Convém que a organização defina os critérios a serem utilizados para avaliar a significância do risco. Convém que os critérios reflitam os valores, objetivos e recursos da organização. Alguns critérios podem ser impostos por, ou derivados de requisitos legais e regulamentares e outros requisitos que a organização subscreva.
Convém que os critérios de risco sejam compatíveis com a política de gestão de riscos da organização (ver 4.3.2), sejam definidos no início de qualquer processo de gestão de riscos e sejam analisados criticamente de forma contínua.
Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes aspectos:
- a natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas;
- como a probabilidade será definida;
- a evolução no tempo da probabilidade e/ou consequência(s);
- como o nível de risco deve ser determinado;
- os pontos de vista das partes interessadas;
- o nível em que o risco se torna aceitável ou tolerável, e
- se convém que combinações de múltiplos riscos sejam levadas em consideração e, em caso afirmativo, como e quais combinações convém que sejam consideradas.
(*) AVISO: desde o dia 01/9/2016, este conteúdo está disponível somente para os inscritos no Curso a Distância de Atualização Profissional em Gestão de Riscos, Controles Internos, Compliance, QSMS e Normas ISO.