Vocabulário da Gestão de Riscos – Nova ISO 31073

O novo vocabulário da ISO 31073:2022 pretende desenvolver um entendimento comum nas organizações sobre os termos e conceitos da Gestão de Riscos. Essa norma substituiu o ISO Guia 73 de 2009. Portanto a ISO 31073 abrange 49 termos e conceitos que estão categorizados nos seguintes grupos: 3 termos relativos a riscos (risco, objetivo e incerteza); 3 termos relativos à gestão de riscos (gestão de riscos, política de gestão de riscos e plano de gestão de riscos); e os 43 termos restantes relativos ao processo de gestão de riscos.

ação de evitar o risco --->   decisão consciente de não se envolver, ou retirar-se de uma atividade, a fim de não ser exposto a um risco específico.  NOTA: A ação de evitar o risco pode ser baseada nos resultados da avaliação de riscos (risk evaluation) e/ou em obrigações legais e regulatórias.


aceitação do risco--->  decisão consciente de assumir um risco específico.  NOTA 1: A aceitação do risco pode ocorrer sem o tratamento do risco ou durante o processo de tratamento de riscos. NOTA 2: Riscos aceitos estão sujeitos a monitoramento e análise crítica.


agregação de riscos--->combinação de uma série de riscos em um único risco para desenvolver uma compreensão mais completa do risco global. 


ameaça--->  fonte potencial de perigo, dano ou outro resultado indesejável. NOTA 1: Uma ameaça é uma situação negativa em que a perda é provável e sobre a qual se tem relativamente pouco controle.  NOTA 2: Uma ameaça para uma parte pode representar uma oportunidade para outra.


análise crítica--->  atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos estabelecidos.  NOTA: A análise crítica pode ser aplicada à estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou aos controles (de risco).


análise de riscos--->  processo de compreender a natureza do risco e determinar o nível de risco.  NOTA: A análise de riscos fornece a base para a avaliação de riscos (risk evaluation) e para as decisões sobre o tratamento de riscos.


apetite por riscos---> quantidade e tipo de riscos que uma organização está preparada para buscar, reter ou assumir


atitude perante o risco---> abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco. 


auditoria da gestão de riscos--->  processo sistemático, independente e documentado para obter evidências e avaliá-las de maneira objetiva, a fim de determinar a extensão na qual a estrutura da gestão de riscos, ou qualquer parte sua selecionada, é adequada e eficaz. 


avaliação de riscos (risk evaluation)--->  processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco é aceitável ou tolerável.  NOTA: A avaliação de riscos auxilia na decisão sobre o tratamento de riscos.


aversão a riscos--->  atitude de afastar-se de riscos.

compartilhamento de riscos--->  forma de tratamento de riscos que envolve a distribuição acordada de riscos com outras partes. 

NOTA 1: Requisitos legais ou regulatórios podem limitar, proibir ou ordenar o compartilhamento de riscos. NOTA 2: O compartilhamento de riscos pode ser realizado por meio de seguros ou outras formas de contrato. NOTA 3: A extensão em que o risco é distribuído pode depender da confiabilidade e clareza dos acordos de compartilhamento.


consequência--->  
resultado de um evento que afeta os objetivos.  NOTA 1: Uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos, diretos ou indiretos, nos objetivos. NOTA 2: As consequências podem ser expressas qualitativa ou quantitativamente.

NOTA 3: Qualquer consequência pode escalar por meio de efeitos cascata e cumulativos. NOTA 4 As consequências iniciais podem desencadear reações em cadeia

contexto externo--->  ambiente externo no qual a organização busca atingir seus objetivos.  NOTA: O contexto externo pode incluir:

• o ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; 

• os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e as relações com partes interessadas externas e suas percepções e valores.


contexto interno--->  
ambiente interno no qual a organização busca atingir seus objetivos.  NOTA: O contexto interno pode incluir:

• governança, estrutura organizacional, funções e responsabilidades; • políticas, objetivos e estratégias implementadas para atingi-los;

• capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); • sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como informais);

• relações com partes interessadas internas, e suas percepções e valores; • cultura da organização;

• normas, diretrizes e modelos adotados pela organização; e  forma e extensão das relações contratuais.


controle (de risco)--->   medida que mantém e/ou modifica o risco.  NOTA 1: Controles (de risco) incluem, mas não se limitam a qualquer processo, política, dispositivo, prática ou outras condições e/ou ações que mantêm e/ou modificam riscos. NOTA 2: Controles (de risco) nem sempre conseguem exercer o efeito de modificação pretendido ou presumido.


critérios de risco--->   termos de referência contra os quais a significância de um risco é avaliada.  NOTA 1: Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e interno. NOTA 2: Os critérios de risco podem ser derivados de normas, leis, políticas e outros requisitos.

evento--->  ocorrência ou mudança em um conjunto específico de circunstâncias. 

NOTA 1: Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e várias consequências.

NOTA 2: Um evento pode também ser algo que é esperado, mas não acontece, ou algo que não é esperado, mas acontece.

NOTA 3: Um evento pode ser uma fonte de risco.

exposição---> grau em que uma organização e/ou parte interessada está sujeita a um evento. 

F

fator de risco (risk driver)---> fator que tem uma grande influência no risco. 

financiamento de riscos---> forma de tratamento de riscos que envolve arranjos contingentes para a provisão de fundos, a fim de atender ou modificar eventuais consequências financeiras, caso ocorram. 

fonte de risco--->  elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. 

frequência --->  número de eventos ou resultados por unidade de tempo definida.  NOTA: Frequência pode ser aplicada a eventos passados ou a potenciais eventos futuros, nos quais pode ser usada como uma medida de probabilidade (likelihood) / probabilidade (probability).

gestão de riscos---> atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. 

incerteza--->   estado, mesmo parcial, de deficiência de informação relacionada à compreensão ou conhecimento. 

NOTA 1: Em alguns casos, a incerteza pode estar relacionada ao contexto da organização, bem como aos seus objetivos.

NOTA 2: A incerteza é a fonte-raiz do risco, ou seja, qualquer tipo de “deficiência de informação” que seja importante em relação aos objetivos (e os objetivos, por sua vez, dizem respeito a todas as necessidades e expectativas pertinentes das partes interessadas).


identificação de riscos--->  processo de busca, reconhecimento e descrição de riscos. 

NOTA 1: A identificação de riscos envolve a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais.

NOTA 2: A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas. 

monitoramento--->   verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado.  NOTA: O monitoramento pode ser aplicado à estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou aos controles (de risco).


N

nível de risco---> magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências e de suas probabilidades (likelihood)

O

objetivo--->  resultado a ser alcançado. 

NOTA 1: Um objetivo pode ser estratégico, tático ou operacional.

NOTA 2: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança e metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, da organização, projeto, produto e processos).

NOTA 3: Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado pretendido, um propósito, um critério operacional, como objetivo de um sistema de gestão, ou pelo uso de outras palavras com significado similar (por exemplo, finalidade, meta, alvo).


oportunidade--->  combinação de circunstâncias que se espera que sejam favoráveis aos objetivos. 

NOTA 1: Uma oportunidade é uma situação positiva em que o ganho é provável e sobre a qual se tem um razoável nível de controle.

NOTA 2: Uma oportunidade para uma parte pode representar uma ameaça para outra.

NOTA 3: Aproveitar ou não aproveitar uma oportunidade são ambas fontes de risco.


organização--->  pessoa ou grupo de pessoas com suas próprias funções, com responsabilidades, autoridades e relações para alcançar seus objetivos.   NOTA: O conceito de organização inclui, mas não está limitado a, empreendedor individual, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação
destes, seja ela incorporada ou não, pública ou privada.


P

parte interessada (stakeholder)--->  pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade. 

percepção do risco--->   visão de risco da parte interessada.      NOTA: A percepção do risco reflete as necessidades, questões, conhecimento, crenças e valores das partes interessadas.


perigo--->  fonte de dano potencial.    NOTA: O perigo pode ser uma fonte de risco.


plano de gestão de riscos--->   esquema dentro da estrutura da gestão de riscos, que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos. 

NOTA 1: Os componentes de gestão tipicamente incluem procedimentos, práticas, atribuição de responsabilidades, sequência e a cronologia das atividades.

NOTA 2: O plano de gestão de riscos pode ser aplicado a um determinado produto, processo e projeto, em parte ou em toda a organização.


política de gestão de riscos---> declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos. 

probabilidade (likelihood)--->     chance de algo acontecer. 

NOTA 1: Na terminologia de gestão de riscos, a palavra ”probabilidade" é utilizada para referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade (probability) ou frequência).

NOTA 2: O termo em Inglês "likelihood" não tem um equivalente direto em algumas línguas; em vez disso, o equivalente do termo "probability" é frequentemente utilizado. Entretanto, em inglês, "probability" é muitas vezes interpretado estritamente como uma expressão matemática. Portanto, na terminologia de gestão de riscos, convém que ”likelihood" seja utilizado com a mesma ampla interpretação que o termo "probability" tem em muitos outros idiomas além do inglês. 

probabilidade (probability)--->    medida da chance de ocorrência expressa como um número entre 0 e 1, onde 0 é a impossibilidade e 1 é a certeza absoluta.    NOTA: Ver probabilidade (likelihood), Nota 2.  

processo de avaliação de riscos (risk assessment)--->  processo global de identificação de riscos, análise de riscos e avaliação de riscos (risk evaluation). 

processo de gestão de riscos--->  aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos. 

proprietário de riscos--->  pessoa ou entidade com a responsabilização e a autoridade para gerenciar riscos. 

R

reporte de riscos--->   forma de comunicação destinada a informar partes interessadas específicas, internas ou externas, fornecendo informações relativas ao estado atual do risco e à sua gestão. 

resiliência--->  capacidade adaptativa de uma organização em um ambiente complexo e de mudanças. 

retenção de riscos--->     aceitação do benefício potencial de ganho, ou do ônus da perda, a partir de um risco específico. 

NOTA 1: A retenção de riscos inclui a aceitação de riscos residuais.     NOTA 2: O nível de risco retido pode depender dos critérios de risco.


risco--->      efeito da incerteza nos objetivos. 

NOTA 1: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças.

NOTA 2: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis.

NOTA 3: Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.

  

risco residual--->     risco remanescente após o tratamento do risco.    NOTA 1: O risco residual pode conter riscos não identificados.

NOTA 2: O risco residual também pode ser conhecido como "risco retido".

T  

tolerância ao risco--->     disposição da organização ou da parte interessada em suportar o risco residual, a fim de atingir seus objetivos. 

NOTA: A tolerância ao risco pode ser influenciada por requisitos legais ou regulatórios.


tratamento de riscos--->    processo para modificar o risco. 

NOTA 1: O tratamento de risco pode envolver: • a ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; • assumir ou aumentar o risco, a fim de buscar uma oportunidade; • a remoção da fonte de risco; • a alteração da probabilidade (likelihood);  • a alteração das consequências;  • o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e  • a retenção do risco por uma escolha consciente.

NOTA 2: Os tratamentos de riscos relativos a consequências negativas são muitas vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos".

NOTA 3: O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

vulnerabilidade--->   propriedades intrínsecas de algo, resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma consequência.