Risco (administração)
Este artigo ou secção contém uma lista de referências no fim do texto, mas as suas fontes não são claras porque não são citadas no corpo do artigo, o que compromete a confiabilidade das informações. (Junho de 2017) |
Risco, em administração, designa a combinação entre a probabilidade de ocorrência de um determinado evento (aleatório, futuro e independente da vontade humana) e os impactos (positivos ou negativos) resultantes, caso ele ocorra.
Análise de Riscos
[editar | editar código-fonte]A análise de riscos consiste em relacionar os eventos relevantes possíveis, avaliar as probabilidades de que esses eventos se concretizarem e definir seus possíveis impactos.
Geralmente, organizações que estão planejando ou desenvolvendo projetos ou negócios realizam a análise de riscos.
Normalmente, a análise de riscos deve conter:
- Matriz de impacto
- Matriz de probabilidade
- Definição dos riscos
Elaboração da matriz de impacto
[editar | editar código-fonte]A matriz de impacto é uma matriz que contém um conjunto de itens que influenciam no dimensionamento do impacto, no caso de ocorrência de uma determinada ameaça sendo então relacionados. Sua elaboração requer:
- Determinação dos elementos críticos do negócio que poderão ser afetados por falhas e erros no processo;
- Levantamento das ameaças / eventos decorrentes da execução dos passos do processo de negócio que podem afetar ou causar um determinado impacto sobre algum elemento crítico do negócio em questão;
- Definição do impacto para o negócio, no caso de ocorrência das ameaças / eventos levantados.
Elaboração da matriz de probabilidade
[editar | editar código-fonte]Essa matriz envolve os aspectos que influenciam na probabilidade de ocorrência de uma determinada ameaça / evento. Sua elaboração requer:
- Levantamento dos controles ou proteções existentes que poderiam prevenir ou minimizar a ocorrência das ameaças / eventos relacionadas;
- Definição dos pontos vulneráveis ou fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade;
- Definição da probabilidade da ameaça / evento vir a se concretizar devido a uma falha do controle e os impactos decorrentes
- A matriz de probabilidade, deve conter as seguintes colunas
- Tipo de ameaça: o que pode dar errado?
- Elemento crítico do negócio: O que pode ser afetado durante o desenvolvimento do trabalho ? (processo de negócio crítico, imagem, segurança da informação, legal ou legislação)
- Impacto: Qual o impacto esperado ? (1 – Alto, 2 Médio, 3 – Baixo)
- Controle: Qual é a proteção existente ?
- Vulnerabilidade: O quão eficaz é o controle ?
- Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o controle? (1 – Alto, 2 Médio, 3 – Baixo)
- Risco: é o resultado da multiplicação do impacto versus a probabilidade.
Definição dos riscos
[editar | editar código-fonte]Esta etapa envolve a sumarização dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado evento (e o seu impacto) vir a ocorrer.
- Considerações sobre a seleção das ameaças/eventos
- deve-se buscar identificar ameaças concretas que sejam parte da realidade da organização. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
- Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não)
- Situações do Cliente Interno (dificuldades de entendimento, participação de responsável da área ou resistências previstas ou não);
- Situações de planejamento (custos, equipe, recursos diversos);
- Tecnologia (falta, excesso, erros, treinamento);
- Imprevisíveis (greve, falta de luz, emergências).
- Considerações sobre a seleção dos controles
- deve-se buscar identificar quais os controles (atividades, procedimentos, recursos ou responsabilidades existentes ou que possam ser construídos) que ajudam a reduzir ou evitar as ameaças, como exemplificado abaixo:
Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
- Procedimento de backup;
- Controle de versões de software;
- Duplicidade em equipamentos;
- Controle financeiro e contábil;
- Responsabilidades definidas;
- Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não).
- Considerações sobre a análise das vulnerabilidades
- deve-se identificar as eventuais vulnerabilidades dos controles indicados. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
- Frequência de erros em procedimento;
- Disponibilidade de recursos;
- Sobrecarga de uso de equipamentos de TI;
- Responsabilidades duplicadas ou não totalmente definidas;
- Fraqueza de controles existentes.
Gestão de riscos
[editar | editar código-fonte]É o processo através do qual as organizações analisam metodicamente os riscos inerentes às suas atividades, com o objetivo de
- identificar os riscos
- estimar a probabilidade de ocorrência de eventos de risco e seu impacto financeiro
- definir medidas para evitar, amenizar, transferir (mediante a contratação de apólices de seguros, por exemplo) ou assumir os riscos.
O gerenciamento de riscos é um elemento central na gestão de estratégia pessoal e também de qualquer organização, principalmente em processos econômicos.
A gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação dessa mesma estratégia. Envolve análise sistemática de todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização. Deve ser integrada à cultura da organização, com uma política eficaz e um programa conduzido pela alta administração. Deve traduzir a estratégia em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos em todos os níveis da organização, como parte integrante da descrição de funções. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis.
Ver também
[editar | editar código-fonte]- Análise de risco
- Cálculo de risco
- Incerteza
- Gerência de projetos
Referências
[editar | editar código-fonte]- Norma de Gestão de Riscos – FERMA 2003 (Federation of European Risk Management Associations)
- ISO/IEC Guide 73 / 2002 - Risk Management Vocabulary Guidelines for use in standards (International Organization for Standardization / International Electrotechnical Commission Guide 73)
- AS-NZS 4360-2004 Risk Management (Australia Standards New Zealand – Risk management)