Esteja preparado - esse é o lema dos escoteiros, um movimento social internacional de jovens fundado no início do século XX. E por um bom motivo. Para ser útil e prestativo, você precisa estar preparado para possíveis riscos e ameaças.
Isso também se aplica aos negócios, e é por isso que o campo de gerenciamento de riscos está crescendo de forma consistente . Seja um ataque distribuído de negação de serviço [DDoS] em seus servidores, um conflito político que afeta sua cadeia de suprimentos, uma calamidade natural que destrói sua propriedade ou uma startup que lança um produto competitivo, toda empresa está sujeita a uma infinidade de riscos.
Nesta postagem do blog, exploramos uma parte inicial e essencial de sua estratégia de gerenciamento de riscos: A avaliação de riscos. Mostramos por que você precisa de avaliações de riscos, como conduzi-las e quais ferramentas o ajudam a realizar o trabalho.
Entendendo a avaliação de riscos
Vamos começar com o básico: O que é uma avaliação de riscos?
A avaliação de riscos é o estudo estratégico e periódico para identificar os possíveis perigos para uma empresa.
Uma boa avaliação de riscos aborda:
Natureza: Esta parte do relatório de avaliação de riscos define o risco. Por exemplo, você pode definir um risco como "a não conformidade com a Regulamentação Geral de Proteção de Dados [GDPR] incorrerá em penalidades quando o produto for lançado na região da UE"
Motivos: Isso é um pouco mais complexo. A não conformidade com o GDPR pode ser resultado de não investir tempo ou não priorizá-lo. No entanto, se você estiver considerando um risco como um desastre natural, os motivos são muitos e, muitas vezes, estão fora do seu controle. Portanto, use essa parte com critério.
Probabilidade: Qual é a probabilidade de o risco se materializar e de ocorrerem eventos adversos? Se você não estiver em conformidade com o GDPR, não enfrentará riscos até interagir com um "titular de dados" na UE, que pode ser uma pessoa, uma empresa ou até mesmo um visitante. Isso significa que se o seu cliente sediado nos EUA usar o seu produto enquanto viaja para a França, você corre o risco de não estar em conformidade.
Impacto potencial: Nesta parte do estudo, você mede o que significaria para você incorrer nesse risco. Por exemplo, a não conformidade com o GDPR pode atrair multas de até 4% da receita global ou € 20 milhões .
Risco vs. perigo
As palavras risco e perigo são frequentemente usadas de forma intercambiável, mas têm significados distintos, especialmente no contexto da segurança e do gerenciamento de riscos.
Um perigo é qualquer coisa que tenha o potencial de causar danos, lesões ou prejuízos. Isso inclui objetos físicos, substâncias ou condições que ameaçam a saúde e a segurança. Não é possível medir os perigos.
O risco refere-se à probabilidade de que um perigo realmente cause danos ou efeitos adversos. Ele engloba tanto a ocorrência quanto a gravidade do dano potencial. Os riscos podem ser quantificados como altos, médios ou baixos com base na probabilidade e na gravidade.
Vamos entender a diferença entre os dois com alguns exemplos. Ao realizar uma avaliação de risco ambiental, você pode encontrar os seguintes perigos.
- Perigos naturais, como terremotos, enchentes, furacões, deslizamentos de terra
- Perigos biológicos, incluindo espécies invasoras, epidemias e pandemias, proliferação de algas tóxicas
- Riscos químicos, como derramamentos de óleo, poluição por metais pesados, pesticidas
Os riscos correspondentes serão:
- Riscos à propriedade e à vida
- Riscos para o ecossistema que levam à perda de biodiversidade
- Riscos para a segurança alimentar, a saúde e o impacto econômico de secas, cidades poluídas e aumento do estresse ambiental
Em um local de trabalho, alguns perigos comumente observados são:
- Riscos de segurança, como pisos molhados, fiação elétrica exposta ou maquinário sem proteção
- Riscos relacionados às condições de trabalho, como ruído, luz e temperatura
- Riscos ergonômicos, como estações de trabalho inadequadas
Os riscos correspondentes podem ser:
- Lesões
- Doenças
- Uma experiência ruim para o funcionário
- Atrito
- Perda da reputação da empresa
Os exemplos acima demonstram que há vários tipos de riscos. Vamos entender primeiro os mais comuns.
Tipos de avaliações de risco
Você pode realizar avaliações de risco em várias dimensões. Por exemplo, com base nos tipos de perigos, você pode realizar avaliações de riscos ambientais, riscos de tecnologia, riscos financeiros, riscos de conformidade etc. Você também pode realizar avaliações genéricas ou específicas - por exemplo, você pode avaliar os riscos de saúde e segurança em toda a organização ou em locais específicos.
Em todas essas dimensões, existem alguns tipos comuns de avaliações de risco, tais como
Avaliação quantitativa de riscos: Medição dos riscos e do impacto potencial usando dados numéricos.
Por exemplo, você pode determinar que tem 30% de chance de sofrer uma violação de dados, o que provavelmente causará uma perda de US$ 1 milhão.
Avaliação qualitativa de riscos: Uso de julgamento subjetivo e observações para categorizar os riscos em uma escala de baixa, média ou alta gravidade e probabilidade.
Por exemplo, um data center pode ser de "alto risco" devido à sua localização em uma zona de terremotos.
Avaliação de riscos específicos do local: Avaliação das condições de um determinado local, como um canteiro de obras ou uma plataforma de petróleo. Também podem ser locais virtuais, como um data center ou sua infraestrutura de nuvem.
Avaliação de riscos baseada em ativos: Identificação dos riscos associados a ativos específicos, como sistemas de TI, equipamentos, veículos etc. Algumas empresas de serviços também incluem pessoas em suas avaliações de riscos baseadas em ativos.
Avaliação de risco baseada em vulnerabilidade: Identificação de pontos fracos em sistemas e ambientes. Essa avaliação é voltada para o interior. Por exemplo, no mundo da tecnologia, as avaliações de vulnerabilidade e os testes de penetração [VAPT] são práticas comuns.
Avaliação de riscos baseada em ameaças: Avaliar os riscos examinando as condições que dão origem a eles. Isso é voltado para o exterior. Por exemplo, uma instituição financeira pode avaliar os riscos relacionados à fraude.
Avaliação dinâmica de riscos: Avaliações contínuas em tempo real que respondem a situações imediatas ou em mudança.
Por exemplo, as equipes de emergência realizam uma avaliação dinâmica de riscos durante um incêndio para entender o potencial de colapso estrutural.
Embora esses sejam os tipos mais comuns, eles não são mutuamente exclusivos. Por exemplo, você pode realizar uma avaliação quantitativa específica do ativo ou avaliações dinâmicas baseadas em ameaças, etc. O tipo a ser usado depende de quando você está realizando a avaliação.
Cronogramas de avaliação de riscos
Há dois momentos em que as organizações normalmente realizam avaliações: Intervalos regulares ou com base em gatilhos.
Intervalos regulares
Uma avaliação financeira identificação de riscos é normalmente realizada todos os anos. Uma avaliação da segurança da informação pode ser realizada a cada trimestre. Dependendo do negócio e do tipo de avaliação, as organizações decidem o cronograma.
Triggers
Às vezes, perigos, riscos ou situações comerciais emergentes acionam a necessidade de uma avaliação. Isso pode ocorrer:
- Antes de realizar umaavaliação do projetoantes de lançar um produto ou abrir uma nova vertical
- Antes de mudanças em equipamentos, materiais, software ou liderança
- Após um incidente significativo que tenha exposto uma vulnerabilidade
- Em resposta a mudanças regulatórias ou legislativas
Com essa base, vamos examinar como realizar uma avaliação de riscos.
Principais etapas na realização de uma avaliação de riscos
As avaliações de risco são um dos aspectos mais importantes de qualquer operação comercial. Elas ajudam a evitar resultados ruins. Uma boa avaliação de riscos pode economizar dinheiro, reputação e até mesmo vidas humanas.
Portanto, é importante realizar avaliações de risco completas e eficazes. Aqui está uma cartilha sobre como fazer isso.
1. Configure os sistemas para sua avaliação de riscos
Antes de realmente avaliar qualquer coisa, crie sua estrutura de gerenciamento de projetos de avaliação de riscos.
Defina o escopo
Quais funções, locais, ativos e processos você avaliará? Quais são os objetivos de sua avaliação? Você precisa explorar riscos de custo do projeto ? O que você busca identificar/aprender?
Identificar requisitos
De que tempo, pessoal, orçamentos e ativos você precisará para a avaliação de riscos? Por exemplo, se estiver realizando uma avaliação de risco sobre solicitações de empréstimo fraudulentas, talvez precise de cientistas de dados que sua empresa ainda não tenha. Descreva esses requisitos com clareza.
Sign up stakeholders
Quem estará envolvido e em que grau? Designe funções e responsabilidades para as pessoas. Idealmente, você precisará de um gerente de riscos, um líder de equipe de avaliação, especialistas no assunto e um parceiro de negócios.
Estude as regras e os regulamentos
Em que estrutura normativa você precisa trabalhar? Há regras específicas que você precisa seguir? O relatório precisa ser criado e apresentado de uma forma específica ao órgão regulador?
Configure suas ferramentas
Um processo completo precisa de várias listas de verificação de marcos, modelos de avaliação de riscos etc. Uma boa governança, risco e conformidade, ou seja,.., Software de GRC, pode simplificar drasticamente o processo de avaliação e, ao mesmo tempo, melhorar a precisão e a eficácia dos resultados.
Escolha uma ferramenta de gerenciamento de projetos de avaliação de riscos como ClickUp para apoiá-lo durante a jornada.
2. Identifique os riscos
Quando estiver pronto, é hora de avaliar o primeiro aspecto do seu risco, ou seja, o perigo. Dependendo do tipo de avaliação de risco, você poderá encontrar vários perigos.
Por exemplo, se estiver realizando avaliações de riscos ambientais, poderá considerar perigos biológicos e desastres naturais. Se estiver avaliando o risco de rotatividade de funcionários, poderá explorar perigos de saúde e segurança, como acidentes de trabalho, greves trabalhistas ou perigos psicossociais, como bullying/estresse, etc.
Para a identificação de perigos, você pode coletar dados de:
Observação
Realize visitas guiadas ao local/ativo/processo que está sendo avaliado. Observe cuidadosamente cada aspecto e como ele interage com os outros.
Conversação
Converse com a equipe que trabalha no local. Entenda suas preocupações e o que eles veem como riscos. \Talvez você não concorde com eles, mas é sempre bom ouvir].
Relatórios históricos
Analise relatórios de incidentes, reclamações, análises, recomendações, etc., do passado. Estude os dados históricos sobre acidentes ou incidentes para identificar os perigos que levaram a eles.
Benchmarks
Consulte as fichas de dados de segurança e os manuais dos equipamentos para obter detalhes sobre os possíveis riscos.
A maneira mais simples de anotar tudo o que você encontrar durante esse estágio da avaliação é usar uma ferramenta como ClickUp Docs . Com a colaboração em tempo real, grandes equipes podem consolidar todas as suas anotações em um único local para revisão e análise posterior.
ClickUp Docs para selecionar dados relacionados a perigos durante avaliações de riscos
Você também pode usar qualquer um dos modelos de registro de riscos disponíveis para agilizar esse processo.
3. Avalie os riscos
Nem todo perigo é um risco. Você pode estar manipulando produtos químicos tóxicos, mas com medidas de segurança adequadas, talvez não corra o risco de um acidente. Portanto, a próxima etapa é a avaliação de riscos - descobrir se há um risco decorrente dos perigos que você identificou.
O modelo Modelo de quadro branco de avaliação de risco do ClickUp é um ótimo lugar para fazer isso. Adequado para iniciantes, esse modelo permite que você identifique e avalie os riscos metodicamente. Em colaboração com uma equipe remota, você pode usar esse Quadros brancos ClickUp para fazer um brainstorming e pensar em seus riscos também.
4. Meça a probabilidade e o impacto
Uma parte importante do processo de avaliação é avaliar a probabilidade e o impacto dos riscos identificados.
- Probabilidade: Probabilidade de ocorrência do risco [Alta, Média, Baixa]
- Impacto: Onde, quem e o que será afetado pelo risco?
Essa também é a etapa em que a maioria das organizações falha. Professores e especialistas em riscos escrevem que "tendemos a ser excessivamente confiantes quanto à precisão de nossas previsões e avaliações de risco e muito limitados em nossa avaliação da gama de resultados que podem ocorrer"
Para evitar essa armadilha:
- Errar pelo lado da cautela: É melhor se preocupar demais do que de menos quando se trata de riscos
- Seja expansivo: Analisar o risco para entender como diferentes grupos serão expostos e como
- Prevenir as surpresas: Não existe surpresa agradável no gerenciamento de riscos. Esteja sempre procurando onde e quando é provável que ocorra uma surpresa.
Por exemplo, se houver um refrigerador com defeito em sua loja de varejo, pense além do impacto no desperdício de produtos ou nos custos de reparo. Considere como os clientes que compram produtos armazenados nessa geladeira podem ficar doentes.
Uma estrutura como a Modelo de registro de riscos do ClickUp ajuda a organizar todas essas informações de forma eficaz.
Com este modelo, você pode documentar seus riscos, sua probabilidade de ocorrência, planos de mitigação e medidas de controle, tudo em um só lugar. Você também pode acompanhar o status, atribuir a propriedade e consolidar os dados para revisões posteriores.
5. Documentar os processos atuais
A menos que se trate de um risco emergente, a maioria já tem algum tipo de mecanismo de resposta em vigor. Documente-os detalhadamente para que possam ser otimizados a cada avaliação subsequente.
Inclua o seguinte.
- Propriedade: Defina quem é responsável pelo risco e pela resposta
- Processo: Descreva o fluxo de trabalho após a identificação do risco, incluindo ações, recursos, prazos, marcos, KPIs e outras responsabilidades
- Dependências: Quais são as interdependências entre tarefas ou equipes?
- Controle: Qual é o controle atualmitigação de riscos ouplano de contingência?
6. Agende a próxima avaliação
Seu local de trabalho é dinâmico. Seu processo e documento de avaliação de riscos precisam refletir isso.
Programar revisões regulares
Faça isso semestralmente ou anualmente, ou até mesmo com mais frequência, dependendo do tipo de organização. Se estiver trabalhando em um ambiente em rápida evolução, como o de segurança cibernética, talvez queira até considerar avaliações e alertas de risco automatizados contínuos.
Leitura de bônus 📖: Uma cartilha sobre estrutura de gerenciamento de riscos de segurança cibernética
Engajar os funcionários
As pessoas mais próximas ao local são as que mais entendem os riscos. Fale com eles regularmente e obtenha insights e feedback. No gerenciamento de projetos, isso pode ser especialmente importante, pois os especialistas no assunto e os gerentes de risco podem não ver as complexidades das atividades cotidianas.
Use Modelo de análise de risco do gerenciamento de projetos do ClickUp para documentar as descobertas da equipe de execução.
Mantenha-se informado
Os riscos decorrentes de perigos externos estão em constante evolução. As ameaças à segurança cibernética estão se tornando cada vez mais sofisticadas. Em resposta, as leis estão evoluindo. Mantenha-se à frente desses avanços buscando informações de forma proativa.
Um processo de avaliação de riscos bem estabelecido ajudará você e a sua equipe a se planejarem para todas as incertezas potenciais, inclusive eventos de cisne negro. Independentemente da área de impacto, um processo robusto de software de gerenciamento de riscos pode ser útil.
Ferramentas para implementar processos de avaliação de riscoses
A avaliação de risco é uma atividade baseada em pesquisa. A equipe que conduz a avaliação de riscos normalmente precisa do seguinte.
- Documentação: A capacidade de anotar observações, lacunas e outros pontos importantes
- Modelos: Estruturas, listas de verificação emodelos de avaliação de risco como uma matriz de riscos para analisar as descobertas
- Ferramentas visuais: Recursos para fazer brainstorming ou colaborar com equipes remotas para chegar a um entendimento comum
- Compartilhamento e registro: A possibilidade de compartilhar o relatório de avaliação com todas as partes interessadas relevantes com o controle de acesso apropriado
Atualmente, a maioria das equipes usa várias ferramentas para conseguir isso. Elas podem usar o Google Docs para fazer anotações, planilhas para listas de verificação, PDFs para compartilhamento etc. Embora isso seja popular, também é ineficiente.
Uma ferramenta completa como o ClickUp pode mudar o jogo para as equipes de avaliação de riscos. Com o ClickUp, você pode conduzir sua avaliação, documentar as descobertas, realizar análises e compartilhar seus relatórios com segurança, tudo em um só lugar.
Considere a Modelo de quadro branco de análise de risco do ClickUp . Aqui, adicione seus riscos e categorize-os com base na probabilidade e na gravidade. Inclua notas adesivas de quaisquer pontos de referência.
Crie links para documentos, imagens e outros arquivos diretamente do modelo de quadro branco. A partir daí, atribua a propriedade e defina tarefas para implementar sua estratégia de mitigação também.
Minimize seus riscos com o ClickUp
Quando os riscos são inevitáveis, a única solução possível é estar preparado. As avaliações de risco ajudam exatamente nisso.
Elas o ajudam a considerar a possibilidade de as coisas darem errado e garantem que você não ignore os perigos. Elas esclarecem todas as possibilidades, desde túneis do carpo e dores nas costas até radiação e vazamentos de óleo.
As avaliações de risco garantem que você priorize e crie um ambiente de trabalho mais seguro para você e seus funcionários. Elas também lhe dão a chance de tomar decisões baseadas em dados sobre alocação de recursos, orçamentos e investimentos em medidas de segurança.
Não economize em uma atividade tão importante como a avaliação de riscos. Escolha uma ferramenta robusta, abrangente e colaborativa como o ClickUp para realizar auditorias regulares, aprimorar processos internos, criar seu plano de gerenciamento de riscos e fortalecer sua resiliência.
O ClickUp facilita a manutenção de suas avaliações de risco atualizadas e relevantes. Honra ao escoteiro! Registre-se gratuitamente e comece a fazer sua avaliação de riscos hoje mesmo!