RISCO é um evento ou condição incerta e futura que, se ocorrer, terá uma influência Positiva ou Negativa na realização das ações previstas no PDTIC e, por conseguinte, no alcance das metas estipuladas. Outra definição, segundo a ABNT NBR ISO/IEC 38.500:2009, é a combinação da probabilidade de um evento e suas consequências.

Os Riscos Positivos são chamados de OPORTUNIDADES.

Os Riscos Negativos são chamados de AMEAÇAS.

Um risco pode ter uma ou várias causas e pode ter impacto em uma ou mais ações.

Impacto: efeito resultante da ocorrência do evento.

Riscos são diferentes de Problemas:

  • os riscos podem vir a acontecer no futuro; já que ainda não ocorreram. eles podem se transformar em um problema, caso ocorram.
  • os problemas já estão ocorrendo no presente; requerem uma solução imediata.

Risco inerente: nível de risco ao qual se estaria exposto caso não houvesse nenhum controle implantado.

Risco inerente: nível de risco ao qual se estaria exposto caso não houvesse nenhum controle implantado.

Probabilidade: possibilidade de ocorrência do evento.

Vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado.

 

Categorias

Os riscos foram identificados e agrupados em categorias, com vistas a facilitar seu gerenciamento. Segue algumas sugestões de categorias:

  • Estratégicos

    estão associados à tomada de decisão que pode afetar negativamente o alcance dos objetivos da organização.

  • Ope​racional

    Riscos que afetam o desempenho e a qualidade das atividades operacionais de TI. Os riscos devem ser mitigados, transferidos, eliminados ou explorados, pois não poderão ser aceitos.

  • Reputação ou Imagem

    Riscos que podem afetar a imagem do DTIC ou da organização. Os riscos devem ser mitigados, transferidos, eliminados ou explorados, pois não poderão ser aceitos.

  • Financeiro

    Estão associados ao não cumprimento de princípios constitucionais, legislações específicas ou regulamentações externas aplicáveis ao negócio, bem como de normas e procedimentos internos.

  • Conformidade

    Riscos externos ao controle direto do TJPR, mas que ainda assim podem afetar o sucesso das metas e ação (dependência de outras áreas do TJPR / CNJ, reestruturação organizacional, suporte organizacional, mudanças no governo, mercado e tecnologias etc.). Os riscos externos podem ser aceitos, pois independem de ação direta do Ibama.

  • Tecnologia

    Riscos relacionados a problemas técnicos em hardware, software ou outra solução de informática (apontamento genérico).

  • Infraestrutura de TI

    Riscos relacionados a problemas técnicos em hardware, software, ou demais equipamentos de TI (exige conhecimento técnico para definir esta categoria).

  • Software

    Riscos relacionados a problemas técnicos em um software específico (exige conhecimento técnico para definir esta categoria).

  • Escopo

    Riscos relacionados ao assunto escopo de um projeto, exemplo: indefinições, alterações constantes, sem validação.

  • Cliente / Usuário

    Riscos relacionados a clientes ou usuários de algum projeto, por exemplo: indefinição, representante ausente, sem comprometimento.

 

Gerenciamento de RISCOS

Os RISCOS são GERENCIÁVEIS, isto é, podem ser previamente identificados, analisados, monitorados e controlados. Eles também podem ser mitigados (ter reduzida a sua chance de acontecer) e evitados. E para minimizar o impacto de suas consequências, podem ser planejadas respostas à sua ocorrência. Além disso, as consequências do risco podem ser transferidas para outrem.

Pelo exposto, gerenciar riscos envolve maximizar a probabilidade de ocorrência dos eventos positivos e minimizar a probabilidade de ocorrência dos eventos negativos (ameaças). Também envolve planejar respostas para minimizar o impacto da ocorrência dos riscos negativos.

De uma maneira simplificada, o GERENCIAMENTO DE RISCOS é um processo sistemático de Identificação dos riscos, Avaliação ou Análise, Planejamento de Respostas (ação), ComunicaçãoMonitoramento para reduzir o risco ao um nível aceitável. Segue o detalhamento dos processos:

Proprietário do Risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.

Tolerância a Risco: grau de quantidade e nível de risco a que o DTIC ou Tribunal está disposto a se expor dentro de padrões considerados institucionalmente razoáveis.

Análise de Riscos: processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável (auxilia na decisão sobre o tratamento de riscos).

Apetite a Riscos: está associado ao nível de risco que se está disposto a aceitar na busca e realização da estratégia.

 

A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo conduzido em uma organização pelo Conselho de Administração (CA), diretoria e demais colaboradores, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. 

Alguns frameworks que estudam RISCOS em TI:  PMBOK, COBIT e  ISO/IEC 27005:2011- Gestão de riscos de segurança da informação.

 

ETAPAS:

  1. Identificação de Riscos

    Este processo consiste em levantar os prováveis riscos que podem afetar o negócio, a execução de projetos de TIC, e documentar suas características.

     

  2. Avaliação / Análise (Qualitativa e Quantitativa) de Riscos

    análise qualitativa de riscos é o processo de avaliar a probabilidade de ocorrência e o impacto causado pelos riscos identificados. A análise qualitativa baseia-se no julgamento, na intuição e na experiência em estimar probabilidades de ocorrência de potenciais riscos e medir a intensidade de perdas e ganhos potenciais.

    análise quantitativa, quando tangível, utiliza intervalos numéricos para expressar a medida de avaliação. Exemplo, valores de perda da receita, o custo da reparação de um sistema, ou o nível de esforço necessário para corrigir problemas causados por um ataque.

    A avaliação é calculada com base nos seguintes itens:

    • Probabilidade de ocorrência do evento (estimativa);
    • Gravidade do impacto ou efeitos ou consequências do impacto (também estimada);
    • Nível do risco ou Criticidade, é a magnitude do risco que é expressa pelo produto das variáveis probabilidade X impacto).

    A probabilidade e o impacto são variáveis independentes. Geralmente, usa-se uma escala entre três a cinco pontos para parametrizar as estimativas dos eventos (ameaças ou oportunidades).

    Aconselha-se a utilizar uma escala não linear, a fim de dar maior peso a eventos com alta probabilidade, em detrimento de eventos com baixa probabilidade.

     

    Escala de PROBABILIDADE de riscos
    Risco Baixa Moderada Alta Muito Alta
    Peso 1 3 6 10

    TABELA 1: Sugestão de escala de Probabilidade de ocorrência de determinado evento / risco (estimativa).

     

    A concretização de um determinado evento produz impactos que no âmbito do gerenciamento de riscos no DTIC foram classificados qualitativamente em quatro (04) níveis:

    Escala de IMPACTO negativo do risco
    Sobre o objetivo do projeto Insignificante ( 1 ) Moderado ( 3 ) Relevante ( 6 ) Catastrófico ( 10 )
    Sobre os custos Aumento de até 5% Aumento de 5,01% até 10% Aumento de 10,01% até 20% Aumento acima de 20,01%
    Sobre o cronograma Atraso de até 5% Atraso de 5,01% até 10% Atraso de 10,01% até 30% Atraso acima de 30,01%
    Sobre o escopo Redução imperceptível Partes pouco importantes afetadas Sistemas críticos afetados Produto final não serve para o cliente
    Sobre a qualidade Degradação imperceptível Degradação de itens não prioritários Degradação de qualidade significativa Produto final sem uso

    TABELA 2: Sugestão de níveis de IMPACTO de determinado evento / risco.

    FÓRMULA PARA CALCULAR O NÍVEL DO RISCO ou CRITICIDADE DO RISCO:

    Multiplicam-se os valores atribuídos para a PROBABILIDADE pelo valor do IMPACTO, ou seja: Criticidade do Risco = Probabilidade X Impacto

    PROBABILIDADE NÍVEL DO RISCO ou CRITICIDADE (ameaças)
    Muito Alta ( 10 ) 10 30 60 100
    Alta ( 6 ) 6 18 36 60
    Moderada ( 3 ) 3 9 18 30
    Baixa ( 1 ) 1 3 6 10
    IMPACTO => Insignificante ( 1 ) Moderado ( 3 ) Relevante ( 6 ) Catastrófico ( 10 )

    TABELA 3: Matriz do Nível do Risco ou Criticidade, com o produto da Probabilidade pelo Impacto

    Legenda adotada: Catastrófico, Relevante, Moderado e Insignificante, respectivamente com as cores Vermelho, Laranja, Amarelo e Verde.

    Interessante destacar que esses parâmetros são produto de convenção, ou seja, trata-se de proposição para o DTIC do TJPR. E, segundo os estudos acerca do tema gerenciamento de riscos, neste aspecto não há certo e errado. A cada organização cabe a convenção de parâmetros que se adequem às suas necessidades!

    Para cada risco a ser identificado é adotada uma estratégia de tratamento e resposta ao risco. Veremos a seguir...

     

  3. Planejamento de Respostas aos Riscos

    No planejamento de respostas aos riscos, são definidas estratégias de respostas aos riscos, ou seja execução de um plano ou conjunto de medidas adequadas de redução do risco, com base no processo de avaliação:

    • Prevenir / Evitar: quando o risco é elevado em termos de impacto e probabilidade, simplesmente não pode ser aceito. Deve-se planejar uma forma de eliminá-lo completamente; mudar o plano do projeto, não iniciar ou descontinuar a atividade que dá origem ao risco. Exemplo: adotar uma abordagem tradicional em vez de uma inovadora; excluir do escopo a área sujeita a risco. Nesse caso, o plano do projeto será necessariamente alterado. Se não for possível alterar o plano do projeto, a opção será a transferência do risco.
    • Transferir / Compartilhar: se o risco é inaceitável, porém não há como alterar o planejamento do projeto, procura-se transferir o impacto negativo e a responsabilidade da resposta terceirizando as etapas do trabalho afetadas pelo risco. Indicado repassar as consequências do risco bem como a responsabilidade de resposta para quem está mais bem-preparado para enfrentá-lo. Exemplo: contratos com fornecedor contendo cláusulas específicas para tratamento dos riscos.
    • Mitigar (suavizar) / Reduzir: desenvolver ações visando minimizar a probabilidade da ocorrência ou de seu impacto, com o objetivo de deixar o risco dentro do limite aceitável. Exemplo: projetar uma redundância; qualificação de recursos humanos.
    • Aceitar: indicada nas situações em que a criticidade do risco é Moderado ou Insignificante; ou na ocorrência de riscos externos em que não seja possível implementar uma ação específica. Existem algumas derivações:
      • Aceitar passivamente o risco: simplesmente não fazer nada e torcer para que o risco não venha a acontecer; ou prever que o risco exigirá resposta, mas não será preciso reservar recursos adicionais
      • Aceitar ativamente o risco: desenvolver planos alternativos (Contingência) caso venha a ocorrer. Neste caso será necessário alocação de valores monetários.

     

    De acordo com a criticidade é sugerido escolher uma estratégia de ação:

    Criticidade Baixo Moderado Elevado Extremo
    1 a 3 4 a 10 11 a 36 37 a 100
    Resposta ao Risco Aceitar Passivamente Aceitar Ativamente Mitigar / Reduzir Prevenir/Evitar ou Transferir/Compartilhar

    TABELA 4: Estratégia de Ação sugerida para a resposta aos Riscos

     

     

    Nível da Probabilidade Nível do Impacto Criticidade do Risco Sugestão de Resposta ao Risco
    Muito Alta (10) Catastrófico (10) Extremo (100) Prevenir / Evitar ou Transferir / Compartilhar
    Muito Alta (10) Relevante (6) Extremo (60) Mitigar / Reduzir
    Muito Alta (10) Moderado (3) Elevado (30) Mitigar / Reduzir
    Muito Alta (10) Insignificante(1) Moderado (10) Aceitar Ativamente
    Alta (6) Catastrófico (10) Extremo (60) Prevenir/Evitar ou Transferir/Compartilhar
    Alta (6) Relevante (6) Elevado (36) Mitigar / Reduzir
    Alta (6) Moderado (3) Elevado (18) Mitigar / Reduzir
    Alta (6) Insignificante (1) Moderado (6) Aceitar Passivamente
    Moderada (3) Catastrófico (10) Elevado (30) Mitigar / Reduzir
    Moderada (3) Relevante (6) Elevado (18) Mitigar / Reduzir
    Moderada (3) Moderado (3) Moderado (9) Aceitar Passivamente
    Moderada (3) Insignificante (1) Baixo (3) Aceitar Passivamente
    Baixa (1) Catastrófico (10) Moderado (10) Aceitar Ativamente
    Baixa (1) Relevante (6) Moderado (6) Aceitar Ativamente
    Baixa (1) Moderado (3) Baixo (3) Aceitar Passivamente
    Baixa (1) Insignificante (1) Baixo (1) Aceitar Passivamente

    TABELA 5: Matriz completa de Criticidade com sugestão de Resposta aos Riscos

     

  4. Comunicação

    A comunicação do risco preconiza o compartilhamento contínuo das informações referentes aos riscos entre as partes interessadas durante todo o processo de gestão de risco.

     

  5. Monitoramento e Controle de Riscos

    Após tomadas as devidas ações referentes aos riscos prioritários, é necessário assegurar sua permanência, evolução se possível, no tempo. Algumas das técnicas úteis nessa fase são:

    • Sistemas de relatórios internos e externos (disclosure);
    • Auditorias internas;
    • Estabelecimento de técnicas de medição (ex. V@R, simulações de Monte Carlo etc.);
    • Balanced Scorecard adaptado.

Atualizado em 28/03/2017