A seguir listo, 12 dicas para você realizar o processo de identificação de riscos com maior eficácia

Dica 1

Dica 2

Dica 3

Dica 4

Dica 5

Dica 6

Dica 7

Dica 8

Dica 9

Dica 10

Dica 11

Dica 12

A seguir listo, 12 dicas para você realizar o processo de identificação de riscos com maior eficácia

Reúna diferentes especialidades técnicas, fazer esse trabalho em equipe trará mais idéias e a quantidade de riscos listados será maior.

– Faça um brainstorming estruturado sempre por tipos de riscos, por exmeplo, riscos de Saúde e Segurança Ocupacional, Riscos ao Meio ambiente, riscos financeiros, etc.

Para cada risco identifique as informações referentes a eles, como as suas fontes, áreas de impacto, eventos, suas causas e conseqüências.

Não deixe de identificar quais objetivos estão sendo afetados pelo risco em questão. Um deles pode ser: “Garantir a saúde e segurança de seus colaboradores (termos 0 acidentes fatais ou graves mensalmente)”. Uma mina de carvão em operação tem várias possibilidades de eventos que podem, se consumados, comprometer o atendimento a esse objetivo.

Considere os eventos registrados que já aconteceram em sua organização. Geralmente empresas com sistema de gestão da qualidade ISO 9001 possuem históricos de não conformidades e eles são uma fonte de informação importante.

Existem bases de dados de riscos na internet com exemplo preenchidos para que você possa usar na sua empresa. A Risk Spotlight por exemplo disponibiliza uma vasta base de dados com exemplos de riscos. http://www.riskspotlight.com/

Identifique todas as fontes, mesmo que as fontes dos riscos não estejam sob o controle da organização.

Levante uma ampla gama de conseqüências, mesmo que a fonte ou a causa do risco não esteja evidente. E se fossemos processados em mais de 1 milhão? E se fôssemos multados e perdêssemos nosso contrato, como poderíamos manter a empresa operando?

Se um risco pode ter diferentes cenários de conseqüências, considere-os no seu levantamento. Veja um exemplo:

Identifique os responsáveis pelos riscos, geralmente serão eles mesmos os responsáveis pelos planos de tratamento.

Alguns riscos podem ter uma única causa, por exemplo, risco de obsolescência de nossa consultoria de PBQP-h, seria a emissão de uma nova norma revisada a qual ainda não temos conhecimento com emissão aguardada para os próximos meses.Às vezes as causas de um problema podem ter várias sub-causas, e nesses casos é fundamental que a equipe que identifica o risco realize um estudo de causas mais aprofundado. O diagrama de causa efeito é uma ferramenta apropriada conforme visto no exemplo acima.

Estude as ferramentas de risk assessment da IEC 31010 e expanda seus conhecimentos além da ISO 31000.

Consequências

Nível Descrição

1 Insignificante

2 Menor

3 Moderado

4 Maior

5 Catastrófico

ProbabilidadeNível Descrição

A Quase certoB ProvávelC PossívelD ImprovávelE Raro

Consequências

Exemplos detalhados

Sem ferimentos, baixas perdas financeiras

ProbabilidadeExemplos detalhados

Espera-se que aconteça em muitas vezesProvavelmente acontecerá em muitas vezes

Pode ocorrer a qualquer momentoDificilmente acontecerá

Pode ocorrer somente em circunstâncias excepcionais

Tratamentos de primeiros socorros, que pode ser contido imediatamento no local do acontecimento, perdas financeiras

médias

Tratamento médico requerido, que pode ser contido imediatamento no local do acontecimento, mas com assistência

externa e com altas perdas financeiras

Lesões extensas, perda de capacidade de produção, os danos saem do espaço restrito a empresa atingindo o ambiente externo,

elavadas perdas financeiras

Morte, emissão tóxica com efeito negativo para fora da empresa, perdas financeiras catastróficas

Probabilidade

Consequências

Insignificante Menor Moderado Maior

1 2 3 4

A ( Quase certo) H H E E

B ( Provável) M H H E

C (Possível) L M H E

D ( Improvável) L L M HE ( Raro) L L M H

E risco extremo - ação devem ser implementadas imediatamenteH risco elevado - é necessária atenção pela gerência sêniorM risco moderado - responsabilidade pela gestão do risco deve ser especificadaL risco baixo - gerenciamento por procedimentos de rotina

Consequências

Catastrófico

5

E

E

E

EH

risco moderado - responsabilidade pela gestão do risco deve ser especificada

Consequências

Nível Descrição Exemplos detalhados

1 Insignificante Sem ferimentos, perdas financeiras inferiores a R$ 1.000,00

2 Menor

3 Moderado

4 Maior

ProbabilidadeNível Descrição Exemplos detalhados

A Quase certo Espera-se que aconteça em muitas vezesB Provável Provavelmente acontecerá em muitas vezesC Possível Pode ocorrer a qualquer momentoD Improvável Dificilmente acontecerá

Tratamentos de primeiros socorros, que pode ser contido imediatamento no local do acontecimento, perdas financeiras

entre R$ 1.001,00 e R$ 10.000,00

Tratamento médico requerido, que pode ser contido imediatamento no local do acontecimento, mas com assistência

externa e com perdas financeiras entre R$ 10.001,00 e R$ 100.000,00

Lesões extensas, perda de capacidade de produção, os danos saem do espaço restrito a empresa atingindo o ambiente externo,

elavadas perdas financeiras superiores a R$ 100.001,00

Probabilidade

Consequências

Insignificante Menor Moderado

1 2 3

A ( Quase certo) H H E

B ( Provável) M H H

C (Possível) L M HD ( Improvável) L L M

E risco extremo - ação devem ser implementadas imediatamenteH risco elevado - é necessária atenção pela gerência sêniorM risco moderado - responsabilidade pela gestão do risco deve ser especificadaL risco baixo - gerenciamento por procedimentos de rotina

Consequências

Maior

4

E

E

HH

risco extremo - ação devem ser implementadas imediatamenterisco elevado - é necessária atenção pela gerência sêniorrisco moderado - responsabilidade pela gestão do risco deve ser especificadarisco baixo - gerenciamento por procedimentos de rotina

Identificação dos Riscos (5.4.2)

Perfil do Risco Descrição do evento Descrição detalhada

Risco Operacional Queda de Luz

Risco Operacional

Risco Operacional Queda no serviço de hosting

Risco Operacional Hacking

Risco Operacional Pirataria de serviços online

A interrupção do fornecimento de energia elétrica poderá deixar o serviço de atendimento ao cliente inoperante.

Queda no Serviço de Internet

A interrupção do serviço de internet poderá deixar o serviço de atendimento ao cliente inoperante e deixar a empresa incapaz de atualizar seus sistemas.

A interrupção do serviço de hosting poderá deixar o serviço de atendimento ao cliente inoperante, retirar os portais de conteúdo do ar, impedir transações comerciais, causa um prejuízo a imagem e ao caixa da empresa.

Pessoas mal intencionadas poderão utilizar mecanismos maliciosos para danificar conteúdos online da empresa, ou danificarem os sistemas internos.

Empresários mal intencionados poderão copiar os produtos de nossa empresa, reduzindo nossa rentabilidade por produto desenvolvido

Identificação dos Riscos (5.4.2)

Risco/Oportunidade Proprietário do Risco

Consequência negativa Diretoria administrativa

Consequência negativa Diretoria Técnica

Consequência negativa Diretoria Técnica

Consequência negativa Diretoria Técnica

Consequência negativa Diretoria Técnica

Análise dos Riscos (5.4.3)

Causas Probabilidade Consequência

C - Possível 1 - Insignificante

C - Possível 1 - Insignificante

C - Possível 2 - Menor

B - Provável 3 - Maior

Má-fé de outros empresários. B - Provável 3 - Maior

1 - Problemas no fornecimento de serviços pela distribuidora. 2 - Não pagamento de contas. 3 - Manutenção inadequada da infraestrutura.

1 - Problemas no fornecimento de serviços pelo provedor do serviço de internet. 2 - Não pagamento de contas. 3 - Manutenção inadequada da infraestrutura.

1 - Problemas no fornecimento de serviços pelo provedor do serviço de internet. 2 - Não pagamento de contas.

Difícil saber o que poderia ocasionar tais atitudes prejudiciais. Mas as consequências podem ser graves e prejudicar a imagem e o resultado financeiro.

Análise dos Riscos (5.4.3)

Legislação aplicável Controles Atuais

Não

Não

Não

Não Firewall e antivirus

Nenhum

Objetivo que está sendo impactado

Tempo de resposta de atendimento ao usuário inferior a 24 horas.

Pagamento de contas de luz em dia.

Tempo de resposta de atendimento ao usuário inferior a 24 horas.

Pagamento das contas de provedores de internet em dia.

1 - Tempo de resposta de atendimento ao usuário inferior a 24 horas. 2 - Meta de venda de serviços mensal. 3 - Meta de operabilidade do sistema de 99,5% do tempo.

Realização de Backup de conteúdos estratégicos. Lançamento em débito automático das cobranças relacionadas a Hosting.

1 - Tempo de resposta de atendimento ao usuário inferior a 24 horas. 2 - Meta de venda de serviços mensal. 3 - Meta de operabilidade do sistema de 99,5% do tempo.

2 - Meta de venda de serviços mensal.

LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998. Lei de Direitos Autorais

Avaliação dos Riscos (5.4.4) Tratamento dos Riscos (5.5)

L - Risco Baixo NA 0

L - Risco Baixo NA 0

M - Risco Moderado 0

H - Risco Elevado R$ 2.000,00 anual

H - Risco Elevado R$ 45,00 mensal

Classificação do Risco (gradação do risco)

Medidas Adicionais (controles adicionais)

Investimento em Prevenção $$

Manter o procedimento de backup

PTR 001 - Adoção de práticas de segurança da informação.

PTR 002 - Adoção de procedimento de rastreamento virtual

Monitoramento e Análise Crítica (5.6)

Registro de Sinistros Revisão pela gerênciaIndicadores de desempenho