Leis e NormasPAT

As técnicas para a gestão de riscos

Equipe Target
NBR ISO/IEC 31010 de 04/2012: as técnicas para o processo de avaliação de riscos
A avaliação de riscos é a identificação de perigos que podem impactar negativamente a capacidade de uma organização em conduzir seus negócios. Essas avaliações ajudam a identificar esses riscos de negócios inerentes e fornecem medidas, processos e controles para reduzir o impacto desses riscos nas operações de negócios.
As empresas podem usar uma estrutura de avaliação de riscos para priorizar e compartilhar os detalhes da avaliação, incluindo quaisquer riscos à sua infraestrutura de tecnologia da informação. Isso pode ajudar uma organização a identificar os riscos potenciais e quaisquer ativos de negócios colocados em risco por esses perigos, bem como possíveis consequências se esses riscos se concretizarem.
Como uma avaliação de risco é conduzida varia muito, dependendo dos riscos exclusivos do tipo de negócio, da indústria em que se encontra o negócio e das regras de conformidade aplicadas a esse determinado negócio ou setor. No entanto, existem algumas etapas gerais que as empresas podem seguir, independentemente de seu tipo de negócio ou setor.
Pode-se identificar os perigos, que seria o primeiro passo em uma avaliação de risco é identificar quaisquer riscos potenciais que, se ocorrerem, influenciariam negativamente a capacidade da organização de conduzir negócios. Os riscos potenciais que podem ser considerados ou identificados durante a avaliação de risco incluem desastres naturais, interrupções de energia, ataques cibernéticos e falta de energia.
Pode-se determinar o que ou quem pode ser prejudicado. Depois que os riscos são identificados, o próximo passo é determinar quais ativos de negócios seriam influenciados negativamente se o risco se concretizasse. Os ativos de negócios considerados em risco para esses riscos podem incluir infraestrutura crítica, sistemas de TI, operações de negócios, reputação da empresa e até mesmo segurança dos funcionários.
Em uma outra etapa, pode-se avaliar os riscos e desenvolver medidas de controle. Uma análise de risco pode ajudar a identificar como os perigos afetarão os ativos da empresa e as medidas que podem ser implementadas para minimizar ou eliminar o efeito desses riscos nos ativos da empresa. Os riscos potenciais incluem danos à propriedade, interrupção de negócios, perdas financeiras e penalidades legais.
Depois disso, pode-se conhecer os resultados da avaliação de risco que necessitam ser registrados pela empresa e arquivados como documentos oficiais de fácil acesso. Os registros devem incluir detalhes sobre riscos potenciais, seus riscos associados e planos para prevenir os riscos.
Por fim, deve-se revisar e atualizar a avaliação de risco regularmente. Os potenciais riscos e seus controles resultantes podem mudar rapidamente em um ambiente de negócios moderno. É importante que as empresas atualizem suas avaliações de risco regularmente para se adaptarem a essas mudanças.
As ferramentas de avaliação de risco, como modelos de avaliação de risco, estão disponíveis para diferentes indústrias. Elas podem ser úteis para empresas que desenvolvem suas primeiras avaliações de risco ou atualizam avaliações mais antigas.
A NBR ISO/IEC 31010 de 04/2012 – Gestão de riscos – Técnicas para o processo de avaliação de riscos é uma norma de apoio à NBR ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.

O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.
Assim, a avaliação de riscos utiliza a compreensão do risco, obtida durante a análise de riscos, para tomar decisões sobre as ações futuras. Considerações éticas, legais, financeiras e outras, incluindo as percepções do risco, são também dados de entrada para a decisão. As decisões podem incluir: se um risco necessita de tratamento; as prioridades para o tratamento; se uma atividade deve ser realizada; e qual de um número de caminhos alternativos deve ser seguido.
A natureza das decisões que necessitam ser tomadas e os critérios que serão utilizados para tomar essas decisões foram decididos no estabelecimento do contexto, mas precisam ser revistos em mais detalhes nesta fase, agora que se sabe mais sobre os riscos identificados em particular. A estrutura mais simples para a definição dos critérios de risco é um nível único que divide os riscos que necessitam de tratamento daqueles que não necessitam. Isso fornece resultados atrativamente simples, porém não reflete as incertezas envolvidas na estimativa de riscos e na definição da fronteira entre aqueles que necessitam de tratamento e aqueles que não necessitam.
A decisão sobre se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e os custos e benefícios da implementação de controles melhorados. Uma abordagem comum é dividir os riscos em três faixas: uma faixa superior, onde o nível de risco é considerado intolerável quaisquer que sejam os benefícios que possam trazer à atividade, e o tratamento de risco é essencial qualquer que seja o seu custo; uma faixa intermediária (ou área cinzenta) onde os custos e benefícios são levados em consideração, e oportunidades são comparadas com potenciais consequências; uma faixa inferior, onde o nível de risco é considerado desprezível ou tão pequeno que nenhuma medida de tratamento de risco seja necessária.
O sistema de critérios tão baixo quanto for razoavelmente praticável ou ALARP (As Low As Reasonably Practicable) utilizado em aplicações de segurança segue esta abordagem, onde, na faixa intermediária, há uma escala móvel para baixos riscos − onde os custos e benefícios podem ser diretamente comparados −, enquanto que para altos riscos o potencial de danos tem que ser reduzido até que o custo de redução adicional seja inteiramente desproporcional ao benefício de segurança adquirido.
A norma diz que convém que o processo de avaliação de riscos seja documentado juntamente com os resultados do processo de avaliação. Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em que o nível de risco é expresso sejam claras. A extensão do relatório dependerá dos objetivos e do escopo da avaliação.
Exceto para avaliações muito simples, a documentação pode incluir: objetivos e escopo; descrição de partes pertinentes do sistema e suas funções; um resumo dos contextos externo e interno da organização e como eles se relacionam com a situação, sistema ou circunstâncias que estão sendo avaliados; os critérios de risco aplicados e sua justificativa; limitações, premissas e justificativa de hipóteses; metodologia de avaliação; resultados da identificação de riscos; dados, premissas e suas fontes e validação; resultados da análise de riscos e sua avaliação; análise de sensibilidade e de incerteza; premissas críticas e outros fatores que necessitam ser monitorados; discussão dos resultados; conclusões e recomendações; e referências.
Se o processo de avaliação de riscos apoia um processo sistemático de gestão de riscos, convém que seja realizado e documentado de tal forma que possa ser mantido durante o ciclo de vida do sistema, organização, equipamento ou atividade. Convém que a avaliação seja atualizada sempre que novas informações significativas estejam disponíveis e o contexto se altere, de acordo com as necessidades do processo de gestão.
O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e sua saída sejam compatíveis com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. O Anexo A ilustra a relação conceitual entre as amplas categorias das técnicas para o processo de avaliação de riscos e os fatores presentes numa determinada situação de risco e fornece exemplos ilustrativos de como as organizações podem selecionar as técnicas apropriadas para o processo de avaliação de riscos para uma situação em particular.
Em termos gerais, convém que as técnicas apropriadas apresentem as seguintes características: convém que sejam justificáveis e apropriadas à situação ou organização em questão; convém que proporcionem resultados de uma forma que amplie o entendimento da natureza do risco e de como ele pode ser tratado; convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável. Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação.
Ao integrar os resultados de diferentes estudos, convém que as técnicas utilizadas e as saídas sejam comparáveis. Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis.
Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa decisão, em outros um entendimento mais geral é suficiente.
Deve-se levar em conta o tipo e a gama de riscos que estão sendo analisados e a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora isto possa ter que ser modificado uma vez que uma avaliação preliminar foi concluída).
Outro fator seria o grau de conhecimento especializado, recursos humanos e outros recursos necessários. Um método simples e bem feito pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que atenda aos objetivos e o escopo do processo de avaliação. Normalmente, convém que o esforço aplicado ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado.
Outra questão seria a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras. Por fim, a necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a este respeito, além de quaisquer requisitos regulatórios e contratuais. O Anexo B da norma (informativo) inclui as técnicas para o processo de avaliação de risco.

Enfim, alguns dos principais benefícios da realização do processo de avaliação de riscos devem incluir o entendimento do risco e seu potencial impacto sobre os objetivos; fornecer informações aos tomadores de decisão; contribuir para o entendimento dos riscos a fim de auxiliar na seleção das opções de tratamento; identificar os principais fatores que contribuem para os riscos e os elos fracos em sistemas e organizações; comparar riscos em sistemas, tecnologias ou abordagens alternativos; comunicar riscos e incertezas; auxiliar no estabelecimento de prioridades; contribuir para a prevenção de incidentes com base em investigação pós-incidente; selecionar diferentes formas de tratamento de riscos; atender aos requisitos regulatórios; fornecer informações que ajudarão a avaliar a conveniência da aceitação de riscos quando comparados com critérios predefinidos; e avaliar os riscos para o descarte ao final da vida útil.

FONTE: Equipe Target

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close