Risco (administração)

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Text document with red question mark.svg
Este artigo ou secção contém uma ou mais fontes no fim do texto, mas nenhuma é citada no corpo do artigo, o que compromete a confiabilidade das informações.
Por favor, melhore este artigo introduzindo notas de rodapé citando as fontes, inserindo-as no corpo do texto quando necessário.

Risco, em administração, designa a combinação entre a probabilidade de ocorrência de um determinado evento (aleatório, futuro e independente da vontade humana) e os impactos (positivos ou negativos) resultantes, caso ele ocorra.

Análise de Riscos[editar | editar código-fonte]

A análise de riscos consiste em relacionar os eventos relevantes possíveis, avaliar as probabilidades de que esses eventos se concretizarem e definir seus possíveis impactos.

Geralmente, organizações que estão planejando ou desenvolvendo projetos ou negócios realizam a análise de riscos.

Normalmente, a análise de riscos deve conter:

  • Matriz de impacto
  • Matriz de probabilidade
  • Definição dos riscos

Elaboração da matriz de impacto[editar | editar código-fonte]

A matriz de impacto é uma matriz que contém um conjunto de itens que influenciam no dimensionamento do impacto, no caso de ocorrência de uma determinada ameaça sendo então relacionados. Sua elaboração requer:

  • Determinação dos elementos críticos do negócio que poderão ser afetados por falhas e erros no processo;
  • Levantamento das ameaças / eventos decorrentes da execução dos passos do processo de negócio que podem afetar ou causar um determinado impacto sobre algum elemento crítico do negócio em questão;
  • Definição do impacto para o negócio, no caso de ocorrência das ameaças / eventos levantados.

Elaboração da matriz de probabilidade[editar | editar código-fonte]

Essa matriz envolve os aspectos que influenciam na probabilidade de ocorrência de uma determinada ameaça / evento. Sua elaboração requer:

  • Levantamento dos controles ou proteções existentes que poderiam prevenir ou minimizar a ocorrência das ameaças / eventos relacionadas;
  • Definição dos pontos vulneráveis ou fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade;
  • Definição da probabilidade da ameaça / evento vir a se concretizar devido a uma falha do controle e os impactos decorrentes
A matriz de probabilidade, deve conter as seguintes colunas
  1. Tipo de ameaça: o que pode dar errado?
  2. Elemento crítico do negócio: O que pode ser afetado durante o desenvolvimento do trabalho ? (processo de negócio crítico, imagem, segurança da informação, legal ou legislação)
  3. Impacto: Qual o impacto esperado ? (1 – Alto, 2 Médio, 3 – Baixo)
  4. Controle: Qual é a proteção existente ?
  5. Vulnerabilidade: O quão eficaz é o controle ?
  6. Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o controle? (1 – Alto, 2 Médio, 3 – Baixo)
  7. Risco: é o resultado da multiplicação do impacto versus a probabilidade.

Definição dos riscos[editar | editar código-fonte]

Esta etapa envolve a sumarização dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado evento (e o seu impacto) vir a ocorrer.

Considerações sobre a seleção das ameaças/eventos 
deve-se buscar identificar ameaças concretas que sejam parte da realidade da organização. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
  1. Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não)
  2. Situações do Cliente Interno (dificuldades de entendimento, participação de responsável da área ou resistências previstas ou não);
  3. Situações de planejamento (custos, equipe, recursos diversos);
  4. Tecnologia (falta, excesso, erros, treinamento);
  5. Imprevisíveis (greve, falta de luz, emergências).
Considerações sobre a seleção dos controles 
deve-se buscar identificar quais os controles (atividades, procedimentos, recursos ou responsabilidades existentes ou que possam ser construídos) que ajudam a reduzir ou evitar as ameaças, como exemplificado abaixo:

Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:

  1. Procedimento de backup;
  2. Controle de versões de software;
  3. Duplicidade em equipamentos;
  4. Controle financeiro e contábil;
  5. Responsabilidades definidas;
  6. Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não).
Considerações sobre a análise das vulnerabilidades 
deve-se identificar as eventuais vulnerabilidades dos controles indicados. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
  1. Frequência de erros em procedimento;
  2. Disponibilidade de recursos;
  3. Sobrecarga de uso de equipamentos de TI;
  4. Responsabilidades duplicadas ou não totalmente definidas;
  5. Fraqueza de controles existentes.

Gestão de riscos[editar | editar código-fonte]

É o processo através do qual as organizações analisam metodicamente os riscos inerentes às suas atividades, com o objetivo de

  • identificar os riscos
  • estimar a probabilidade de ocorrência de eventos de risco e seu impacto financeiro
  • definir medidas para evitar, amenizar, transferir (mediante a contratação de apólices de seguros, por exemplo) ou assumir os riscos.

O gerenciamento de riscos é um elemento central na gestão de estratégia pessoal e também de qualquer organização, principalmente em processos econômicos.

A gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação dessa mesma estratégia. Envolve análise sistemática de todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização. Deve ser integrada à cultura da organização, com uma política eficaz e um programa conduzido pela alta administração. Deve traduzir a estratégia em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos em todos os níveis da organização, como parte integrante da descrição de funções. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis.

Referências[editar | editar código-fonte]

  • Norma de Gestão de Riscos – FERMA 2003 (Federation of European Risk Management Associations)
  • ISO/IEC Guide 73 / 2002 - Risk Management Vocabulary Guidelines for use in standards (International Organization for Standardization / International Electrotechnical Commission Guide 73)
  • AS-NZS 4360-2004 Risk Management (Australia Standards New Zealand – Risk management)

Ver também[editar | editar código-fonte]


Portal A Wikipédia possui o:
Portal de Economia e negócios