Riscos, técnicas de identificação e mitigação

Por /

por Allan Torres, em http://www.gerenciamentoeconomico.com.br

Esse termo risco é muito utilizado nas áreas de administração, economia, gerencia de projeto e em todas elas é a designação do resultado de uma combinação entre a probabilidade da ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana juntamente com o impacto resultante caso ocorra.

Esse conceito nas áreas de projeto pode ser mais especifico ao se classificar o risco como uma probabilidade de ocorrência de um determinado evento que se contrapõe ao alcance do objetivo e que normalmente que gere prejuízo.

O simples fato de uma atividade existir, abre a possibilidade da ocorrência de eventos ou combinação deles, cujas conseqüências constituem oportunidades para obter vantagens ou então ameaças ao sucesso ou objetivo.

Análise de Riscos
A Análise de Riscos é o processo pelo qual são relacionados os eventos, os impactos e avaliadas a probabilidade destes acontecerem.

Como orientação da confecção de uma análise de riscos, temos os seguintes passos e cuidados:

1 – Construir a Matriz de Impacto
A Matriz de Impacto é uma matriz envolve um conjunto de itens que influenciam no dimensionamento do impacto no caso de ocorrência de uma determinada ameaça sendo então relacionados abaixo:

  • Determinar os elementos críticos do negócio que poderão ser afetados por falhas e erros no processo;
  • Levantar as ameaças / eventos decorrentes da execução dos passos do processo de negócio, que podem afetar ou causar um determinado impacto sobre algum elemento crítico do negócio relacionado;
  • Definir o impacto para o negócio no caso de ocorrência das ameaças / eventos relacionadas.

2 – Construir a Matriz de Probabilidade
Esta matriz envolve alguns aspectos que influenciam na probabilidade de ocorrência de uma determinada ameaça / evento, sendo, então, relacionados abaixo:

  • Levantar os controles ou proteções existentes que poderiam prevenir ou minimizar a ocorrência das ameaças / eventos relacionadas;
  • Definir as fraquezas ou fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade;
  • Definir qual a probabilidade da ameaça / evento vir a se realizar devido a falha do controle (ou este ser sobrepujado) e o impacto previsto acontecer.

A matriz de probabilidade, deve conter as colunas abaixo

  1. Tipo de ameaça: o que pode dar errado?
  2. Elemento crítico do negócio: O que pode ser afetado durante o desenvolvimento do trabalho ? (processo de negócio crítico, imagem, segurança da informação, legal ou legislação)
  3. Impacto : Qual o impacto esperado ? (1 – Alto, 2 Médio, 3 – Baixo)
  4. Controle / Mitigação: Qual é a proteção existente ?
  5. Vulnerabilidade: O quão eficaz é o controle ?
  6. Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o controle? (1 – Alto, 2 Médio, 3 – Baixo)
  7. Risco: é o resultado da multiplicação do impacto versus a probabilidade.
  8. Gatilho : Qual evento precede o acontecimento da ameaça?

3 – Definir os Riscos reais
Esta etapa envolve a sumarização dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado evento (e o seu impacto) vir a ocorrer.
Considerações Sobre a Seleção das Ameaças/Eventos
Deve-se buscar identificar ameaças concretas que sejam parte da realidade da organização, como exemplificado abaixo:
Ex: Caso fosse um projeto de desenvolvimento:

  • Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não)
  • Situações do Cliente Interno (dificuldades de entendimento, participação de responsável da área ou resistências previstas ou não);
  • Situações de planejamento (custos, equipe, recursos diversos);
  • Tecnologia (falta, excesso, erros, treinamento);
  • Imprevisíveis (greve, falta de luz, emergências).

Considerações Sobre a Seleção dos Controles / Mitigação dos riscos
Deve-se buscar identificar quais os controles (atividades, procedimentos, recursos ou responsabilidades existentes ou que possam ser construídos) que ajudam a reduzir ou evitar a ocorrência da ameaça, como exemplificado abaixo:
Ex: Caso fosse um projeto de desenvolvimento

  • Procedimento de backup;
  • Controle de versões de software;
  • Duplicidade em equipamentos;
  • Controle financeiro e contábil;
  • Responsabilidades definidas;
  • Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não).

Considerações Sobre a Análise das Vulnerabilidades
Deve-se identificar as eventuais fraquezas dos mitigadores indicados, como abaixo exemplificado:
Ex: Caso fosse um projeto de desenvolvimento:

  • Freqüência de erros em procedimento;
  • Disponibilidade de recursos;
  • Sobrecarga de uso de equipamentos de TI;
  • Responsabilidades duplicadas ou não totalmente definidas;
  • Fraqueza de controles existentes.

Gestão de Riscos
A gestão (ou gerenciamento) de riscos é um elemento central na gestão da estratégia de qualquer organização ou projeto.

É o processo através do qual analisam metodicamente os riscos inerentes às respectivas atividades, com o objetivo de identificação, estimativa (probabilidade de ocorrência e impacto) e mitigação dos mesmos, através de medidas para:

• Evitar;
• Reduzir;
• Assumir; e/ou
• Transferir os riscos(exemplos: pelo tipo de contrato, fazer um seguro, etc).

A gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação dessa mesma estratégia. Deve analisar metodicamente todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização.

Deve ser integrada na cultura da organização com uma política eficaz e um programa conduzido pela direção de topo. Deve traduzir a estratégia em objetivos tácticos e operacionais, atribuindo responsabilidades na gestão dos riscos por toda a organização, como parte integrante da respectiva descrição de funções. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis da organização.

Melhore os resultados da sua organização com o nosso apoio especializado:

Veja nossas opções de treinamento e desenvolvimento profissional e gerencial
Veja nossa abordagem e nossos diferenciais na consultoria e sugestões de projetos para melhoria de resultados 

Baixe agora o eBook gratuito:
Estratégias para a Transformação Digital 2024
e receba semanalmente as melhores dicas de gestão.

Não fazemos spam! Leia nossa política de privacidade para mais informações.