Risco (administração)

Risco, em administração, designa a combinação entre a probabilidade de ocorrência de um determinado evento (aleatório, futuro e independente da vontade humana) e os impactos (positivos ou negativos) resultantes, caso ele ocorra.

Análise de Riscos

A análise de riscos consiste em relacionar os eventos relevantes possíveis, avaliar as probabilidades de que esses eventos se concretizarem e definir seus possíveis impactos.

Geralmente, organizações que estão planejando ou desenvolvendo projetos ou negócios realizam a análise de riscos.

Normalmente, a análise de riscos deve conter:

Matriz de impacto
Matriz de probabilidade
Definição dos riscos

Elaboração da matriz de impacto

A matriz de impacto é uma matriz que contém um conjunto de itens que influenciam no dimensionamento do impacto, no caso de ocorrência de uma determinada ameaça sendo então relacionados. Sua elaboração requer:

Determinação dos elementos críticos do negócio que poderão ser afetados por falhas e erros no processo;
Levantamento das ameaças / eventos decorrentes da execução dos passos do processo de negócio que podem afetar ou causar um determinado impacto sobre algum elemento crítico do negócio em questão;
Definição do impacto para o negócio, no caso de ocorrência das ameaças / eventos levantados.

Elaboração da matriz de probabilidade

Essa matriz envolve os aspectos que influenciam na probabilidade de ocorrência de uma determinada ameaça / evento. Sua elaboração requer:

Levantamento dos controles ou proteções existentes que poderiam prevenir ou minimizar a ocorrência das ameaças / eventos relacionadas;
Definição dos pontos vulneráveis ou fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade;
Definição da probabilidade da ameaça / evento vir a se concretizar devido a uma falha do controle e os impactos decorrentes

A matriz de probabilidade, deve conter as seguintes colunas

Tipo de ameaça: o que pode dar errado?
Elemento crítico do negócio: O que pode ser afetado durante o desenvolvimento do trabalho ? (processo de negócio crítico, imagem, segurança da informação, legal ou legislação)
Impacto: Qual o impacto esperado ? (1 – Alto, 2 Médio, 3 – Baixo)
Controle: Qual é a proteção existente ?
Vulnerabilidade: O quão eficaz é o controle ?
Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o controle? (1 – Alto, 2 Médio, 3 – Baixo)
Risco: é o resultado da multiplicação do impacto versus a probabilidade.

Definição dos riscos

Esta etapa envolve a sumarização dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado evento (e o seu impacto) vir a ocorrer.

Considerações sobre a seleção das ameaças/eventos: deve-se buscar identificar ameaças concretas que sejam parte da realidade da organização. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:

Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não)
Situações do Cliente Interno (dificuldades de entendimento, participação de responsável da área ou resistências previstas ou não);
Situações de planejamento (custos, equipe, recursos diversos);
Tecnologia (falta, excesso, erros, treinamento);
Imprevisíveis (greve, falta de luz, emergências).

Considerações sobre a seleção dos controles: deve-se buscar identificar quais os controles (atividades, procedimentos, recursos ou responsabilidades existentes ou que possam ser construídos) que ajudam a reduzir ou evitar as ameaças, como exemplificado abaixo:

Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:

Procedimento de backup;
Controle de versões de software;
Duplicidade em equipamentos;
Controle financeiro e contábil;
Responsabilidades definidas;
Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não).

Considerações sobre a análise das vulnerabilidades: deve-se identificar as eventuais vulnerabilidades dos controles indicados. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:

Frequência de erros em procedimento;
Disponibilidade de recursos;
Sobrecarga de uso de equipamentos de TI;
Responsabilidades duplicadas ou não totalmente definidas;
Fraqueza de controles existentes.

Gestão de riscos

É o processo através do qual as organizações analisam metodicamente os riscos inerentes às suas atividades, com o objetivo de

identificar os riscos
estimar a probabilidade de ocorrência de eventos de risco e seu impacto financeiro
definir medidas para evitar, amenizar, transferir (mediante a contratação de apólices de seguros, por exemplo) ou assumir os riscos.

O gerenciamento de riscos é um elemento central na gestão de estratégia pessoal e também de qualquer organização, principalmente em processos econômicos.

A gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação dessa mesma estratégia. Envolve análise sistemática de todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização. Deve ser integrada à cultura da organização, com uma política eficaz e um programa conduzido pela alta administração. Deve traduzir a estratégia em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos em todos os níveis da organização, como parte integrante da descrição de funções. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis.

Ver também

Referências

Norma de Gestão de Riscos – FERMA 2003 (Federation of European Risk Management Associations)
ISO/IEC Guide 73 / 2002 - Risk Management Vocabulary Guidelines for use in standards (International Organization for Standardization / International Electrotechnical Commission Guide 73)
AS-NZS 4360-2004 Risk Management (Australia Standards New Zealand – Risk management)