Esteja preparado — esse é o lema dos Escoteiros, um movimento social juvenil internacional fundado no início do século XX. E com razão. Para ser útil e prestativo, você precisa estar preparado para riscos e ameaças potenciais.
Isso também se aplica aos negócios, e é por isso que a área de gerenciamento de riscos está em constante crescimento. Seja um ataque distribuído de negação de serviço (DDoS) aos seus servidores, um conflito político que afeta sua cadeia de suprimentos, uma calamidade natural que destrói sua propriedade ou uma startup lançando um produto competitivo, todas as empresas estão sujeitas a inúmeros riscos.
Nesta postagem do blog, exploramos uma parte inicial e crítica da sua estratégia de gerenciamento de riscos: a avaliação de riscos. Mostramos por que você precisa de avaliações de riscos, como pode realizá-las e quais ferramentas ajudam você a fazer esse trabalho.
Entendendo a avaliação de riscos
Vamos começar com o básico: o que é uma avaliação de riscos?
A avaliação de riscos é o estudo estratégico e periódico para identificar riscos potenciais para uma empresa.
Uma boa avaliação de riscos aborda:
Natureza: esta parte do relatório de avaliação de riscos define o risco. Por exemplo, você pode definir um risco como “a não conformidade com o Regulamento Geral sobre a Proteção de Dados [RGPD] acarretará penalidades quando o produto for lançado na região da UE”.
Motivos: Isso é um pouco mais complexo. A não conformidade com o GDPR pode ser resultado de não investir tempo ou não priorizar isso. No entanto, se você estiver considerando um risco como um desastre natural, os motivos são muitos e, muitas vezes, fora do seu controle. Portanto, use essa parte com discrição.
Probabilidade: Qual é a probabilidade do risco se materializar e de eventos adversos ocorrerem? Se você não estiver em conformidade com o GDPR, não enfrentará riscos até interagir com um “titular dos dados” na UE, que pode ser uma pessoa, empresa ou até mesmo um visitante. Isso significa que, se seu cliente nos Estados Unidos usar seu produto durante uma viagem à França, você corre o risco de não estar em conformidade.
Impacto potencial: nesta parte do estudo, você mede o que significaria para você incorrer no referido risco. Por exemplo, o não cumprimento do GDPR pode acarretar multas de até 4% da receita global ou € 20 milhões.
Risco x perigo
As palavras risco e perigo são frequentemente usadas de forma intercambiável, mas têm significados distintos, especialmente no contexto de segurança e gestão de riscos.
Um perigo é qualquer coisa que tenha o potencial de causar danos, ferimentos ou prejuízos. Isso inclui objetos físicos, substâncias ou condições que ameaçam a saúde e a segurança. Não é possível medir os perigos.
Risco refere-se à probabilidade ou possibilidade de que um perigo realmente cause danos ou efeitos adversos. Abrange tanto a ocorrência quanto a gravidade do dano potencial. Os riscos podem ser quantificados como altos, médios ou baixos com base na probabilidade e gravidade.
Vamos entender a diferença entre os dois com alguns exemplos. Ao realizar uma avaliação de risco ambiental, você pode encontrar os seguintes perigos.
- Riscos naturais como terremotos, inundações, furacões, deslizamentos de terra
- Riscos biológicos, incluindo espécies invasoras, epidemias e pandemias, proliferação de algas tóxicas
- Riscos químicos, como derramamentos de óleo, poluição por metais pesados, pesticidas
Os riscos correspondentes serão:
- Riscos à propriedade e à vida
- Riscos para o ecossistema que levam à perda de biodiversidade
- Riscos à segurança alimentar, saúde e impacto econômico decorrentes de secas, cidades poluídas e aumento do estresse ambiental
Em um local de trabalho, alguns riscos comumente observados são:
- Riscos de segurança, como pisos molhados, fiação exposta ou máquinas sem proteção
- Riscos nas condições de trabalho, como ruído, luz e temperatura
- Riscos ergonômicos, como estações de trabalho inadequadas
Os riscos correspondentes podem ser:
- Lesões
- Doença
- Uma experiência ruim para os funcionários
- Atrito
- Perda de reputação para a empresa
Os exemplos acima demonstram que existem vários tipos de riscos. Vamos entender primeiro os mais comuns.
Tipos de avaliações de risco
Você pode realizar avaliações de risco em várias dimensões. Por exemplo, com base nos tipos de perigos, você pode realizar avaliações de riscos ambientais, riscos tecnológicos, riscos financeiros, riscos de conformidade, etc. Você também pode realizar avaliações genéricas ou específicas — por exemplo, você pode avaliar os riscos à saúde e segurança em toda a organização ou em locais específicos.
Em todas essas dimensões, existem alguns tipos comuns de avaliações de risco, tais como:
Avaliação quantitativa de riscos: medir riscos e impacto potencial usando dados numéricos.
Por exemplo, você pode determinar que tem 30% de chance de ocorrer uma violação de dados, o que provavelmente causaria uma perda de US$ 1 milhão.
Avaliação qualitativa de riscos: uso de julgamentos e observações subjetivas para categorizar os riscos em uma escala de baixa, média ou alta gravidade e probabilidade.
Por exemplo, um centro de dados pode ser considerado de “alto risco” devido à sua localização em uma zona sísmica.
Avaliação de riscos específica do local: avaliar as condições de um local específico, como um canteiro de obras ou uma plataforma de petróleo. Também pode ser locais virtuais, como um data center ou sua infraestrutura em nuvem.
Avaliação de riscos baseada em ativos: identificação de riscos associados a ativos específicos, como sistemas de TI, equipamentos, veículos, etc. Algumas empresas de serviços também incluem pessoas em suas avaliações de riscos baseadas em ativos.
Avaliação de riscos com base em vulnerabilidades: identificação de pontos fracos em sistemas e ambientes. Essa avaliação é voltada para o interior. Por exemplo, no mundo da tecnologia, avaliações de vulnerabilidades e testes de penetração [VAPT] são práticas comuns.
Avaliação de riscos baseada em ameaças: avaliar os riscos examinando as condições que os originam. Trata-se de uma abordagem voltada para o exterior. Por exemplo, uma instituição financeira pode avaliar os riscos relacionados à fraude.
Avaliação dinâmica de riscos: avaliações contínuas em tempo real que respondem a situações imediatas ou em mudança.
Por exemplo, equipes de emergência realizam uma avaliação de risco dinâmica durante um incêndio para entender o potencial de colapso estrutural.
Embora esses sejam os tipos comuns, eles não são mutuamente exclusivos. Por exemplo, você pode realizar uma avaliação quantitativa específica de ativos ou avaliações dinâmicas baseadas em ameaças, etc. A escolha depende do momento em que você está realizando a avaliação.
Cronogramas de avaliação de riscos
Existem dois momentos em que as organizações normalmente realizam avaliações: em intervalos regulares ou com base em gatilhos.
Intervalos regulares
A identificação de riscos financeiros é normalmente realizada todos os anos. Uma avaliação de segurança da informação pode ser realizada a cada trimestre. Dependendo do negócio e do tipo de avaliação, as organizações decidem o cronograma.
Gatilhos
Às vezes, perigos, riscos ou situações comerciais emergentes desencadeiam a necessidade de uma avaliação. Isso pode ser:
- Antes de realizar uma avaliação de projeto, lançar um produto ou abrir um novo segmento vertical
- Antes de mudanças em equipamentos, materiais, software ou liderança
- Após um incidente significativo que expôs uma vulnerabilidade
- Em resposta a mudanças regulatórias ou legislativas
Com essa base, vamos examinar como realizar uma avaliação de riscos.
Etapas importantes na realização de uma avaliação de riscos
As avaliações de risco são um dos aspectos mais críticos de qualquer operação comercial. Elas ajudam a evitar resultados ruins. Uma boa avaliação de risco pode economizar dinheiro, reputação e até mesmo vidas humanas.
Portanto, é importante realizar avaliações de risco completas e eficazes. Aqui está um guia básico sobre como fazer isso.
1. Configure os sistemas para sua avaliação de riscos
Antes de realmente avaliar qualquer coisa, crie sua estrutura de gerenciamento de projetos de avaliação de riscos.
Defina o escopo
Quais funções, locais, ativos e processos você avaliará? Quais são os objetivos da sua avaliação? Você precisa explorar os riscos de custo do projeto? O que você busca identificar/aprender?
Identifique os requisitos
Quanto tempo, pessoal, orçamento e recursos você precisará para a avaliação de riscos? Por exemplo, se você estiver realizando uma avaliação de riscos sobre pedidos de empréstimos fraudulentos, talvez precise de cientistas de dados que sua empresa ainda não possui. Descreva esses requisitos com clareza.
Inscreva as partes interessadas
Quem estará envolvido e em que medida? Designe funções e responsabilidades às pessoas. O ideal é que você tenha um gerente de riscos, um líder de equipe de avaliação, especialistas no assunto e um parceiro de negócios.
Estude as regras e regulamentos
Em que estrutura regulatória você precisa trabalhar? Existem regras específicas que você precisa seguir? O relatório precisa ser criado e apresentado de uma maneira específica ao órgão regulador?
Configure suas ferramentas
Um processo completo requer várias listas de verificação de marcos, modelos de avaliação de riscos, etc. Um bom software de governança, risco e conformidade, ou seja, GRC, pode simplificar drasticamente o processo de avaliação, melhorando a precisão e a eficácia dos resultados.
Escolha uma ferramenta de gerenciamento de projetos de avaliação de riscos como o ClickUp para apoiá-lo nessa jornada.
2. Identifique os perigos
Depois de fazer a configuração, é hora de avaliar o primeiro aspecto do seu risco, ou seja, o perigo. Dependendo do tipo de avaliação de risco, você pode encontrar vários perigos.
Por exemplo, se você estiver realizando avaliações de risco ambiental, pode considerar riscos biológicos e desastres naturais. Se estiver avaliando o risco de rotatividade de funcionários, pode explorar riscos à saúde e à segurança, como acidentes de trabalho, greves trabalhistas ou riscos psicossociais, como bullying/estresse, etc.
Para identificar perigos, você pode coletar dados de:
Observação
Realize visitas guiadas ao local/ativo/processo em avaliação. Observe cuidadosamente todos os aspectos e como eles interagem entre si.
Conversa
Converse com a equipe que trabalha no terreno. Entenda suas preocupações e o que eles consideram riscos. [Você pode não concordar com eles, mas é sempre bom ouvir].
Relatórios históricos
Analise relatórios de incidentes, reclamações, análises, recomendações, etc., do passado. Estude os dados históricos sobre acidentes ou incidentes para identificar os riscos que os causaram.
Referências
Consulte fichas de dados de segurança e manuais de equipamentos para reunir detalhes sobre riscos potenciais.
A maneira mais simples de anotar tudo o que você encontrar durante esta etapa da sua avaliação é usar uma ferramenta como o ClickUp Docs. Com a colaboração em tempo real, equipes grandes podem consolidar todas as suas anotações em um único lugar para revisão e análise posterior.
Você também pode usar qualquer um dos modelos de registro de riscos disponíveis para otimizar esse processo.
3. Avalie os riscos
Nem todo perigo é um risco. Você pode estar lidando com produtos químicos tóxicos, mas com medidas de segurança adequadas, talvez não corra o risco de um acidente. Portanto, o próximo passo é a avaliação de riscos — descobrir se há algum risco decorrente dos perigos que você identificou.
O modelo de quadro branco de avaliação de riscos do ClickUp é um ótimo lugar para fazer isso. Adequado para iniciantes, esse modelo permite que você identifique e avalie riscos metodicamente. Em colaboração com uma equipe remota, você também pode usar esse modelo de quadro branco do ClickUp para debater e criar ideias sobre seus riscos.
4. Avalie a probabilidade e o impacto
Uma parte importante do processo de avaliação é avaliar a probabilidade e o impacto dos riscos identificados.
- Probabilidade: Probabilidade de ocorrência do risco [Alta, Média, Baixa]
- Impacto: Onde, quem e o que será afetado pelo risco?
Esta é também a etapa em que a maioria das organizações vacila. Professores e especialistas em risco escrevem que “tendemos a ser excessivamente confiantes quanto à precisão de nossas previsões e avaliações de risco e muito limitados em nossa avaliação da gama de resultados que podem ocorrer”.
Para evitar essa armadilha:
- É melhor pecar por excesso de cautela: quando se trata de riscos, é melhor se preocupar demais do que de menos.
- Seja abrangente: analise os riscos para entender como diferentes grupos serão expostos e como
- Antecipe as surpresas: não existe surpresa agradável na gestão de riscos. Esteja sempre atento a onde e quando uma surpresa pode ocorrer.
Por exemplo, se você tiver um refrigerador com defeito em sua loja de varejo, pense além do impacto sobre o desperdício de produtos ou os custos de reparo. Considere como os clientes que compram produtos armazenados nesse refrigerador podem adoecer.
Uma estrutura como o modelo de registro de riscos do ClickUp ajuda a organizar todas essas informações de maneira eficaz.
Com este modelo, você pode documentar seus riscos, sua probabilidade de ocorrência, planos de mitigação e medidas de controle, tudo em um só lugar. Você também pode acompanhar o status, atribuir responsabilidades e consolidar dados para análises posteriores.
5. Documente os processos atuais
A menos que seja um risco emergente, a maioria já possui algum tipo de mecanismo de resposta em vigor. Documente-os minuciosamente para que possam ser otimizados a cada avaliação subsequente.
Inclua o seguinte.
- Responsabilidade: defina quem é responsável pelo risco e pela resposta
- Processo: Descreva o fluxo de trabalho após identificar o risco, incluindo ações, recursos, prazos, marcos, KPIs e outras responsabilidades.
- Dependências: Quais são as interdependências entre tarefas ou equipes?
- Controle: Qual é o plano atual de mitigação de riscos ou contingência?
6. Agende a próxima avaliação
Seu local de trabalho é dinâmico. Seu processo e documento de avaliação de riscos precisam refletir isso.
Programe revisões regulares
Faça isso semestralmente, anualmente ou até com mais frequência, dependendo do tipo de organização. Se você trabalha em um ambiente em rápida evolução, como o de segurança cibernética, pode até considerar avaliações e alertas de risco automatizados contínuos.
Leitura bônus 📖: Um manual sobre a estrutura de gerenciamento de riscos de segurança cibernética
Envolva os funcionários
Quem está mais próximo da realidade compreende melhor os riscos. Converse com essas pessoas regularmente e colete insights e feedback. Na gestão de projetos, isso pode ser especialmente importante, pois especialistas no assunto e gerentes de risco podem não perceber as complexidades das atividades diárias.
Use o modelo de análise de risco de gerenciamento de projetos do ClickUp para documentar as conclusões da equipe de execução.
Mantenha-se informado
Os riscos decorrentes de perigos externos estão em constante evolução. As ameaças à segurança cibernética estão se tornando cada vez mais sofisticadas. Em resposta a isso, as leis estão evoluindo. Fique à frente desses avanços buscando informações de forma proativa.
Um processo de avaliação de riscos bem estabelecido ajudará você e sua equipe a se planejar para todas as incertezas potenciais, incluindo eventos imprevisíveis. Independentemente da área de impacto, um software robusto de gerenciamento de riscos pode ser útil.
Ferramentas para implementar processos de avaliação de riscos
A avaliação de riscos é uma atividade baseada em pesquisa. A equipe que realiza a avaliação de riscos normalmente precisa do seguinte.
- Documentação: a capacidade de anotar observações, lacunas e outros pontos importantes
- Modelos: estruturas, listas de verificação e modelos de avaliação de riscos, como uma matriz de riscos para analisar as conclusões.
- Ferramentas visuais: recursos para debater ideias ou colaborar com equipes remotas para chegar a um entendimento comum.
- Compartilhamento e registro: a possibilidade de compartilhar o relatório de avaliação com todas as partes interessadas relevantes, com controle de acesso adequado.
Atualmente, a maioria das equipes usa várias ferramentas para isso. Elas podem usar o Google Docs para fazer anotações, planilhas para listas de verificação, PDFs para compartilhamento, etc. Embora isso seja comum, também é ineficiente.
Uma ferramenta completa como o ClickUp pode ser um divisor de águas para equipes de avaliação de riscos. Com o ClickUp, você pode realizar sua avaliação, documentar descobertas, fazer análises e compartilhar seus relatórios com segurança, tudo em um só lugar.
Considere o modelo de quadro branco de análise de riscos do ClickUp. Aqui, adicione seus riscos e categorize-os com base na probabilidade e gravidade. Inclua notas adesivas com quaisquer pontos de referência.
Crie links para documentos, imagens e outros arquivos diretamente do modelo do quadro branco. A partir daí, atribua responsabilidades e configure tarefas para implementar sua estratégia de mitigação.
Minimize seus riscos com o ClickUp
Quando os riscos são inevitáveis, a única solução possível é estar preparado. As avaliações de risco ajudam exatamente nisso.
Elas ajudam você a considerar a possibilidade de que algo dê errado e garantem que você não ignore os perigos. Elas esclarecem todas as possibilidades, desde síndrome do túnel do carpo e dores nas costas até radiação e derramamentos de óleo.
As avaliações de risco garantem que você priorize e crie um ambiente de trabalho mais seguro para você e seus funcionários. Elas também oferecem a oportunidade de tomar decisões baseadas em dados sobre alocação de recursos, orçamentos e investimentos em medidas de segurança.
Não economize em uma atividade tão crítica quanto a avaliação de riscos. Escolha uma ferramenta robusta, abrangente e colaborativa como o ClickUp para realizar auditorias regulares, melhorar os processos internos, criar seu plano de gerenciamento de riscos e fortalecer sua resiliência.
O ClickUp facilita a atualização e a relevância de suas avaliações de risco. Palavra de escoteiro!
Inscreva-se gratuitamente e comece hoje mesmo sua avaliação de riscos!