapa de riscos: ferramenta de identificação ........................................................................... 76
4.2 Matriz de relevância ............................................................................................................................ 77
4.3 Análise preliminar de riscos (ARP) ................................................................................................. 78
Unidade III
5 GOVERNANÇA DOS RISCOS À SEGURANÇA DA INFORMAÇÃO ................................................... 91
5.1 Planejando o sistema de governança de riscos de segurança da informação ............ 91
5.2 Princípios da gestão de riscos ......................................................................................................... 96
5.3 Definindo os critérios para tratamento do risco de segurança da informação ........118
6 CONFORMIDADE E RISCO ..........................................................................................................................122
6.1 A conformidade e a segurança da informação ......................................................................123
6.2 O risco da conformidade .................................................................................................................130
Unidade IV
7 PROJETO DE IMPLANTAÇÃO DA GESTÃO DE RISCOS ......................................................................141
7.1 Definindo o projeto de implantação ..........................................................................................141
7.2 Estrutura para projetos ....................................................................................................................155
7.3 Desenvolvendo a metodologia de análise de riscos de segurança da informação ............. 160
8 RISCOS DE AUDITORIA ................................................................................................................................170
8.1 Identificando o risco na auditoria ...............................................................................................170
8.2 Analisando o risco de auditoria ....................................................................................................172
8.3 Elementos do risco de auditoria ..................................................................................................173
7
APRESENTAÇÃO
Caros alunos,
A gestão e análise de riscos tem como objetivo estabelecer o amplo entendimento de um assunto de 
grande relevância não apenas para a segurança das informações, mas para todas as áreas da corporação.
Realizar análise de risco é algo corriqueiro, está presente no dia a dia de cada um e principalmente 
das corporações. O difícil nesse processo é estabelecer a melhor gestão para a tomada de decisão 
diante dos variados cenários de riscos devidamente mapeados por meio das análises de riscos que 
foram realizadas.
Sendo assim, nosso objeto de estudo nos levará à compreensão da origem do risco em sua essência, 
passando pela aprendizagem, identificação e gestão dos riscos nas mais diversas áreas e, principalmente, 
para a segurança da informação.
A nossa viagem do conhecimento inicia-se com as definições de risco, os agentes envolvidos que 
levam à mensuração do risco, os formatos de tratamento, as métricas utilizadas, a implantação de 
modelo internacionalmente reconhecido de análise e gestão de riscos, a estruturação da biblioteca de riscos e 
a consideração de como o risco de segurança da informação entra no processocorporativo de gestão 
de riscos.
Dessa forma, ao término de nosso estudo, vamos descobrir que analisar o risco de segurança da 
informação é fascinante, pois possibilita a ponderação estratégica entre correr ou não o risco. Veremos 
que, quanto mais organizadas e estruturadas estiverem as informações sobre os riscos de segurança, 
melhor serão direcionados os investimentos e melhor será a performance do negócio, equalizando 
segurança e negócio, encontrando o equilíbrio necessário para aumentar os lucros sem perder o 
foco na segurança da informação.
INTRODUÇÃO
“Risco”: quando essa palavra é mencionada, a primeira impressão é que algo negativo ou perigoso 
está sendo dito, não nos damos conta de que o risco está presente no cotidiano, não apenas dos seres 
humanos, mas de todos os seres vivos de maneira geral. Não seria insanidade mencionar que o contato 
e a reação diante de uma situação de risco são quase que instintivos, o que leva à pergunta: será 
que os animais irracionais possuem a percepção de uma situação de risco, no seu extremo, o risco de 
morrer? A resposta a essa pergunta pode causar muitas controvérsias, mas a verdade é a seguinte: com 
o aprendizado e com a experiência de vida, até os animais irracionais reconhecem essas situações e 
tomam determinadas atitudes para lidar com elas. Se os animais irracionais aprendem com o risco, por 
que com o homem racional seria diferente?
Os seres humanos desenvolvem estratégias para tratar essas situações de risco desde os primórdios 
da humanidade, e quanto mais informações sobre a forma e possibilidade de esses riscos ocorrerem, 
maiores serão as possibilidades de êxito no processo de gestão dos riscos.
8
Outro dado importante é que o risco evolui conjuntamente com a própria transformação tecnológica 
e social. Quem viveu no Brasil há quarenta anos lembra que o uso do cinto de segurança nos veículos 
era facultativo; mesmo seu uso seria pouco efetivo, uma vez que era composto por duas pontas que 
fixavam apenas a cintura do ocupante ao banco do veículo, deixando todo o seu tronco livre para a ação 
do risco de colisão. Aceitar esse risco nos dias atuais pode ser considerado uma loucura e passível de 
multa de trânsito, mas quando analisamos o momento histórico da sociedade daquela época, podemos 
perceber que a tecnologia da época e até mesmo o conhecimento tinham limitações.
O aperfeiçoamento da tecnologia automotiva fez os carros andarem cada vez mais rápido, o que 
elevou o risco de morte dos ocupantes, obrigando o estudo da probabilidade de o risco se concretizar 
e dos impactos que ele poderia causar aos ocupantes nas mais variadas velocidades, surgindo, assim, 
o aprendizado sobre as probabilidades de risco de morte em colisões de trânsito. Esse fato e o maior 
controle de qualidade na produção fizeram a indústria da segurança automotiva evoluir, e todo o seu 
trabalho foi amparado na avaliação e gestão de riscos.
Para a segurança da informação, não é diferente. Os riscos que enfrentávamos há quarenta anos são 
simplórios quando comparados aos riscos atuais e, provavelmente, os enfrentados hoje serão simplórios 
daqui a alguns anos.
Dessa forma, devemos aprender a realizar a análise e gestão de riscos de maneira sistemática, 
considerando o processo, e não os riscos identificados, pois sabemos que os riscos se transformam, 
surgem ou desaparecem rapidamente. Cabe ressaltar que o risco pode ser negativo ou positivo, por 
exemplo, um apostador corre o risco de vencer, todavia, quando estudamos segurança da informação, a 
análise e gestão é focada no risco, no seu lado negativo.
Quando o assunto é segurança da informação, a análise e a avaliação de riscos representam o início 
de tudo, a base para o estabelecimento dos controles tecnológicos, para o desenvolvimento das políticas, 
das normas e dos procedimentos corporativos de proteção que levam aos programas para conscientizar e 
educar sobre a segurança da informação, proporcionando a robustez necessária aos pilares da segurança 
da informação: a integridade, a disponibilidade e a confidencialidade das informações.
9
GESTÃO E ANÁLISE DE RISCOS
Unidade I
1 INTRODUÇÃO A RISCOS
1.1 Risco: o efeito da incerteza
Compreender o risco na sua essência não é algo complexo, uma vez que lidamos com ele desde 
sempre. Segundo a ABNT NBR ISO 31000 (2018), o risco é o efeito da incerteza, sendo que o efeito é 
entendido como um desvio em relação ao esperado. Para Galante (2015), estudar o risco é entender 
as suas origens, determinando as causas, os efeitos e os potenciais danos nas mais diversas atividades, 
estruturas, projetos e processos a fim de conseguir de forma profissional controlar e/ou mitigar seus 
efeitos sobre o aspecto abordado.
É importante compreender que no final do processo de avaliação e análise de riscos, em qualquer 
que seja o contexto e com o uso de diversas ferramentas, os objetivos centrais almejados (figura a 
seguir) devem ser concluídos.
Identificar antecipadamente os 
perigos em instalações, processos, 
produtos e serviços 
Quantificar os riscos associados 
para o homem, o meio ambiente 
e a propriedade
Verificar os danos eventuais 
(consequências, severidade) e a 
frequência (probabilidade) 
de ocorrência
Propor medidas para 
o seu controle 
Objetivos do estudo 
dos riscos
Figura 1 – Objetivos de estudo dos riscos
Basicamente, a busca pela melhor compreensão, tratamento e gestão de riscos está inserida em um 
processo, que, de forma bem resumida, pode ser definido em três etapas que serão aprofundadas no 
decorrer dos nossos estudos.
10
Unidade I
Identificar ameaças e 
vulnerabilidades
Estimar o risco de cada 
vulnerabilidade ser explorada 
(probabilidade e gravidade do dano)
Decidir sobre a melhor forma de 
tratar o risco 
Figura 2 – Etapas do processo de gestão de riscos
É importante verificar a origem dos riscos e a necessidade de seguir as melhores práticas nas análises 
de riscos. É essencial considerar alguns aspectos como a cultura da empresa e sua predisposição ao 
risco, ressaltando que existem ramos de atividade que possuem regulamentações e leis rígidas a serem 
cumpridas, o que pode alterar a predisposição a correr riscos; geralmente, são áreas que influenciam 
diretamente a economia nacional e remetem a ela, a exemplo do sistema financeiro nacional.
Quando o assunto é segurança da informação, as decisões sobre a criação da política, das normas, e 
a adoção de controles tecnológicos de segurança são alicerçadas e ocorrem após uma análise de riscos 
eficaz, mas não seria absurdo afirmar que tudo é amparado em uma prévia análise de riscos. Podemos 
enumerar diversos exemplos, desde atravessar uma rua dentro ou fora da faixa de pedestres até a 
decisão sobre a implantação de uma nova plataforma de petróleo. Sim! Tomamos decisões o tempo todo 
amparados nas análises de riscos.
As organizações de sucesso possuem análises de riscos sistematizadas e devidamente profissionalizadas. 
A isso se dá o nome de “gerenciamento de riscos”.
Para a ABNT NBR ISO 31000 (2018), as mais variadas organizações, de todos os tipos e tamanhos, são 
influenciadas por fatores externos e internos que tornam a tarefa administrativa incerta em relação 
aos objetivos desejados. Lembrando que gerenciar riscos é um processo interativo e que acaba ajudando as 
empresas no desenvolvimento da definição das estratégias para o alcance dos objetivos e na tomada de 
decisões importantes.
Dessa forma, a gerência de riscos participa da governança e liderança, e é parte crucial na 
maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do 
processo de gestão.
11
GESTÃO E ANÁLISE DE RISCOS
O gerenciamento dos riscos deve estar ligado a todas as atividades de uma organização, e isso 
inclui a interação com as partes interessadas, devendo considerar os cenários externos e internos da 
organização, incluindo o comportamento humano e os fatores culturais.
 Observação
Identificar os riscos e desenvolver medidaspara evitar suas consequências 
é tão antigo quanto a própria origem do homem. Podemos dizer que, se 
chegamos até aqui, foi porque nossos ancestrais mais remotos entenderam 
rapidamente essa necessidade.
Não seria incorreto afirmar que a gestão de riscos é amparada em princípios, estruturas e 
processos, conforme as recomendações das melhores práticas definidas na ABNT NBR ISO 31000 (2018) 
e suas correlatas.
Evidentemente, a maioria das organizações já exerce atuação total ou parcial nesses componentes, 
todavia, como a gestão de riscos é dinâmica, necessita estar em constante melhoria para a eficácia 
do processo.
Com o intuito de facilitar o entendimento e padronizar as palavras e definições utilizadas para a 
análise de riscos, a ABNT NBR ISO 31000 (2018) propõe o que se mostra no quadro a seguir.
Quadro 1 – Termos e definições
Terminologia Descrição
Risco ou efeito 
da incerteza
Nota 1 de entrada: um efeito é um desvio em relação ao esperado. Pode ser positivo, 
negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças
Nota 2 de entrada: os objetivos podem apresentar diferentes aspectos e categorias e 
podem ser aplicados em diferentes níveis
Nota 3 de entrada: o risco é normalmente expresso em termos de fontes de risco, 
eventos potenciais, suas consequências e suas probabilidades
Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
Parte interessada 
Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma 
decisão ou atividade
Nota 1 de entrada: o termo “parte interessada” pode ser utilizado como alternativa a 
stakeholder
Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco
Evento 
Ocorrência ou mudança em um conjunto específico de circunstâncias
Nota 1 de entrada: um evento pode consistir em uma ou mais ocorrências e pode ter 
várias causas e várias consequências
Nota 2 de entrada: um evento pode também ser algo que é esperado, mas não 
acontece, ou algo que não é esperado, mas acontece
Nota 3 de entrada: um evento pode ser uma fonte de risco 
12
Unidade I
Terminologia Descrição
Consequência
Resultado de um evento que afeta os objetivos
Nota 1 de entrada: uma consequência pode ser certa ou incerta e pode ter efeitos 
positivos ou negativos, diretos ou indiretos, nos objetivos
Nota 2 de entrada: as consequências podem ser expressas qualitativa ou 
quantitativamente
Nota 3 de entrada: qualquer consequência pode escalar por meio de efeitos cascata e 
cumulativos
Probabilidade 
Chance de algo acontecer
Nota 1 de entrada: na terminologia de gestão de riscos, a palavra “probabilidade” 
é utilizada para se referir à chance de algo acontecer, não importando se definida, 
medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou 
quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como 
probabilidade ou frequência durante um determinado período de tempo)
Controle 
Medida que mantém e/ou modifica o risco
Nota 1 de entrada: controles incluem mas não estão limitados a qualquer processo, 
política, dispositivo, prática, ou outras condições e/ou ações que mantêm e/ou 
modificam o risco
Nota 2 de entrada: controles podem nem sempre exercer o efeito modificador 
pretendido ou presumido
Adaptado de: ABNT NBR ISO 31000 (2018).
As terminologias apresentadas pela ABNT NBR ISO 31000 (2018) são referências aceitas por qualquer 
instituição ao redor do mundo e dessa maneira representam uma linguagem única e internacionalmente 
conhecida para a concepção, identificação, análise, gestão e tratamento dos riscos nas mais variadas 
formas e nos mais diversificados ramos de atividade.
 Lembrete
É importante conhecer as terminologias de riscos utilizadas para 
identificar os agentes e as definições usadas pelo mercado. Isso ocorre 
para manter o padrão conhecido para a integração com as demais áreas, 
parceiros, reguladores e auditorias.
1.2 Princípios da gestão de riscos
O importante em estabelecer a gestão dos riscos não é impedir as ações ou simplesmente 
adotar a política do terror; ao contrário, a intenção da gestão de riscos é a criação e a proteção de 
valor, conforme a ABNT NBR ISO 31000 (2018). Na figura a seguir, alguns princípios que levam à 
gestão eficaz dos riscos.
13
GESTÃO E ANÁLISE DE RISCOS
Criação e proteção 
de valor
Voltada para 
a melhoria 
contínua
Estruturada e 
abrangente
Atenta aos 
fatores humanos 
e culturais
Personalizada
Baseada 
na melhor 
informação 
disponível
Inclusiva
Integrada
Dinâmica
Figura 3 – Princípios da gestão de riscos
Segundo a ABNT NBR ISO 31000 (2018), esses princípios são essenciais para gerenciar os riscos 
e devem ser respeitados antes do estabelecimento da estrutura e dos processos que vão suportar a 
gestão corporativa dos riscos. A implantação desses princípios possibilita a melhor compreensão e 
administração dos efeitos da incerteza que os riscos podem trazer.
Quando analisamos esses princípios, é possível verificar que a visão deles pode ser:
• Integrada: a visão dos riscos e sua gestão deve ser parte de todas as áreas da organização.
• Estruturada e abrangente: o alcance dos resultados na gestão de riscos depende de uma 
abordagem estruturada e abrangente, que vai estabelecer modelos consistentes e comparáveis.
• Personalizada: a estrutura e o processo de gestão de riscos devem refletir os cenários externos e 
internos da organização, bem como suas ambições particulares de resultados.
• Inclusiva: todas as áreas interessadas devem ser envolvidas oportunamente. Isso traz a possibilidade de 
utilizar seus conhecimentos e suas percepções agregando e aprimorando a conscientização e a 
gestão estabelecidas de riscos.
• Dinâmica: como anteriormente mencionado, os riscos são altamente voláteis, podem surgir e 
desaparecer conforme o avanço tecnológico ou as alterações nos contextos externos e internos 
das organizações. A gestão de riscos deve detectar e antecipar as mudanças e eventos, podendo 
assim gerir o risco, auxiliando a tomada de decisões.
14
Unidade I
• Baseada na melhor informação disponível: manter sempre atualizadas as informações 
históricas, que são a principal base da gestão de riscos, pois possibilitam conhecer o passado. 
Isso, aliado às expectativas futuras, leva a gestão de riscos a considerar as limitações e incertezas 
ligadas a essas expectativas. Dessa forma, as informações devem ser claras e disponíveis para as 
áreas envolvidas direta e indiretamente.
• Atenta aos fatores humanos e culturais: o comportamento e a cultura interferem diretamente 
nos aspectos da gestão de riscos em cada nível e estágio.
• Voltada para a melhoria contínua: a gestão de riscos deve ser aprimorada continuamente por 
meio de aprendizado e experiências.
1.3 Estrutura da gestão de riscos
É necessário implantar uma estrutura para suportar a gestão de riscos de forma profissional. A ABNT 
NBR ISO 31000 (2018) descreve como propósito da estrutura de gestão de riscos o de apoiar a organização 
na integralização da gestão de riscos em atividades relevantes e atribuições. Sendo assim, o sucesso da 
gestão de riscos depende da completa integração com a governança em todas as áreas da organização, 
inclusive compondo o processo corporativo de tomada de decisão, o que vai obrigatoriamente requerer 
apoio das partes interessadas e principalmente da alta direção.
Segundo a ABNT NBR ISO 31000 (2018), o desenvolvimento de uma estrutura de gestão de riscos 
deve ser definido pela integração, concepção, implementação, avaliação e melhoria da gestão de 
riscos por meio dos mecanismos disponíveis na organização.
Na figura a seguir, estão dispostos os componentes necessários que requerem o comprometimento da 
liderança, destacando a necessidade de que a organização avalie suas práticas e processos implantados 
para a gestão de riscos e encontre as brechas de atendimento, elaborando um plano de ação para 
complementarou alterar o rumo das suas ações voltadas à estrutura de análise de riscos.
Integração
Liderança e 
comprometimento ConcepçãoMelhoria
Avaliação Implementação
Figura 4 – Estrutura da gestão de riscos
15
GESTÃO E ANÁLISE DE RISCOS
A ABNT NBR ISO 31000 (2018) salienta a necessidade de que os componentes da estrutura 
trabalhem em conjunto e sejam customizados para as necessidades de cada organização, destacando a 
liderança e o comprometimento. A alta direção e a área de conformidade, onde for aplicável, devem 
garantir que a gestão de riscos esteja integrada às demais atividades corporativas e que demonstre os 
comprometimentos descritos no quadro a seguir.
Quadro 2 – Comprometimento da alta direção
Comprometimento Descrição
Personalizar e implantar 
todos os componentes da 
estrutura 
Emitir declaração ou política que estabeleça uma abordagem, um plano ou curso de 
ação da gestão de riscos
Assegurar a alocação de 
recursos Assegurar que os recursos necessários sejam alocados para gerenciar riscos
Atribuir autoridades e 
responsabilidades 
Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados 
dentro da organização
 Lembrete
O comprometimento da alta direção é crucial para o sucesso da 
implantação e manutenção da gestão e análise de riscos à segurança 
da informação de forma eficaz.
A declaração formalizada da alta direção com a gestão de riscos auxilia a organização a:
• alinhar a gestão de riscos com seus objetivos, sua estratégia e sua cultura;
• reconhecer e abordar todas as obrigações, bem como os compromissos voluntários;
• estabelecer a quantidade e o tipo do risco que pode ou não ser assumido para orientar o 
desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas 
partes interessadas;
• comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
• promover o monitoramento sistemático de riscos;
• assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização.
A alta direção é responsável por gerenciar riscos, enquanto os órgãos de conformidade têm a 
responsabilidade de supervisionar a gestão de riscos. Sendo assim, é necessária a aferição periódica dos 
processos de gestão de riscos para averiguar se estão em aderência com o estabelecido nos objetivos 
estratégicos da organização. Dessa forma, é necessário que esses órgãos:
16
Unidade I
• assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos 
da organização;
• compreendam os riscos aos quais a organização está exposta na busca de seus objetivos;
• assegurem que os sistemas para gerenciar riscos estejam implementados e operem eficazmente;
• assegurem que os riscos sejam apropriados no contexto dos objetivos da organização;
• assegurem que a informação sobre esses riscos e sua gestão seja apropriadamente comunicada.
Integração da gestão de riscos
Tem como base o entendimento das estruturas e do contexto organizacional. As estruturas são 
diferenciadas conforme o seu propósito, suas metas e a complexidade da organização, todavia o risco 
deve ser gerenciado em todas as áreas da estrutura corporativa e, nesse sentido, todos devem gerenciá-lo.
A governança deve orientar o foco da organização, suas relações externas e internas, as regras, os 
processos e as práticas necessárias para atingir seus objetivos.
Nesse sentido, segundo a ABNT NBR ISO 31000 (2018), as estruturas de gestão refletem a direção 
da governança para a estratégia e os objetivos associados exigidos para atingir níveis desejados de 
desempenho sustentável e viabilidade em longo prazo.
Implantar a responsabilização pela gestão dos riscos e os papéis de conformidade para a organização 
faz parte das atribuições da governança. Integrar de forma ampla a gestão de riscos é um processo 
dinâmico e interativo no qual convém que sejam adaptadas as peculiaridades e a cultura de cada 
corporação. Sendo assim, a ABNT NBR ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do 
todo, e não separada do propósito organizacional, da governança, da liderança, do comprometimento 
estratégico, dos objetivos e das operações, fazendo assim parte do processo decisório em todas as 
esferas corporativas.
Entendendo a organização e seu contexto
Ao definir a estrutura de gerenciamento de riscos, as organizações devem examinar e compreender 
os contextos externos e internos.
Na análise dos contextos externos, as corporações devem examinar diversos itens e alguns 
cenários. Essa análise não é definitiva, devendo considerar cada tipo de corporação. Entre os itens 
examinados, encontram-se:
• fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e 
ambientais, em âmbito internacional, nacional, regional ou local;
17
GESTÃO E ANÁLISE DE RISCOS
• direcionadores prioritários e tendências que afetem os objetivos da organização;
• relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas;
• relações e compromissos contratuais;
• complexidade das redes de relacionamento e dependências.
O exame do contexto interno da corporação também não está limitado aos preceitos elencados 
e, com certeza, deve considerar o ambiente e porte de cada organização. Nesse caso, abordam-se os 
seguintes itens:
• a visão, a missão e os valores;
• a governança, a estrutura organizacional, os papéis e as responsabilizações;
• a estratégia, os objetivos e as políticas;
• a cultura da organização;
• as normas, as diretrizes e os modelos adotados pela organização;
• as capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, 
pessoas, propriedade intelectual, processos, sistemas e tecnologias);
• os dados, os sistemas de informação e os fluxos de informação;
• os relacionamentos com partes interessadas internas, considerando suas percepções e valores;
• as relações contratuais e os compromissos;
• as interdependências e as interconexões.
Articulando o comprometimento com a gestão de riscos
A alta direção e os órgãos de conformidade, quando aplicáveis, devem demonstrar e articular o 
seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração 
ou alguma outra forma que deixe claro o compromisso e que transmita a importância que o assunto 
tem para a alta direção e sua devida e contínua preocupação com a gestão de riscos, em que fiquem 
expostos estes exemplos de comprometimento:
• propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas;
• reforço da necessidade de integrar a gestão de riscos na cultura global da organização;
18
Unidade I
• liderança da integração da gestão de riscos nas atividades principais do negócio e na 
tomada de decisão;
• definição das autoridades, responsabilidades e responsabilizações;
• disponibilidade dos recursos necessários;
• maneira pela qual os objetivos conflitantes são tratados;
• medição e relato no âmbito dos indicadores de desempenho da organização;
• análise crítica e melhoria.
É esperado que o comprometimento com a gestão de riscos seja amplamente comunicado às partes 
interessadas na organização por meio de um plano de comunicação e treinamento completo, que pode 
incluir e-mail marketing, vídeos, treinamentos e palestras.
Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações
A alta direção e o órgão de conformidade, quando necessário, devem assegurar que as autoridades, 
responsabilidades e responsabilizações para os papéis relacionados à gestão de riscos sejam atribuídas e 
devidamente comunicadas a todas as áreas da organização, sendo, assim, prudente:
• enfatizar que a gestão de riscos é uma responsabilidade principal;
• identificar os indivíduos que possuam responsabilização e tenham autoridade para gerenciar 
riscos, os chamados “proprietários dos riscos”.
Alocando recursos
A alta direção e o órgão de conformidade, quando necessário,devem assegurar a alocação de 
recursos apropriados focada na gestão de riscos, que deve incluir, entre outros:
• pessoas, habilidades, experiência e competência;
• processos, métodos e ferramentas da organização a serem usados na gestão de riscos;
• processos e procedimentos documentados;
• sistemas de gestão da informação e do conhecimento;
• treinamento e desenvolvimento profissional.
19
GESTÃO E ANÁLISE DE RISCOS
Nesse sentido, é importante que a organização considere as capacidades e restrições dos 
recursos existentes.
Estabelecendo comunicação e consulta
É necessário que se estabeleça um plano de comunicação e consulta devidamente aprovado que 
apoie a estrutura e viabilize a aplicação eficaz da gestão de riscos. A comunicação deve compartilhar 
as informações com públicos-alvo. Já a consulta envolve o fornecimento de retorno pelos participantes 
com o intuito de contribuir para as decisões, seu subsídio ou outras atividades.
Os métodos e os conteúdos das comunicações e consultas devem expor de forma clara as expectativas 
das partes interessadas quando for necessário.
A ABNT NBR ISO 31000 (2018) indica que a comunicação e a consulta devem ser devidamente 
oportunas, assegurando que as informações pertinentes sejam coletadas, consolidadas, sintetizadas 
e compartilhadas com o apropriado retorno e que esse retorno seja fornecido juntamente com as 
melhorias a serem implementadas.
Implementação
A organização deve implantar a estrutura de gestão de riscos pensando em:
• desenvolver um plano apropriado, incluindo prazos e recursos;
• identificar onde, quando e como os diferentes tipos de decisões são tomados pela organização, 
e por quem;
• modificar os processos de tomada de decisão aplicáveis, quando necessário;
• garantir que os arranjos da organização para gerenciar riscos sejam claramente compreendidos 
e praticados.
Para poder ser considerada uma implementação de sucesso de estrutura, serão necessários o 
comprometimento e a conscientização das partes interessadas, possibilitando, assim, que as organizações 
mapeiem explicitamente a incerteza da tomada de decisão, ao mesmo tempo que asseguram que 
qualquer incerteza nova ou posterior possa ser identificada assim que ocorra.
Quando concebida e implantada de forma competente, a estrutura de gestão de riscos assegurará 
que o processo de gestão de riscos seja parte integrante de todas as atividades da organização, isso 
inclui a tomada de decisão e as mudanças nos contextos externos e internos que serão devidamente 
capturados e tratados.
20
Unidade I
Avaliação
A estrutura de gestão de riscos deve ser devidamente avaliada após sua implantação e, para isso, 
a organização cria mecanismos para avaliar a eficácia da estrutura definida:
• mensuração periódica do desempenho da estrutura de gestão de riscos em relação ao seu 
propósito, planos de implementação, indicadores e comportamento esperado;
• determinação de permanecer adequada para apoiar o alcance dos objetivos da organização.
Melhorias
É primordial que a organização monitore e se adapte de forma contínua à estrutura de gestão de 
riscos focada nas alterações externas e internas. Quando esse objetivo é atingido, a organização agrega 
valor ao negócio.
Pelo processo de melhoria contínua, a organização deve melhorar de forma sistematizada e 
contínua a adequação, suficiência e eficácia da estrutura de gestão de riscos e a forma como o 
processo de gestão de riscos é integrado às demais áreas da organização.
Assim que as diferenças e as oportunidades são identificadas, é necessário que a organização 
estabeleça planos de ação com tarefas definidas e considere os envolvidos responsáveis pela implantação. 
A ABNT NBR ISO 31000 (2018) afirma que, assim que as melhorias são implantadas, elas contribuem 
para o aprimoramento da gestão de riscos.
A implantação da estrutura de gestão de riscos deve ser tratada como projeto pela corporação e, 
após a sua finalização, devem ser iniciadas as tratativas acopladas aos processos, utilizando alguma 
metodologia de ciclo de melhoria contínua, a exemplo do PDCA.
 Observação
PDCA, do inglês plan – do – check – act ou adjust, é um método 
interativo de gestão de quatro passos. É uma ferramenta baseada na 
repetição, aplicada sucessivamente nos processos, buscando a melhoria 
de forma continuada para garantir o alcance das metas necessárias à 
sobrevivência de uma organização.
1.4 Processo da gestão de riscos
A implantação dos processos de gestão de riscos requer aplicação sistemática de políticas, normas, 
procedimentos e práticas para as atividades de comunicação e consulta, estabelecendo contexto e 
avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
21
GESTÃO E ANÁLISE DE RISCOS
A figura a seguir demonstra a sequência lógica dos processos dentro da estrutura da gestão de riscos.
Identificação 
de riscos
Análise
de riscos
Avaliação
de riscosCo
m
un
ic
aç
ão
 e
 c
on
su
lta
Escopo, contexto e critério
Tratamento de riscos
Processo de 
avaliação de riscos
Processo de 
gestão de riscos
Registro e relato
M
onitoram
ento e 
análise crítica
Figura 5 – Processos de gestão de riscos
Segundo a ABNT NBR ISO 31000 (2018), é importante que o processo de gestão de riscos faça 
parte, ou melhor, seja integrante da tomada de decisão e, dessa forma, esteja alinhado à estrutura, às 
operações e aos processos da organização, sendo, assim, aplicado aos níveis estratégicos, operacionais, 
de programas e de projetos.
Existem diversas aplicações para o processo de gestão de riscos dentro de uma organização, que 
coexistem de forma personalizada com a missão de atingir os objetivos e se adequar aos contextos 
externos e internos nos quais são realizados. Verdadeiramente, a natureza dinâmica e variável do 
comportamento humano e cultural deve ser considerada ao longo do processo de gestão de riscos.
Muitas vezes, o processo de gestão de riscos é apresentado como sequencial, quando, na verdade, 
na prática, é interativo.
Comunicação e consulta
O objetivo da comunicação é auxiliar as partes interessadas a compreender o risco, a base sobre 
a qual as decisões são tomadas e as razões pelas quais ações específicas são identificadas e exigidas. 
22
Unidade I
Dessa forma, a comunicação busca promover a conscientização e o entendimento do risco, enquanto 
a consulta expõe o retorno e a informação para ajudar na tomada de decisões.
A ABNT NBR ISO 31000 (2018) recomenda que uma coordenação trabalhe de forma única 
entre as duas para facilitar a troca de informações factuais, oportunas, pertinentes, precisas e 
compreensivas, trazendo confidencialidade e integridade da informação, preservando o direito de 
privacidade dos indivíduos.
Recomenda-se que ocorram comunicação e consulta às partes interessadas apropriadas externas e 
internas em cada etapa e ao longo de todo o processo de gestão de riscos.
A comunicação deve se preocupar em:
• reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos;
• assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se definirem 
critérios de risco e ao se avaliarem riscos;
• fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão;
• construir um senso de inclusão e propriedade entre os afetados pelo risco.
Escopo, contexto e critérios
As definições de escopo, contexto e critérios tem como objetivo central personalizar o processo de 
gestão de riscos, possibilitando estabelecer uma avaliação de riscos eficaz e um tratamento de riscos 
apropriado ao escopo, contexto e critérios, o que envolve a própria definição de escopo do processo, 
levando à compreensão dos contextos externos e internos.
A organização deve definir necessariamente um escopo de atuação para a gestão de riscos, uma vez 
que esse escopo vai nortear as ações e os processos.
O processo de gestão de riscos deve ser aplicado em todos os níveis: estratégico, tático, operacional, emprogramas, em projetos e nas demais atividades, sendo muito transparente sobre o escopo considerado, 
os objetivos relacionados e seu devido alinhamento à estratégia organizacional.
Ao ser planejada a abordagem, as considerações devem incluir:
• objetivos e decisões que precisam ser tomadas;
• resultados esperados das etapas a serem realizadas no processo;
• tempo, localização, inclusões e exclusões específicas;
23
GESTÃO E ANÁLISE DE RISCOS
• ferramentas e técnicas apropriadas para o processo de avaliação de riscos;
• recursos requeridos, responsabilidades e registros a serem mantidos;
• relacionamentos com outros projetos, processos e atividades.
Contextos externo e interno
Refere-se ao ambiente onde a organização estabelece as diretrizes para atingir seus objetivos. Nesse 
caso, é necessário, dentro do contexto do processo de gestão do risco, definir, a partir do entendimento 
dos ambientes externos e internos em que a organização opera, onde se torna importante uma ampla 
análise que reflita o ambiente específico da atividade em que o processo de gestão de risco está sendo 
aplicado. Isso é importante porque:
• a gestão de riscos deve ocorrer no contexto dos objetivos e das atividades da organização;
• fatores organizacionais podem ser uma fonte de risco;
• propósitos e escopos do processo de gestão de riscos podem estar inter-relacionados com os 
objetivos da organização como um todo.
A ABNT NBR ISO 31000 (2018) recomenda que a organização defina os contextos externo e interno 
relativos ao processo de riscos, considerando os fatores mencionados no item “Entendendo a organização 
e seu contexto”.
Definindo critérios de riscos
É necessário que a organização especifique a quantidade e o tipo de risco que pode ou não assumir 
em relação aos objetivos estratégicos, lembrando que esse critério pode variar de corporação para 
corporação. Algumas são mais e outras menos propensas a correr riscos, levando em conta as obrigações 
legais, regulatórias, culturais e dos próprios acionistas, se for o caso.
A organização deve estabelecer os critérios para avaliar a significância do risco. Isso vai apoiar os 
processos de tomada de decisão. Os critérios de risco devem estar alinhados à estrutura de gestão de 
riscos e devem ser personalizados para o objetivo específico para o escopo da atividade em consideração.
A ABNT NBR ISO 31000 (2018) recomenda que os critérios de riscos estejam alinhados aos valores, 
objetivos e recursos da organização e sejam consistentes com as políticas e declarações sobre a 
gestão de riscos.
Os critérios de risco devem ser estabelecidos considerando as obrigações da organização e os pontos 
de vista das partes interessadas conforme apresentado.
24
Unidade I
Seguindo recomendações, convém que os critérios de risco sejam definidos no início do processo 
de avaliação de riscos, pois eles são dinâmicos e é importante que sejam continuamente analisados 
criticamente e alterados sempre que necessário. Algumas recomendações para estabelecer os critérios 
de risco mencionam:
• a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis 
quanto intangíveis);
• como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas 
e medidas;
• fatores relacionados ao tempo;
• consistência no uso de medidas;
• como o nível de risco será determinado;
• como as combinações e sequências de múltiplos riscos serão consideradas;
• a capacidade da organização.
Processo de avaliação de riscos
É o processo institucional que atende de forma geral toda a corporação, atuando na identificação de 
riscos, análise de riscos e avaliação de riscos. Segundo a ABNT NBR ISO 31000 (2018), é recomendado que 
o processo de avaliação de riscos seja operacionalizado de forma sistemática, iterativa e colaborativa, 
considerando os pontos de vista das partes interessadas. Outra situação que deve ser considerada é que 
se use a melhor informação disponível, complementada por uma investigação adicional caso necessário.
Identificação de riscos
Tem como objetivo encontrar, reconhecer e descrever os riscos que possam ajudar ou impedir que 
uma organização atinja seus objetivos, definindo as informações pertinentes, apropriadas e atualizadas 
no que se refere à identificação de riscos.
Para atender à necessidade, existem várias técnicas para identificar as incertezas que podem afetar 
um ou mais objetivos.
A ABNT NBR ISO 31000 (2018) recomenda alguns fatores e que no relacionamento entre esses 
fatores sejam considerados:
• as fontes tangíveis e intangíveis de risco;
• as causas e os eventos;
25
GESTÃO E ANÁLISE DE RISCOS
• as ameaças e oportunidades;
• as vulnerabilidades e capacidades;
• as mudanças nos contextos externo e interno;
• os indicadores de riscos emergentes;
• a natureza e valor dos ativos e recursos;
• as consequências e seus impactos nos objetivos;
• as limitações de conhecimento e de confiabilidade da informação;
• os fatores temporais;
• os vieses, as hipóteses e as crenças dos envolvidos.
É prudente que a organização identifique os riscos, independentemente de suas fontes estarem ou 
não sob controle, pois é completamente aceitável que possa haver mais de um resultado, o que pode 
possibilitar uma variedade de consequências tangíveis e intangíveis.
Análise de riscos
O objetivo da análise de riscos é compreender a natureza do risco e suas características, incluindo o 
nível de risco, quando apropriado. Ressaltando que a análise de riscos deve considerar o detalhamento 
das incertezas, as fontes de riscos, as consequências, as probabilidades, os eventos, os cenários, os 
controles e sua eficácia. Tendo em mente que um evento pode ter inúmeras causas e pode afetar 
múltiplos objetivos simultaneamente.
Dessa forma, a análise de risco deve ser realizada em diversos níveis de detalhamento e complexidade, 
isso dependendo do propósito da análise da disponibilidade e da confiabilidade da informação e dos 
recursos disponíveis. As corporações devem definir as técnicas que serão utilizadas para a análise de 
riscos, podendo ser quantitativas ou qualitativas ou até mesmo uma junção de ambas, dependendo da 
ocasião e do uso pretendido.
A ABNT NBR ISO 31000 (2018) recomenda que as análises de riscos considerem fatores como:
• a probabilidade de eventos e consequências;
• a natureza e magnitude das consequências;
• a complexidade e conectividade;
26
Unidade I
• os fatores temporais e a volatilidade;
• a eficácia dos controles existentes;
• a sensibilidade e os níveis de confiança.
A análise de risco pode ser influenciada por quaisquer divergências de opiniões, vieses de percepções 
dos riscos e julgamentos. Deve ser amparada, sim, pela qualidade das informações utilizadas, pelas 
hipóteses e exclusões realizadas e quaisquer limitações das técnicas utilizadas e como elas são 
executadas. Deve-se garantir que seja considerada, documentada e devidamente comunicada aos 
tomadores de decisão.
Existem eventos altamente incertos que são difíceis de quantificar. Isso pode levar a um problema 
ao analisar eventos com consequências severas. Para esses casos, deve-se utilizar uma combinação de 
técnicas que fornecerá melhor compreensão.
A análise de risco é capaz de fornecer uma entrada para a avaliação de riscos a fim de decidir 
sobre o risco que necessita ser tratado, como o será, sobre a melhor estratégia para tratá-lo, bem 
como os métodos mais apropriados para o tratamento dos riscos. Os resultados geram a obtenção do 
discernimento para a tomada de decisões. As escolhas devem ser realizadas entre as distintas opções 
que envolvam diferentes tipos de riscos.
Avaliação de riscos
O objetivo da avaliação de riscos é suportar as decisões, o que envolve a comparação dos resultados 
da análise de riscos com os critérios de risco previamente estabelecidos para determinar quando é 
necessária uma ação adicional, e isso pode levar à decisão sobre:
• não fazer mais nada;
• considerar as opções de tratamentode riscos;
• realizar análises adicionais para melhor compreender o risco;
• manter os controles existentes;
• reconsiderar os objetivos.
A ABNT NBR ISO 31000 (2018) recomenda que as decisões considerem o contexto mais amplo e as 
consequências reais percebidas para as partes interessadas externas e internas.
A norma também afirma que o resultado da avaliação de riscos deve ser registrado, comunicado e 
então validado nos mais variados níveis hierárquicos definidos pela organização.
27
GESTÃO E ANÁLISE DE RISCOS
Tratamento de riscos
O principal objetivo é selecionar e implementar as opções para abordar riscos. Dessa maneira, 
o tratamento do risco envolve sempre processos interativos de:
• formular e selecionar opções para tratamento do risco;
• planejar e implementar o tratamento do risco;
• avaliar a eficácia desse tratamento;
• decidir se o risco remanescente é aceitável;
• e, se não for aceitável, realizar tratamento adicional.
Seleção de opções de tratamento de riscos
Selecionar a(s) opção(ões) mais apropriada(s) de tratamento do risco envolverá o balanceamento 
entre benefícios potenciais derivados em relação ao alcance dos objetos, face aos custos, ao esforço ou 
às desvantagens da implantação.
Segundo a ABNT NBR ISO 31000 (2018), as opções para tratamento do risco são necessária e 
mutuamente exclusivas se apropriadas em qualquer ocasião.
As diversas opções para tratar o risco podem envolver um ou mais dos seguintes itens:
• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;
• assumir ou aumentar o risco de maneira a perseguir uma oportunidade;
• remover a fonte de risco;
• mudar a probabilidade;
• mudar as consequências;
• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros);
• reter o risco por decisão fundamentada.
É evidente que a justificativa para o tratamento do risco é mais ampla do que apenas as considerações 
econômicas. Devem-se considerar todas as obrigações da organização – por exemplo, com compromissos 
voluntários e pontos de vista das partes interessadas.
28
Unidade I
A ABNT NBR ISO 31000 (2018) estabelece que a seleção entre as opções para tratamento do risco 
seja feita de acordo com a estratégia da organização, com os critérios de risco e os recursos disponíveis. 
Ao escolher as opções de tratamento de riscos, as organizações devem considerar os valores, as 
percepções, o potencial envolvimento das partes interessadas e as formas mais apropriadas para que 
elas se comuniquem e consultem o processo. Cabe ressaltar que esse envolvimento pode ser mais aceito 
para algumas partes interessadas e menos por outras.
Mesmo quando é cuidadosamente concebido e implantado, o tratamento do risco pode não produzir 
os resultados planejados e pode até resultar em consequências não esperadas. Por isso o monitoramento 
constante e a análise crítica têm de ser partes integrantes da implementação e do tratamento de riscos, 
visando assegurar que as diferentes formas de tratamento se tornem ou permaneçam eficazes.
O tratamento de riscos deve introduzir os novos riscos que necessitam ser gerenciados, e caso houver 
opções de tratamento disponíveis ou se as opções de tratamento não alteram suficientemente o risco, 
é necessário que ele seja registrado e mantido sob análise crítica contínua.
A ABNT NBR ISO 31000 (2018) estabelece que os tomadores de decisão e as demais partes 
interessadas devem estar conscientes da natureza e extensão do risco remanescente, aquele que 
persiste mesmo após o tratamento de riscos. Nesse aspecto, é importante que o risco remanescente 
seja devidamente documentado, submetido e monitorado, considerando a análise crítica e, quando 
apropriado, tratamento adicional.
Preparando e implementando planos de tratamento de riscos
O objetivo do plano de tratamento de risco é especificar as opções de tratamento selecionadas e como 
essas opções serão implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, 
assim como indicar a sua evolução em relação ao plano para que este possa ser devidamente monitorado.
Necessariamente, o plano de tratamento deve identificar e deixar clara a ordem em que o tratamento 
de riscos será implementado.
Evidentemente, o plano de tratamento deve ser devidamente integrado aos planos e processos 
estratégicos e de gestão da organização em consulta às partes interessadas.
Segundo a ABNT NBR ISO 31000 (2018), as informações fornecidas no plano de tratamento 
devem incluir:
• a justificativa para a seleção das opções de tratamento, incluindo os benefícios esperados;
• aqueles que são responsabilizáveis e responsáveis por aprovar e implementar o plano;
• as ações propostas;
29
GESTÃO E ANÁLISE DE RISCOS
• os recursos requeridos, incluindo contingências;
• as medidas de desempenho;
• as restrições;
• os relatos e o monitoramento requeridos;
• quando se espera que ações sejam tomadas e concluídas.
Monitoramento e análise crítica
O objetivo do monitoramento e da análise crítica é assegurar e melhorar a qualidade e eficácia da 
estruturação e implantação e os resultados do processo. Para isso, é necessário que o monitoramento 
seja contínuo e a análise crítica seja periódica, tratada em fases no processo de gestão de riscos, e seus 
resultados façam parte do planejamento do processo de gestão de risco, com papéis e responsabilidades 
claramente estabelecidos.
A ABNT NBR ISO 31000 (2018) recomenda que o monitoramento e a análise crítica aconteçam em 
todas as fases do processo. Dessa forma, o monitoramento e a análise crítica incluem planejamento, 
coleta, análise das informações, registro de resultados e fornecimento de retorno.
Estabelecer um processo de tratamento dos resultados do monitoramento e da análise crítica que 
se incorpore em todas as atividades da gestão de desempenho, medição e relatos da organização 
é necessário.
Registro e relato
É fundamental que o processo de gestão de riscos e seus resultados estejam devidamente 
documentados por meio de mecanismos apropriados. O registro e o relato têm como objetivo:
• comunicar atividades e resultados de gestão de riscos em toda a organização;
• fornecer informações para a tomada de decisão;
• melhorar as atividades de gestão de riscos;
• auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com 
responsabilização por atividades de gestão de riscos.
As decisões relacionadas à elaboração, à retenção e ao manuseio de informação documentada 
devem considerar, entre outros aspectos, o seu uso, a sensibilidade da informação, os contextos internos 
e externos. Ressaltando que o relato deve ser parte integrante da governança da organização e melhorar 
30
Unidade I
a qualidade do relacionamento entre as partes interessadas, subsidiando a alta direção e os órgãos de 
conformidade a exercerem suas responsabilidades. Um bom relato deve considerar, entre outros fatores:
• as diferentes partes interessadas e suas necessidades específicas de informação e requisitos;
• o custo, a frequência e a pontualidade do relato;
• o método de relato;
• a pertinência da informação para os objetivos organizacionais e para a tomada de decisão.
2 CONCEITUAÇÃO DE RISCOS E GOVERNANÇA
Retomando um pouco, vimos como é importante estruturar de forma profissional e como lidamos 
com o risco, mas também devemos recordar que o risco está presente no dia a dia de todos. Galante (2015) 
afirma que o progresso da humanidade e as mudanças provocadas por esse avanço elevaram os riscos 
existentes, o que acabou levando os seres humanos à obrigação de tratar questões exponencialmente 
mais graves e arriscadas.
2.1 Medindo o risco
Conforme vimos anteriormente, o risco é o efeito da incerteza sobre determinados objetivos. Um 
exemplo prático disso está no simples fato de atravessar uma avenida movimentada. Todos concordamos 
que, nesse processo, existe o risco iminente de ocorrer um acidente – no caso, um atropelamento. Para 
esse caso, a pessoa,quando vai atravessar a avenida, obrigatoriamente, exerce uma análise de risco 
que leva alguns segundos, mas que pode ter um impacto devastador, pode custar a vida. Certamente, 
no mundo em que vivemos, tudo é incerto, tudo tem uma medida de incerteza. Logo, tudo tem uma 
medida de risco, que pode ser positiva ou negativa, lembrando que a segurança da informação, quando 
realiza uma análise de risco, considera apenas os aspectos negativos do risco, como possíveis ataques a 
sistemas, engenharia social, entre outras fontes de risco.
Vimos anteriormente como a ABNT NBR ISO 31000 (2018) define riscos. Galante (2015) nos traz 
outras definições que podemos usar para reforçar ou contrapor a definição da ABNT NBR ISO 31000.
A OHSAS 18001 da BSI (2007) define risco como sendo a combinação da probabilidade de uma 
ocorrência de um evento perigoso expor algum ativo. Nesse sentido, o ativo são as pessoas, pois a 
norma tem esse foco.
31
GESTÃO E ANÁLISE DE RISCOS
 Saiba mais
A norma OHSAS 18001 da BSI de 2007 trata sobre gestão de saúde 
e segurança ocupacional. Foi desenvolvida e é mantida pela BSI-British 
Standards do Reino Unido. Tem como principal objetivo definir requisitos 
de boas práticas em gestão de saúde e segurança ocupacional para 
organizações de qualquer tamanho.
BSI. OHSAS 18001: occupational health and safety management 
system – requirements. OHSAS Project Group; British Standards 
Institution, 2007.
Ainda segundo Galante (2015), a combinação da probabilidade de uma ocorrência de um 
evento que vai expor qualquer ativo a um dano (impacto) define o risco. O autor complementa 
afirmando que o risco é determinado pela combinação da probabilidade ou frequência da 
ocorrência de um dano e sua gravidade, o que nos leva obrigatoriamente a uma análise do risco 
para definir se podemos aceitá-lo ou não.
Os autores Rausand e Utne (2009) e Rausand e Hoyland (2011) afirmam que é possível determinar o 
critério de aceitação do risco por meio dos seguintes aspectos:
• Princípio de ALAPR: (“as low as reasonably practicable” ou “tão baixo quanto possível”) partindo 
do pressuposto de que um risco apenas é aceitável se todas as medidas de prevenção, mitigação 
ou, se for o caso, de transferência estiverem devidamente mapeadas e implantadas.
• The precautionary principle: ou “princípio da precaução”, todos os riscos devem ser devidamente 
analisados e mapeados para assim poderem subsidiar as decisões sobre a aceitação ou não deles.
 Saiba mais
Os autores Rausand e Utne e Rausand e Hoyland são especialistas em 
analisar o risco mais fundamental: o risco de morte. Suas obras auxiliam na 
prevenção de acidentes de trabalho em locais de alto risco:
RAUSAND, M.; UTNE, I. B. Product safety: principles and practices in a life 
cycle perspective. Safety Science, v. 47, n. 7, p. 939-947, 2009. Disponível em: 
http://linkinghub.elsevier.com/retrieve/pii/S0925753508001677. Acesso 
em: 6 abr. 2021.
RAUSAND, M.; HOYLAND, A. System reliability theory; models, statistical 
methods and applications. 2nd ed. New York: John Wiley & Sons, 2011.
32
Unidade I
Quando analisamos o risco mais importante aos seres humanos, o risco de morte, conseguimos 
sintetizar a relevância da análise de risco incorporada no cotidiano da segurança da informação, mas, 
nesse ramo, não existe o risco de morte, será? Os mísseis nucleares estadunidenses são controlados por 
sistemas informatizados, assim como o sistema de trens, o fornecimento de energia elétrica e nuclear, as 
plataformas de extração de petróleo e outros tantos que podem ser invadidos e descontrolados, levando 
à morte vários seres humanos. Dessa forma, é importante definirmos a diferença conceitual e sutil entre 
perigo e risco, pois essa diferença deve ser bem abalizada para uma análise de risco eficaz.
O risco está sendo debatido desde o início dessa obra e, para nossos estudos, pode ser representado 
pelo potencial de ocorrência e pela consequência descontrolada decorrente da ação de um agente. Já 
o perigo, segundo Galante (2015), é a propriedade ou condição inerente a uma exposição ou atividade 
capaz de causar danos aos ativos. O perigo pode ser compreendido como um adjetivo, pois se refere 
a algo a ser observado; já o risco pode ser compreendido como um verbo, pois se refere à existência 
dependente da interação com o perigo.
Podemos exemplificar a interação entre risco e perigo à segurança da informação quando analisamos 
os perigos da internet. Todos sabem dos perigos de perda de dados e informações, invasões, entre outros. 
O risco em si está vinculado à forma como conduzimos nosso acesso na grande rede.
Não seria incorreto afirmar que o perigo é inerte, e o risco é ativo. Sendo assim, se a internet nunca 
for acessada, não haverá exposição ao perigo. Um funcionário de uma empresa de tecnologia está mais 
exposto a essas situações de perigo, pois leva a vida nesse ambiente e deverá conviver com os riscos 
ali inseridos.
Outros exemplos que podem facilitar a compreensão sobre perigo e risco são demonstrados por 
Galante (2015). Entendemos que uma estrada movimentada é perigosa, todavia o risco é inerente à 
ação de trafegar nessa estrada; ou, então, um composto químico pode ser classificado como perigoso, 
contudo o risco é inerente ao seu manuseio. Evidentemente, quanto mais conhecimento as pessoas têm 
sobre os perigos, mais fácil entender e evitar os riscos. Sendo assim, é possível compreender que o risco 
é a entidade a ser administrada, uma vez que decorre da interação humana com o perigo, sendo que o 
perigo tem uma relação binária: ou existe ou não existe.
Perigo é a 
bebida
Risco é como a bebida 
é consumida
Análise de riscos
Figura 6 – Relação entre perigo, risco e análise de riscos
33
GESTÃO E ANÁLISE DE RISCOS
Estabelecer o conceito de gestão de risco leva à compreensão de que, para um mesmo perigo, o 
risco pode decrescer conforme se estabelecem medidas de segurança. Para compreender de forma mais 
simples a análise de risco, podemos representá-la pela seguinte equação:
Bebida em 
excesso
Medidas de 
segurança
Perigo
Táxi
Risco =
Figura 7 – Equação da análise de riscos
Evidentemente, essa equação é simplificada, é matematicamente impossível de ser realizada. O perigo 
pode ter a característica de substância conforme o exemplo mencionado, e não pode ser mensurável, 
pois se comporta exclusivamente de forma binária (ou existe ou não), ou seja, ou a substância é perigosa 
ou não. A isso soma-se o fato de que medir e avaliar o risco de forma numérica diante das medidas de 
prevenção é uma tarefa quase que desumana.
Deve ser lembrado que as medidas de segurança não acabam com os perigos e não eliminam os 
riscos; servem para tentar reduzir a ação dos perigos ao mínimo possível e aceitável.
Segundo Vincoli (2006), a segurança é um aspecto relativo, pois não existe nenhuma condição ou 
procedimento que seja 100% seguro em todas as circunstâncias e em todas as condições. Partindo dessa 
premissa de Vincoli, podemos entender o risco como a “entidade” desenvolvida quando se opta em 
interagir com um determinado perigo.
Dessa maneira, o risco é o que pode e deve ser administrado, gerido, devidamente tratado e, por 
fim, reduzido a níveis aceitáveis. Esse último, por sua vez, vai variar de organização para organização, de 
pessoa a pessoa e de ramo de atividade a outros ramos de atividade.
O resultado de tudo isso está na definição dos critérios de priorização dos riscos que passam 
necessariamente pelo estabelecimento de um ranking de prioridades. Esse ranking deve respeitar a 
complexidade do risco, o entendimento desse risco passando pela sua decomposição em componentes 
menores e menos complexos.
Uma forma de estabelecer um modelo de priorização é utilizar a equação de frequência, severidade 
e cenários:
Risco = f (frequência, severidade, cenários)
Segundo Galante (2015), o componente denominado de cenários se encontra contemplado no 
estabelecimento ou na adaptação das categorias de frequência e severidade aoevento avaliado. 
34
Unidade I
Essa definição está amparada na ABNT NBR ISO 31000 (2018) e na OHSAS 18001 (2007), em que 
o risco está diretamente relacionado a algumas variáveis fundamentais: frequência, probabilidade 
e severidade/consequência, o que na ABNT NBR ISO 31000 é chamado de “impacto”. Com esses 
princípios bem definidos, é possível descrever o risco com uma função de frequência e de severidade 
(consequência) ou impacto.
Nesse estudo, é possível relacionar a proporcionalidade entre as variáveis e, a partir daí, abordar 
de forma prioritária aqueles riscos que possuem maior frequência relacionada a maior severidade 
ou impacto.
Ressaltando que é necessário estabelecer categorias de risco e identificar quais os cenários de perigo 
nesses riscos inerentes que podem levar a severidades e impactos distintos e em esferas diferenciadas, 
que vão desde danos morais, de imagem e financeiros até o mais grave: a perda de vidas.
Severidade 
Impacto
Frequência
Figura 8 – Frequência x severidade/impacto
Quando analisada a figura anterior, pode-se perceber que o risco é mínimo na origem (frequência e 
severidade/impacto simultaneamente nulas) e vai aumentando no sentido da bissetriz (sentido da seta), 
compondo duas regiões de riscos, demonstradas na próxima figura. Claramente, essas regiões podem ser 
caracterizadas como de riscos mínimo e máximo. A região de risco mínimo se encontra na proximidade 
da origem das coordenadas, e as de risco máximo estão se afastando da origem com aumento da 
frequência e da severidade/impacto simultaneamente.
35
GESTÃO E ANÁLISE DE RISCOS
Severidade 
Impacto
Frequência
Riscos mínimos
Riscos máximos
Figura 9 – Regiões de risco baixo e alto
Na “divisa” situada entre as regiões de risco mínimo (baixo) e de risco máximo (alto), demonstrada na 
figura anterior, surge um limite de tolerância. Já na próxima figura, é percebido esse limite de forma clara. 
A curva representa o nível de tolerância. O nível de risco representa o máximo adotado ou permitido. 
Sendo assim, todos os pontos dessa curva representam a constância do risco.
Ressaltando que esse nível representa o risco máximo adotado ou permitido por uma organização e 
define o grau de qualidade do gerenciamento dos riscos na corporação.
Severidade 
Impacto
FrequênciaRiscos
Risco = f (frequência, severidade/impacto)
Figura 10 – Limite de tolerância para os riscos
Quando comparadas a frequência e a severidade/impacto, serão apresentados vários valores. 
O gráfico demonstra que o risco está em uma zona de conforto. Quando os valores estão acima dessa 
marca, o risco deverá ser acompanhado por um plano de ação que terá a missão de trazer os valores 
36
Unidade I
aos níveis da zona de conforto. Assim sendo, é possível afirmar que o nível de tolerância define o grau 
de qualidade do gerenciamento de riscos de uma organização: quanto mais afastada a linha de risco do 
eixo, maior é o risco dessa empresa. Ao definir medidas de mitigação de riscos, pensa-se em prevenir, ou 
seja, na redução da frequência de ocorrência. No caso, redução da frequência de ocorrência quanto à 
proteção, ou seja, minimização da frequência de ocorrência.
Para redução da frequência, são implantadas medidas que visam evitar que incidentes aconteçam, 
como criar normas específicas para determinados assuntos – por exemplo, o uso do e-mail corporativo –, 
mas principalmente estabelecer um programa perene de educação e conscientização em segurança 
da informação que ensinará o funcionário a utilizar a ferramenta com segurança. Isso vai minimizar a 
frequência e, com certeza, as consequências, caso ocorram.
Isso leva à importância da categorização dos riscos identificados em famílias, desenvolvendo uma 
escala de frequência versus severidade/impacto. O uso de cores para demonstrar as zonas dessa escala 
é uma forma visual de identificar o que necessita de plano imediato de mitigação, ressaltando que esse 
mapa, que alguns autores chamam de “mapa de calor de riscos”, varia conforme o tempo, o ramo de 
atividade e, principalmente, conforme os cenários externos e internos apresentados. Dessa forma, o 
mapeamento dos riscos deve ser periódico ou assim que ocorrer algum fato relevante.
Alto
Moderado
Baixo
Risco = f (frequência, severidade/impacto)
Riscos mapeados
Figura 11 – Mapa de calor dos riscos
Um bom exemplo da utilização e da volatilidade dos mapas de calor de risco está relacionado à 
pandemia de covid-19, que, no final de 2019, simplesmente alterou completamente o mapa de calor dos 
riscos à segurança da informação.
O risco do acesso remoto externo concedido pelas empresas aos seus funcionários vigorava na cor 
verde, ou seja, estava em níveis aceitáveis de controle de frequência e de severidade/impacto devido ao 
uso limitado e restrito apenas a alguns funcionários devidamente identificados e treinados nos aspectos 
de segurança desse ambiente. Quando o isolamento social entrou em vigor, algumas corporações 
tiveram pouco tempo para enviar grande parte da sua força de trabalho para o regime de home office, 
ou seja, sem treinamento prévio dos requisitos mínimos de segurança nesse ambiente. A consequência 
37
GESTÃO E ANÁLISE DE RISCOS
foi imediata: o risco à segurança da informação para acesso remoto foi da zona verde para a vermelha, 
requerendo plano de ação imediato.
2.2 Governança, riscos e conformidade
A importância da estruturação de uma governança de risco e conformidade devidamente alinhada 
à governança corporativa e à estratégia da organização é um dos princípios para o sucesso da gestão 
de riscos corporativos. Segundo Sêmola (2014), a sigla GRC (governança, riscos e conformidade) surgiu 
na primeira década deste século e se refere à gestão de um desses itens na organização, o que remete 
diretamente à segurança da informação por causa de suas características de controle e garantia, com 
o intuito de que a organização não seja tachada negativamente por uma gestão inadequada, o que 
levaria, consequentemente, a danos de imagem e à perda de investidores.
Dessa forma tornou-se comum identificar o GRC como a própria evolução da segurança da 
informação, remetendo a esferas mais abrangentes e, por esse motivo, mais extensas e críticas. Ainda 
segundo Sêmola (2014), a governança é um conjunto de pessoas, processos e políticas que orientam a 
forma como a organização deve ser dirigida.
Quando olhamos a definição da CVM (Comissão de Valores Mobiliários, autarquia vinculada ao 
Ministério da Fazenda), podemos ver que a governança engloba as práticas que têm por finalidade 
otimizar o desempenho de uma corporação e proteger todas as partes interessadas, como investidores, 
empregados, credores e parceiros de negócio, assim como o sistema econômico em que a empresa está 
inserida. Quando estudada pela ótica do IBGC (Instituto Brasileiro de Governança Corporativa), nota-se 
que a finalidade da governança é aumentar o valor da empresa, contribuindo para a sua longevidade. 
Dos três pontos de vista (governança, risco e conformidade), com certeza, a governança é o que mais se 
distancia da segurança da informação, em função dos seus aspectos processuais, por estar focada em 
níveis mais elevados da própria gestão organizacional, envolvendo conselho de administração, acionistas, 
assembleia e, no nível de diretoria, geralmente CEO, que faz parte do conselho de administração, e, 
algumas vezes, o CFO, que tem a responsabilidade do controle operacional.
Algumas literaturas sugerem que o Segurity Officer deveria se ocupar da governança de TI, mas, segundo 
Sêmola (2014), devido à natural dissenção entre as áreas de TI e segurança da informação, isso não seria 
uma boa ideia, pelo motivo de haver uma tensão entre as áreas que só pode ser explicada pela simples 
diferença de foco: as áreas de TI estão preocupadas em viabilizar as iniciativas que delas dependem, mesmo 
que os aspectos de segurança não estejam garantidos plenamente, algo totalmente inviável na visão da 
segurança da informação. Esse fato aproximaas áreas de segurança da informação às áreas de auditoria, 
geralmente associadas a iniciativas coercitivas e não muito populares. Evidentemente, tudo isso vai arrebentar 
na gestão de riscos e na conformidade, que também estão propensas a não compactuar com vulnerabilidades 
de segurança.
Conforme vão amadurecendo as áreas de TI e SI, devidamente suportadas por uma governança e 
gestão eficiente dos riscos, tendem a se equilibrar os contrapontos. Atualmente os gestores de TI e SI 
possuem uma visão amplificada de suas obrigações corporativas e da necessidade de foco naquilo que 
é mais importante para o negócio, deixando de lado os anseios individuais, buscando esse equilíbrio.
38
Unidade I
Na visão de Sêmola (2014), a gestão de riscos não tem esse problema, pois é uma extensão natural 
das responsabilidades da gestão da segurança da informação nas organizações como parte integrante 
do processo de governança corporativa, assim como a área de TI.
Fechando a tríplice, temos a conformidade, também conhecida como compliance, que trabalha 
visando garantir o cumprimento das obrigações organizacionais, que vão desde o compromisso assumido 
com os stakeholders (investidores, empregados, credores, agências reguladoras etc.) até os aspectos 
legais e regulatórios relacionados à administração das empresas.
A legalidade é também um dos aspectos de preocupação da segurança da informação e das análises 
de risco. A conformidade tem um escopo ainda mais abrangente que as análises de risco e de segurança, 
pois amplia as fronteiras da legalidade a ponto de merecer um local especial na segurança da informação. 
Isso se justifica quando relacionamos os inúmeros escândalos de gestão fraudulenta ocorridos no final 
do século XX que levaram à criação de leis mais duras, principalmente nos Estados Unidos da América, 
a exemplo do FCPA (Foreign Corrupt Practices Act) e da SOx (Lei Sarbanes-Oxley), entre outras.
No mercado de tecnologia da informação atual, um dos setores que mais cresce é o de ferramentas 
e aplicações, a fim de suportar e automatizar a gestão da governança, dos riscos e da conformidade. 
Isso auxilia o trabalho dos gestores de segurança da informação nas organizações.
 Lembrete
A SOx foi uma lei desenvolvida para combater as fraudes financeiras, 
muito comuns antes da sua criação em 2002, o que abriu definitivamente a 
era dos controles internos nas organizações, os quais, por sua vez, dependem 
das análises de riscos como peça primordial nesse processo.
2.3 Riscos e a segurança da informação: ABNT NBR ISO 27001
A gestão de riscos e a segurança da informação são praticamente complementares. A gestão de 
riscos pode ser considerada a base para todas as ações de segurança da informação, pois coloca as 
ações de proteção a ativos de informação alinhadas aos riscos emergentes e à estratégia corporativa de 
análise, gestão e tratamento dos riscos.
A ABNT NBR ISO 27001 (2018) auxilia na compreensão da importância das ações para contemplar 
o risco e as oportunidades no planejamento da segurança da informação, ressaltando que se devem 
considerar as questões relacionadas a:
• assegurar que o sistema de gestão da segurança da informação alcance os resultados pretendidos;
• prevenir ou reduzir os efeitos indesejados;
• alcançar a melhoria contínua.
39
GESTÃO E ANÁLISE DE RISCOS
Sendo assim, a organização deve planejar devidamente:
• as ações para considerar esses riscos e oportunidades;
• como integrar e implementar essas ações dentro dos processos do seu sistema de gestão da 
segurança da informação, além de avaliar a eficácia dessas ações.
No que tange às avaliações de riscos de segurança da informação, a ABNT NBR ISO 27001 (2018) 
recomenda que a organização defina e aplique um processo de avaliação de riscos de segurança da 
informação que:
• estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios 
de aceitação do risco e os critérios para o desempenho das avaliações dos riscos de segurança 
da informação;
• assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados 
comparáveis, válidos e consistentes;
• identifique os riscos de segurança da informação aplicando o processo de avaliação do risco de 
segurança da informação para definir os riscos associados com a perda de confidencialidade, 
integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança 
da informação, identificando os responsáveis pelos riscos;
• analise os riscos de segurança da informação avaliando as consequências potenciais que podem 
resultar se os riscos identificados forem materializados e avaliando a probabilidade realística da 
ocorrência dos riscos identificados, determinando os níveis de risco;
• avalie os riscos de segurança da informação, comparando os resultados da análise dos riscos com 
os critérios de riscos estabelecidos, priorizando os riscos analisados para o tratamento do risco;
• mantenha devidamente documentado todo o processo de avaliação de risco de segurança 
da informação.
No que se refere ao tratamento dos riscos, a ABNT NBR ISO 27001 (2018) recomenda que a organização 
defina e aplique um processo de tratamento de riscos à segurança da informação para:
• selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, 
considerando os resultados da avaliação do risco;
• determinar todos os controles necessários para implementar as opções escolhidas do tratamento 
do risco da segurança da informação, sendo que as organizações podem projetar os controles, 
conforme requerido, ou identificá-los de qualquer outra fonte;
40
Unidade I
• comparar os controles determinados com aqueles identificados nos modelos existentes no 
mercado e definidos na ABNT NBR ISO 27001 (2018) para verificar se algum controle necessário 
foi omitido. Cabe ressaltar que a ABNT NBR ISO 27001 (2018) contém uma lista detalhada dos 
controles e dos objetivos de controle recomendados para garantir que nenhum controle necessário 
seja omitido, sendo que os objetivos de controle estão implicitamente incluídos nos controles 
escolhidos. Os objetivos de controle e os controles listados na ABNT NBR ISO 27001 (2018) não 
são exaustivos, e controles e objetivos de controles adicionais podem ser necessários conforme o 
avanço tecnológico ou modelos de mercado;
• elaborar uma declaração de aplicabilidade que contenha os controles necessários e justificar 
as inclusões, sejam eles implementados ou não, bem como justificar a exclusão de algum dos 
controles listados na ABNT NBR ISO 27001 (2018);
• preparar um plano para tratamento dos riscos de segurança da informação;
• obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da 
informação e aceitação dos riscos residuais de segurança da informação.
A organização deve manter devidamente documentado todo o processo relativo ao tratamento dos 
riscos à segurança da informação.
É importante salientar que todas as recomendações constantes no processo de tratamento e 
avaliação dos riscos de segurança da informação recomendadas na ABNT NBR ISO 27001 (2018) estão 
alinhadas com os princípios e as diretrizes gerais definidos na ABNT NBR ISO 31000 (2018).
2.4 Equação do risco e a segurança da informação: visão executiva
Segundo Sêmola (2014), assim que aprofundado o aspecto da gestão dos riscos focado na segurança 
da informação, é razoável que cada negócio, independentemente de seu segmento de mercado e ramo 
de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com 
a definição de seu nível de risco.
Considerada a definição de risco da ABNT NBR ISO 31000, a qual diz que o risco é o efeito da 
incerteza, os riscos à segurança da informação nos objetivos, podendo de forma lógica ser positivos ou 
negativos, identificam as variáveis que passam a ser a primeira etapa do desafio de implementação de 
um processo efetivo de gestão de riscos.
Segundo Sêmola