Há uma vasta documentação sobre gerenciamento de risco. No entanto, talvez o mais conhecido seja o da International Organization for Standardization, ou ISO. A norma ISO 31000, Gestão de riscos – Diretrizes, inclui informações abrangentes sobre como comunicar, gerenciar e monitorar vários riscos. O processo é essencialmente o mesmo para qualquer tipo de entidade e compreende as seguintes cinco etapas:
- Identifique os riscos;
- Analise a probabilidade e o impacto de cada um;
- Priorize o risco com base nos objetivos da empresa;
- Trate (ou responda) às condições de risco;
- Monitore os resultados e use-os para ajustar, conforme necessário.
Embora essas etapas sejam diretas, cada empresa possui fatores exclusivos que afetam como deve conduzir o gerenciamento e monitoramento de risco. Portanto, para determinar e aplicar esses fatores, é útil aplicar uma estrutura de gerenciamento de risco como parte de uma abordagem abrangente. Seu intuito deve ser planejar, executar e rastrear o gerenciamento geral dos vários riscos.
No entanto, também é importante ter em mente a meta real do processo de gerenciamento de risco. Afinal, no contexto de uma estrutura ampla, a meta não é eliminar completamente todos os riscos, mas determinar níveis aceitáveis de risco, dados seus objetivos. Então, em seguida, trabalhar para mantê-los fatores dentro de limites acordados. As etapas abaixo ajudarão a determinar e aplicar ações específicas para isso.
1. Identifique os riscos
O primeiro passo é determinar os próprios riscos potenciais. Contudo, isso requer algum contexto. Afinal, para considerar o que pode dar errado, é preciso começar com o que deve dar certo.
Então, comece o processo com uma revisão de suas metas e objetivos e dos vários recursos ou ativos que os capacitam. Os praticantes de risco frequentemente aplicam uma abordagem de cima para baixo e de baixo para cima para pensar sobre o que pode impedir esses objetivos.
A parte de cima para baixo considera os programas de missão crítica que não devem ser prejudicados. É o caso de transações de vendas em uma loja de varejo ou processos de manufatura em uma fábrica; em seguida, lista as condições que podem prejudicar esses programas.
No entanto, para a parte ascendente, pode-se considerar várias fontes de ameaças conhecidas, como terremotos, ataques de ransomware ou crises econômicas. Então, deve-se refletir sobre o impacto que elas podem ter na empresa.
Como o risco é, por definição, qualquer incerteza que afeta os objetivos, um risco só é um risco se tiver impacto. Portanto, quanto mais impactante for o risco, maior será a prioridade.
Criando cenários
O Relatório Interagências do NIST (NISTIR) 8286A – “Identificando e Estimando o Risco de Cibersegurança para Gerenciamento de Risco Corporativo (ERM)” – fornece orientação sobre o desenvolvimento de cenários de risco. De acordo com o relatório, os quatro elementos a seguir são necessários para descrever um risco negativo:
- Ativo ou recurso valioso potencialmente afetado;
- Uma fonte de uma ação ameaçadora que atuaria contra aquele ativo;
- Condição preexistente (ou vulnerabilidade) que permite a ação dessa fonte de ameaça;
- Algum impacto prejudicial que ocorre a partir da fonte de ameaça que explora essa vulnerabilidade.
Com esses blocos de construção, pode-se compor um amplo conjunto de cenários de risco para analisar, classificar e tratar. Portanto, descrever o risco como um cenário ajuda a comunicar as condições de risco e a analisar a probabilidade e o impacto do risco em questão. Não obstante, também torna mais fácil considerar a resposta.
Um exemplo de cenário pode ser: “A fábrica foi afetada por uma queda de energia resultante de uma tempestade tropical, interrompendo as operações da fábrica por vários dias.”
Embora o retrospecto nunca seja perfeito, ele fornece uma visão útil sobre quais eventos de risco podem ocorrer no futuro. Em particular, pode ser útil revisar as manchetes sobre os riscos que empresas semelhantes enfrentaram, as condições que os possibilitaram e como os riscos impactaram as organizações.
Categorias de risco
Ao considerar vários tipos de risco, é interessante organizá-los em categorias. Afinal, essa categorização permite que cada tipo de risco seja considerado e rastreado por indivíduos ou equipes familiarizados com tópicos específicos. Por exemplo, o Comitê de Organizações Patrocinadoras da Comissão Treadway sugere organizar o risco nas seguintes áreas:
- Estratégico. Por exemplo, reputação, relações com o cliente, inovação técnica;
- Financeiro e de relatórios. Ou seja, mercado, impostos ou crédito;
- Conformidade e governança. Como ética, regulamentação, comércio internacional, privacidade;
- Operacional. Por exemplo, segurança e privacidade da informação e tecnologia, cadeia de abastecimento, questões trabalhistas, desastres naturais, etc.
Integrando informações
Contudo, as categorias de riscos também ajudam a integrar as informações à medida que os gerentes se comunicam, rastreiam e ajustam a resposta aos riscos. No entanto, para cada categoria de risco, um processo intencional para desenvolver os cenários garantirá que a lista seja suficientemente abrangente. Muitas ferramentas estão disponíveis para ajudar a visualizar e avaliar os cenários. Os exemplos incluem o seguinte:
- Estruturas de análise de risco para riscos do projeto. Por exemplo, “Use uma estrutura de análise de risco (RBS) para entender seus riscos”;
- Árvores de ameaças para risco de segurança cibernética;
- Exercícios Delphi para considerar o risco de investimento.
Então, o componente final desta primeira etapa, a identificação do risco é inserir as descobertas em um registro de risco. Afinal o registro de riscos fornece um meio de comunicação e rastreamento dos vários riscos ao longo das etapas subsequentes. O relatório NISTIR 8286 citado acima fornece um exemplo desse registro, junto com um modelo de amostra de detalhes de risco no qual registra muitos dos resultados das etapas do processo de gerenciamento de risco.
2. Analise a probabilidade e o impacto do risco
Conforme observado acima, um risco só é um risco se tiver impacto. Portanto, a segunda etapa do processo de gerenciamento de risco é analisar a probabilidade de ocorrer um risco e dele ter um impacto mensurável.
Existe toda uma ciência para a análise de risco. Contudo, essencialmente esta etapa é um cálculo da probabilidade de um evento de risco ocorrer e uma estimativa do impacto das consequências se isso acontecer. Embora geralmente haja um impacto imediato, pode haver outras consequências subsequentes. Por isso, considere cada um desses fatores nos cálculos.
Por exemplo, considere a perda de um laptop contendo os registros de saúde do paciente. Haverá uma perda imediata de propriedade, é claro. No entanto, a perda das informações do paciente pode resultar em multas, ações judiciais e danos à reputação que excedem em muito o custo do dispositivo perdido.
Considerando a frequência
Portanto, a análise de risco deve incluir fatores de tempo como parte do cálculo. Os sistemas de relatórios financeiros são críticos. Contudo, mas durante o tempo de preparação do imposto, suas necessidades de integridade e disponibilidade podem ser particularmente importantes. Além disso, a frequência dos eventos de risco é outro fator com base no tempo a ser considerado.
Muitas organizações usam termos gerais ou qualitativos para expressar esses valores. Por exemplo, costumamos usar termos como “alto risco” ou “baixa probabilidade” para comunicar risco. Algumas empresas também usam esquemas de cores vermelho-amarelo-verde. No entanto, as organizações podem se beneficiar de uma abordagem quantitativa mais científica e específica para a análise de risco.
Contudo, existem dezenas de métodos para realizar análises de risco qualitativas e quantitativas, muitos dos quais são descritos na norma ISO / IEC (Comissão Eletrotécnica Internacional) 31010.
3. Priorize com base nos objetivos da empresa
Os resultados da análise de risco permitem que os riscos sejam classificados com base em sua importância. Uma vez que os recursos provavelmente serão limitados, a priorização ajuda a destacar os riscos mais prováveis e impactantes. Não obstante, refletir esses resultados em um mapa de risco ajuda a visualizar a importância relativa de cada risco. Contudo, além disso, também pode ser útil no compartilhamento de observações de risco com outras partes interessadas. Especialmente aquelas que podem fornecer (ou autorizar) recursos para responder a esses riscos.
Embora a priorização inicial de riscos possa ser baseada na combinação de probabilidade e impacto, a classificação final pode ser influenciada por fatores que são importantes para essas partes interessadas. Por exemplo, se a liderança expressou que a confiança do cliente é um valor fundamental para a empresa, os riscos que podem impactar os clientes podem ser destacados.
4. Trate os riscos de maneira econômica
Com uma lista priorizada de riscos em vigor, a próxima etapa é avaliar as opções disponíveis para tratar esses riscos. Então, deve-se aplicar vários métodos e controles para atingir um nível de risco aceitável. Existem várias opções disponíveis para fazer isso, incluindo o seguinte:
- Se o risco, com base no apetite de risco da liderança, já está em um nível aceitável, nenhum tratamento adicional é necessário;
- Caso seja possível compartilhar parte do impacto com outra entidade (por exemplo, uma seguradora, um provedor de serviços externo), então parte do risco pode ser transferido dessa maneira;
- Onde for prático, vários controles de gerenciamento, técnicos e administrativos de risco podem ser aplicados. Afinal, eles ajudarão a reduzir a probabilidade ou impacto de cada risco a um nível aceitável.
Se nenhum desses métodos de resposta ao risco puder ser aplicado, os gerentes de risco devem evitar o risco. Ou seja, devem eliminar as atividades ou exposições que possibilitariam o cenário que está sendo considerado.
Portanto, é importante ter certeza de que os métodos aplicados são eficazes e econômicos. Essa abordagem explica por que um banco pode usar uma corrente de 20 centavos para proteger uma caneta de tinta e um cofre de um milhão de dólares para proteger suas reservas de caixa. Os recursos necessários para tratar o risco devem ser proporcionais aos ativos protegidos.
5. Monitore os resultados do gerenciamento de risco
Mesmo após cada uma das etapas acima, é importante que os resultados sejam rastreados e monitorados para garantir que os riscos permaneçam dentro dos limites estabelecidos pelos líderes da organização. Afinal, as condições de risco podem mudar rapidamente, os valores dos ativos podem flutuar e as preferências das partes interessadas podem mudar.
Então, uma parte crítica do monitoramento é garantir que os gerentes e líderes seniores sejam informados sobre o progresso em direção às metas de risco e às mudanças que podem ter impacto organizacional. O ciclo visa possibilitar a melhoria contínua do processo de gerenciamento de risco. Afinal, à medida que várias equipes em toda a organização realizam ações para identificar, analisar e responder ao risco, os resultados informam e refinam a próxima iteração.
Portanto, por meio da aplicação dessas etapas, no contexto de uma estrutura mais ampla de governança e gestão, as organizações podem identificar de forma consistente os riscos que provavelmente terão um impacto prejudicial. Então, podem priorizar o tratamento econômico e monitorar os resultados para manter a melhoria contínua.
