Skip navigation

Toda empresa, desde que obteve seu CNPJ e, a partir daí, abre suas portas todo dia de manha, torna-se continuamente exposta a um grande numero de ameaças e vulnerabilidades que podem afetar sobremaneira as suas operações e o cumprimento de seus objetivos de negocio. A identificação, analise e avaliação destas ameaças e vulnerabilidades é o único meio de entender e medir o impacto do risco envolvido no dia-a-dia do negocio e então decidir quais são as medidas e controles apropriados para gerenciar o processo. Deve ser levado em conta que a Avaliação de Riscos é um processo que, em muitos casos, não é executado (até pode ser executado, mas de forma inadequada) mesmo que o Gerenciamento de Riscos esteja implementado na empresa.

Identificando os Riscos: Trata-se de uma fase onde as ameaças, vulnerabilidades e os riscos associados à operação são identificados. Este processo deve ser sistematizado e compreensivo o bastante para garantir que nenhum risco seja inadvertidamente excluído do processo de identificação. É importante que durante este processo, todos os riscos identificados sejam registrados, independente do fato de que alguns já sejam conhecidos e tratados pela empresa. O primeiro passo para gerar uma lista detalhada de fontes de ameaças, riscos e eventos que podem ter impacto no cumprimento dos objetivos do negocio é identificá-los num documento que contenha a Definição de Escopo e a Estrutura de Trabalho a ser realizado.

De forma geral, um risco pode ser caracterizado pela:

– sua origem: agentes tais como empregados insatisfeitos, mal treinados, empresas concorrentes, governo, economia, geografia…;
– uma determinada atividade, evento ou incidente: exposição não autorizada de dados confidenciais, nova estratégia de marketing da concorrência, revisão de regulamentos sobre a proteção de dados sensíveis, longa falta de energia elétrica…;
– suas conseqüências, resultados ou impactos: indisponibilidade de serviços, perda de participação de mercado, aumento de regulamentação, multas…;
– uma razão especifica para uma ocorrência: erro no desenho de um sistema, intervenção humana acidental ou proposital, atividade concorrente predatória…;
– controles e mecanismos de proteção: sistemas de detecção e controle de acesso, políticas, treinamento em segurança, pesquisa de mercado…;
– tempo e local da ocorrência: houve uma inundação no Data Center durante uma tempestade que fugiu a todas as probabilidades e possibilidades de ocorrencia.

Para a identificação de riscos, considere a informação de boa qualidade, contida no conhecimento da empresa e que contemple os ambientes interno e externo de trabalho. Pelo que vimos acima, histórico de informação sobre empresas similares ou concorrentes, sobre condições políticas, econômicas e ambientais também devem ser levadas em conta neste processo.

Identificar o que pode acontecer raramente é o suficiente. O fato é que podem existir varias formas e meios pelas quais o mesmo evento pode ocorrer e daí devemos estudar todas as possibilidades, causas mais significativas e cenários para a efetivação da hipótese. Os métodos e ferramentas de apoio à identificação de riscos incluem checklists, julgamentos baseados na experiência e registros existentes, fluxogramas de processo, workshops, analise de sistemas, analise de cenários e técnicas de engenharia de sistemas.

Se você for selecionar uma Metodologia de Identificação de Riscos, considere:

– Formar uma equipe interna, que possua conhecimento do negocio e conhecimento das operações do negocio, que possam estar comprometidos e ofertar de boa vontade suas experiências de trabalho;
– Uso de Técnicas Estruturadas, tais como fluxogramas, desenho de sistemas, analise de sistemas e modelagem operacional.
– Para soluções ainda indefinidas, tais como identificação de riscos estratégicos, processos com mais de uma estrutura de atividades (tipo: what-if), podemos fazer uso de analise de cenário.

Analisando Riscos: Esta é a fase onde o grau (ou nível como alguns denominam) do risco e sua natureza são avaliados e compreendidos. Este informação é o primeiro INPUT para os decisores concluírem que riscos serão tratados ou não, e qual será a metodologia a ser utilizada que melhor atenda a relação custo-benefício.  A analise de riscos envolve:

– exame detalhado das causas, fontes e origens dos riscos;
– conseqüências negativas ou positivas;
– a probabilidade da ocorrência destas conseqüências e os fatores que as afetam;
– avaliação e qualquer controle que exista, ou processos que possam minimizar riscos negativos ou maximizar riscos positivos (oportunidades);

Estes controles derivam de um conjunto de padrões, controles ou catalogo de praticas existente no mercado ou a partir de um Mapa de Riscos previamente desenvolvido.

O grau ou nível de risco pode ser estimado a partir de analises estatísticas e cálculos que combinem probabilidade e impacto. Qualquer formula ou método de combinação deve ser consistente com o critério estabelecido no contexto da Gestão de Riscos Corporativa. Esta consistência é necessária porque um evento pode ter múltiplas conseqüências e afetar diferentes objetivos: estas conseqüências e suas probabilidades de ocorrências devem ser combinadas para se calcular o nível de risco. Se não existirem dados históricos sobre o assunto (um banco de dados de incidentes, por exemplo) podemos fazer uso de outras estimativas, mas somente depois de serem apresentadas e aprovadas pelos decisores.

A informação usada para estimar o impacto e a probabilidade da ocorrência de um evento, normalmente pode ser conseguida através de:

– registros e experiência passada (relatórios, banco de dados,…);
– boas praticas, padrões internacionais, guias específicos;
– analise e pesquisa de mercado;
– protótipos e experimentos;
– modelos de engenharia, política, economia e outros;
– consultoria externa especializada.

As técnicas de analise de riscos incluem:
– entrevistas com especialistas dentro das respectivas áreas de interesse e questionários;
– uso de modelos e simulações existentes e disponíveis no mercado.

A analise de riscos pode variar em detalhamento de acordo com o risco, propósito da analise e o nível necessário de proteção àquela informação, ativo ou recurso em questão. A analise pode ser qualitativa, quantitativa ou resultado de uma combinação dos dois. Em qualquer caso, o tipo de analise executada deve ser consistente com o critério desenvolvido dentro do contexto da Gestão de Riscos Corporativa (e isso já foi dito acima).

Analise qualitativa: a grandeza e probabilidade ou conseqüências potenciais são apresentadas detalhadamente. As escalas utilizadas podem ser formadas ou ajustadas para atender às circunstancias do negocio, e descrições especificas podem ser usadas para descrever diferentes riscos apontados nestas escalas. A analise quantitativa pode ser utilizada em:

– avaliação inicial para identificar os riscos que serão objetos de analise detalhada no futuro;
– onde acontecerem aspectos não tangíveis do risco (reputação, imagem, cultura,…);
– onde faltam informações adequadas ou faltam dados numéricos ou carecem de recursos necessários para uma abordagem estatística.

Analise quantitativa: valores numéricos são especificados para o impacto e a probabilidade da ocorrência. Estes valores são derivados de uma variedade de fontes distintas. A qualidade desta analise depende da acuracidade dos valores apontados e da validade dos modelos estatísticos utilizados. O impacto pode ser determinado pela avaliação e pelo processamento de vários resultados da ocorrência de um evento ou pela extrapolação de estudos experimentais ou dados e registros do passado. As conseqüências podem ser expressas em termos de valores:

– monetários;
– técnicos;
– operacionais;
– humanos;

A combinação da analise qualitativa e da analise quantitativa é a tentativa de apontar alguns valores para as escala de valores utilizados na analise qualitativa. Estes valores são apenas indicações, não valores reais, na qual são pré-requisitos da abordagem quantitativa. Como o valor alocado para cada escala não representa a acuracidade da atual magnitude do impacto ou probabilidade da ocorrência, os números utilizados devem ser combinados utilizando apenas formulas que reconheçam as limitações ou suposições feitas na descrição das escalas.

Devo mencionar aqui que, o uso da combinação das analises quantitativas e qualitativas lida com varias inconsistências, porque os números utilizados não refletem de forma honesta as analogias entre os diferentes riscos, principalmente suas conseqüências ou probabilidades de ocorrências.

Avaliação de Riscos: Durante esta fase do processo, as decisões tomadas apontam quais riscos necessitam tratamento, bem como determina as prioridades. Os profissionais envolvidos comparam o nível do risco determinado durante o processo de analise com o critério estabelecido no contexto da Gestão de Riscos Corporativa. (isto é, na fase de identificação dos critérios do risco). Este critério também levou em consideração os Objetivos de Negocio da Empresa, as visões dos acionistas e o mais importante: o escopo e objetivo do processo de Gestão de Riscos como um todo. As decisões tomadas são normalmente baseadas no nível do risco, mas também podem ser considerados suas conseqüências (impactos), a probabilidade da ocorrência dos eventos e o impacto cumulativo sobre uma serie de eventos que podem ocorrer simultaneamente.

Hoje falamos sobre a Identificação, Analise e Avaliação de Riscos. Na próxima coluna continuaremos este assunto com o Tratamento do Risco, encerrando com o conceito de Risco residual. Até lá.

Anúncios
%d blogueiros gostam disto: