By: adminPosted on

o que é um processo de gestão de riscos e por que é necessário?O risco representa qualquer tipo de incerteza que pode melhorar ou reduzir a capacidade de atingir seus objetivos. Pode assumir muitas formas, incluindo riscos que afetam projetos, Finanças, Segurança e Privacidade e o meio ambiente. Para riscos positivos (oportunidades) ou negativos, você precisa de uma abordagem intencional para entender o equilíbrio entre risco e recompensa. Este artigo se concentra no processo de gerenciamento de riscos que podem ter um impacto negativo em sua organização; processos semelhantes se aplicam para determinar como explorar a incerteza benéfica, ou seja, o risco positivo.

a história recente destacou o impacto que os fatores de risco podem ter sobre como as empresas e os indivíduos operam-e sobre se eles podem continuar a fazê-lo. A capacidade de navegar melhor pelo risco do que os concorrentes certamente contribuirá para o sucesso da empresa. Não fazer isso pode significar desastre, talvez além da recuperação.

por esses motivos, é importante aplicar um processo de gerenciamento de riscos comprovado e consistente. Quando construído sobre uma base sólida de compreensão das metas, objetivos e contexto interno/externo da organização, um processo de gerenciamento de riscos ajudará a garantir o sucesso da sua organização.

quais são as 5 etapas do processo de gerenciamento de riscos?Muitos órgãos de conhecimento documentaram a gestão de riscos, mas talvez o mais conhecido seja o da Organização Internacional de padronização, ou ISO. A norma ISO 31000, Risk management — Guidelines, inclui informações abrangentes sobre como se comunicar, gerenciar e monitorar vários riscos. O processo é essencialmente o mesmo para qualquer tipo de entidade e compreende as seguintes cinco etapas:

este artigo faz parte do

o que é gerenciamento de riscos e por que é importante?

  • o Que também inclui:
  • governança, gestão de riscos e compliance (GRC)
  • prevenção de riscos
  • mapa de risco (risco de mapa de calor)

  1. Identificar os riscos.
  2. analise a probabilidade e o impacto de cada um.
  3. priorize o risco com base nos objetivos da empresa.
  4. trate (ou responda) as condições de risco.
  5. monitore os resultados e use-os para ajustar, conforme necessário.

embora essas etapas sejam diretas, todas as empresas têm fatores únicos que afetam a forma como devem gerenciar e monitorar o risco. Para determinar e aplicar esses fatores, é útil aplicar uma estrutura de gerenciamento de riscos como parte de uma abordagem abrangente para planejar, executar e rastrear o gerenciamento geral dos vários riscos.

cinco etapas do processo de gestão de riscos
Figura 1. Um processo eficaz de gerenciamento de riscos requer essas cinco etapas.

também É importante manter em mente que o objetivo do processo de gestão de risco, no contexto de uma estrutura ampla, não é para eliminar completamente todos os riscos, mas para determinar níveis aceitáveis de risco, considerando seus objetivos, e, em seguida, trabalhar para manter os fatores de risco dentro acordado limites. As etapas abaixo ajudarão a determinar e aplicar ações específicas para fazê-lo.

identificar riscos

o primeiro passo é determinar os próprios riscos potenciais. Isso requer algum contexto: para considerar o que pode dar errado, é preciso começar com o que deve dar certo.

Comece o processo com uma revisão de suas metas e objetivos e os vários recursos ou ativos que os permitem. Os profissionais de risco geralmente aplicam uma abordagem de cima para baixo e de baixo para cima para pensar sobre o que pode impedir esses objetivos.

a parte de cima para baixo considera programas de missão crítica que não devem ser prejudicados (como transações de vendas em uma loja de varejo ou processos de fabricação em uma fábrica); em seguida, lista as condições que podem prejudicar esses programas.

para a parte de baixo para cima, pode-se considerar várias fontes de ameaça conhecidas (como terremotos, ataques de ransomware ou crises econômicas) e refletir sobre o impacto que isso pode ter na empresa.

porque o risco é, por definição, qualquer incerteza que afeta os objetivos, um risco é apenas um risco se tiver impacto. Quanto mais impactante for um risco, maior será a prioridade. A análise dessa prioridade ocorrerá na próxima etapa, mas primeiro é preciso considerar os vários fatores de risco para criar um cenário que possa ser medido.

NIST Interagency Report (PISTIR) 8286A – “identificando e estimando o risco de segurança cibernética para gerenciamento de risco corporativo (ERM)” – fornece orientação sobre o desenvolvimento de cenários de risco. De acordo com o relatório, os quatro elementos a seguir são necessários para estar presente para descrever um risco negativo (ver Figura 2):

  1. um ativo ou recurso valioso que seria impactado;
  2. uma fonte de uma ameaça de ação que iria agir contra esse ativo;
  3. uma condição pré-existente (ou vulnerabilidade) que permite que ameaça fonte de agir; e
  4. algum impacto nocivo que ocorre a partir da ameaça de origem explorar essa vulnerabilidade.

Com esses blocos de construção, pode-se compor um amplo conjunto de cenários de risco a serem analisados, classificados e tratados. Descrever o risco como um cenário ajuda a comunicar as condições de risco e analisar a probabilidade e o impacto do risco. Também torna mais fácil considerar como responder. Um cenário de exemplo pode ser: “a fábrica é afetada por uma queda de energia resultante de uma tempestade tropical, interrompendo as operações da fábrica por vários dias.”

atributos de um risco negativo
Figura 2. Um risco negativo é definido como tendo esses quatro atributos.

embora a retrospectiva nunca seja perfeita, ela fornece informações úteis sobre quais eventos de risco podem ocorrer no futuro. Em particular, pode ser útil revisar manchetes sobre os riscos que empresas semelhantes enfrentaram, as condições que os permitiram e como os riscos impactaram as organizações.

categorias de risco

ao considerar vários tipos de risco, pode ser útil organizá-los em categorias. Essa categorização permite que cada tipo de risco seja considerado e rastreado por indivíduos ou equipes que estão familiarizados com tópicos específicos. Por exemplo, o Committee of Sponsoring Organizations of the Treadway Commission, uma iniciativa conjunta de organizações profissionais que assegura a gestão dos riscos de orientação, sugeriu que o risco pode ser organizada em quatro áreas:

  • risco estratégico (por exemplo, reputação, relacionamento com clientes, inovação técnica);
  • financeiros e de relatórios de risco (por exemplo, mercado, fiscal, de crédito);
  • compliance e governança de risco (por exemplo, de ética, regulamentação, comércio internacional, privacidade); e
  • risco operacional (e.g., segurança e privacidade da informação e Tecnologia, cadeia de suprimentos, questões trabalhistas, desastres naturais).

as categorias de riscos também ajudam a integrar informações à medida que os gerentes se comunicam, rastreiam e ajustam a resposta ao risco. Para cada categoria de risco, um processo intencional para desenvolver os cenários garantirá que a lista seja suficientemente abrangente. Muitas ferramentas estão disponíveis para ajudar a visualizar e avaliar os cenários. Os exemplos incluem o seguinte:

  • estruturas de desagregação de riscos para os riscos do projeto (por exemplo, “Use a risk breakdown structure (RBS) to understand your risks”);
  • threat trees for cybersecurity risk (por exemplo, a metodologia Octave Allegro da Carnegie Mellon); e
  • exercícios Delphi para considerar o risco de investimento.

o componente final desta primeira etapa, identificação de risco, é registrar os achados em um registro de risco. O registro de risco fornece um meio de comunicar e rastrear os vários riscos ao longo das etapas subsequentes. O relatório HISTIR 8286 citado acima fornece um exemplo de tal registro, juntamente com um modelo de detalhe de risco de amostra no qual registrar muitos dos resultados das etapas do processo de gerenciamento de risco.

analise a probabilidade e o impacto do risco

conforme observado acima, um risco é apenas um risco se tiver impacto, portanto, a segunda etapa do processo de gerenciamento de riscos é analisar a probabilidade de ocorrer um risco e de ter um impacto mensurável.Há toda uma ciência para análise de risco, mas essencialmente esta etapa é um cálculo da probabilidade de ocorrência de um evento de risco e uma estimativa do impacto das consequências se isso aconteceu. Embora muitas vezes haja um impacto imediato, pode haver outras conseqüências subsequentes, também, por isso é importante considerar cada um desses fatores nos cálculos. Considere a perda de um laptop contendo registros de saúde do paciente – haverá uma perda imediata de propriedade, mas a perda dessas informações do paciente pode resultar em multas, ações judiciais e danos à reputação que excedem em muito o custo do dispositivo perdido.

a análise de risco deve incluir fatores de tempo como parte do cálculo. Os sistemas de relatórios financeiros são frequentemente considerados críticos, mas durante o tempo de preparação fiscal, suas necessidades de integridade e Disponibilidade podem ser particularmente importantes. A frequência de eventos de risco é outro fator baseado no tempo a considerar.

muitas organizações usam termos gerais ou qualitativos para expressar esses valores. Por exemplo, muitas vezes usamos termos como “alto risco” ou “baixa probabilidade” para comunicar risco, ou talvez usar esquemas de cores vermelho-amarelo-verde. As organizações podem se beneficiar de uma abordagem quantitativa mais científica e específica para a análise de risco. Por exemplo, a abordagem de Análise Fatorial de risco de informação (FAIR), instanciada no padrão OpenFAIR do grupo aberto, pode ser usada para realizar cálculos de risco detalhados que podem ser mais úteis do que as cores para estimar.

existem dezenas de métodos para realizar análises de risco qualitativas e quantitativas, muitos dos quais descritos na norma ISO/IEC (International Electrotechnical Commission) 31010, “Risk management — Risk assessment techniques.”Essa publicação aponta que as técnicas” são usadas dentro das etapas de avaliação de risco de identificar, analisar e avaliar o risco, conforme descrito na ISO 31000, e mais geralmente sempre que houver necessidade de entender a incerteza e seus efeitos.”

priorizar com base nos objetivos da empresa

os resultados da análise de risco permitem que os riscos sejam classificados e classificados com base em sua importância. Como os recursos provavelmente serão limitados, a priorização ajuda a destacar os riscos que serão mais prováveis e impactantes. Refletindo esses resultados em um mapa de risco ajuda a visualizar a importância relativa de cada risco e também pode ser útil na partilha de risco observações com outras partes interessadas, particularmente aqueles que podem fornecer (ou autorização) de recursos para atender a esses riscos.

embora a priorização inicial dos riscos possa ser baseada na combinação de probabilidade e impacto, a classificação final pode ser influenciada por fatores importantes para essas partes interessadas. Por exemplo, se a liderança expressou que a confiança do cliente é um valor-chave para a empresa, os riscos que podem afetar os clientes podem ser destacados.

Tratar os riscos de forma rentável

Com uma lista priorizada de riscos no local, o próximo passo é avaliar as opções disponíveis para tratar esses riscos e aplicar diversos métodos e controles para alcançar um nível aceitável de risco. Existem várias opções disponíveis para isso, incluindo o seguinte:

  • se o risco, com base no apetite de risco da liderança, já estiver em um nível aceitável, nenhum tratamento adicional é necessário.
  • se for possível compartilhar parte do impacto com outra entidade (por exemplo, uma empresa de seguros, um provedor de serviços externo), então parte do risco pode ser transferido dessa maneira.
  • onde podem ser aplicados controles de risco práticos, vários controles de gestão, técnicos e administrativos que ajudarão a reduzir a probabilidade ou o impacto de cada risco para um nível aceitável.
  • Se nenhum desses métodos de resposta ao risco puder ser aplicado, os gerentes de risco devem evitar o risco eliminando as atividades ou exposições que permitiriam que o cenário fosse considerado.

é importante ter certeza de que os métodos aplicados são eficazes e econômicos. Essa abordagem explica por que um banco pode usar uma cadeia de 20 centavos para proteger uma caneta de tinta e um cofre de um milhão de dólares para proteger suas reservas de caixa. Os recursos necessários para tratar o risco devem ser compatíveis com os ativos protegidos.

monitorar os resultados do gerenciamento de riscos

mesmo após cada uma das etapas acima, é importante que os resultados sejam rastreados e monitorados para garantir que os riscos permaneçam dentro dos limites estabelecidos pelos líderes da organização. As condições de risco podem mudar rapidamente, os valores dos ativos podem flutuar e as preferências das partes interessadas podem mudar. Uma parte crítica do monitoramento é garantir que os gerentes e líderes seniores sejam informados sobre o progresso em direção a metas de risco e mudanças que possam ter impacto organizacional. O ciclo é semelhante ao ciclo PDSA (Plan-Do-Study-Act) popularizado pelo Dr. W. Edwards Deming, permitindo a melhoria contínua do processo de gerenciamento de riscos. À medida que várias equipes em toda a organização tomam ações para identificar, analisar e responder ao risco, os resultados informam e refinam a próxima iteração.

conclusão

por meio da aplicação dessas etapas, no contexto de uma estrutura mais ampla de governança e gestão, as organizações podem identificar consistentemente os riscos que provavelmente terão um impacto prejudicial, priorizar o tratamento econômico e monitorar os resultados para manter a melhoria contínua.

Deixe uma resposta

O seu endereço de email não será publicado.