Tratamento / Mitigação dos Riscos Críticos

Esta é a fase na qual é realizado o processo de tratamento dos riscos. É onde são definidas das ações e os recursos necessários para a mitigação dos riscos críticos por meio de planos de ação ou projetos específicos voltados a diminuir os níveis de vulnerabilidade nos sistemas de proteção que evitam ou diminuem a probabilidade ou as consequências da concretização de determinado risco. Nesta fase também é feita a priorização dos riscos a serem tratados.

Plano de Mitigação

A fase de tratamento / mitigação dos riscos consiste basicamente na definição e implantação de Planos de Ação / Mitigação ou projetos específicos voltados a diminuir os níveis de vulnerabilidade nos sistemas de proteção que evitam ou diminuem as consequências da concretização de determinado risco.

Eles nada mais são que planos de ação voltados para a mitigação dos riscos com algumas modificações em suas estruturas, tais como definição de Accountable e Responsible por cada ação. Sua principal finalidade é assegurar que as ações de mitigação para os riscos críticos serão colocadas em prática e seu processo de implementação fiscalizado de alguma forma.

Uma das fases mais críticas é a definição de “Responsibility” de cada risco (quem será responsável por executar as ações para a mitigação de determinado risco) e “Accountabiliy” (quem será responsável por responder caso as ações para a mitigação de determinado risco, caso não sejam implantadas). A diferença básica consiste na responsabilização das consequências do risco (normalmente nível gestão ou direção) e quem efetivamente conduz os planos de ação e controles.

É desejável que todo o plano de ação desenvolvido para mitigar riscos críticos possua a definição de quem é “Accountable” e de quem é “Responsibile” por cada risco.

A falta de definição destes papéis enseja na falta de implantação das ações efetivas para a mitigação dos riscos. Não raro, identificamos riscos que são de conhecimento de toda gestão, mas que não existe nenhum responsável por monitorá-los ou tratá-los. Por outro lado, deparamos com casos onde existem vários Accountables, mas ninguém Responsible pelo risco, ou seja, vários monitorando e controlando o risco, mas ninguém executando nenhuma ação efetiva para mitigar o risco.

Deve-se tomar o cuidado por que a palavra inglesa “Accountable” possui uma similaridade de significado com a palavra Responsável em português no que tange a uma responsabilidade no sentido mais amplo. Enquanto a palavra “Responsible” em inglês refere-se a quem executa a ação para mitigar o risco, ou seja, o “Doer” da ação de mitigação.

Para facilitar a compreensão, segue abaixo exemplo de Plano de Mitigação de Riscos:

risk mitigation 1

Ficha de Risco

Por vezes, ao invés do Plano de Mitigação ou para complementa-lo, é utilizada a Ficha de Risco para proceder ao papel de monitoramento, controle e mitigação dos riscos. A Ficha de Risco possui informações mais completas sobre o risco que permitem um melhor acompanhamento dos mesmos. Basicamente, as Fichas de Riscos possuem informações grupadas em 8 tópicos principais: Descritivo do Risco, Cenários & Efeitos, Impactos Estratégicos, Mensuração do Risco, Perdas, Entendimento do Risco, Medidas de Mitigação e Governança (Monitoramento, Controle e Indicadores). Abaixo, segue um modelo com os comentários em seguida:

Business Awareness 1

Descritivo – Descreve o cenário de concretização do risco, ou seja, o pior cenário exequível caso o risco venha a se concretizar.

Business (negócio): Descreve o impacto da concretização do risco sobre o negócio

Staff (público interno): Descreve o impacto da concretização de risco sobre os colaboradores

Clientes: Descreve o impacto da concretização de risco sobre os clientes

Assets (patrimônio): Descreve o impacto da concretização de risco sobre o patrimônio

Comunidade: Descreve o impacto da concretização de risco sobre a comunidade

Mídia: Descreve o impacto da concretização de risco sobre a mídia

Financeiro: Descreve o impacto da concretização de risco em termos de perda financeira

Jurídico: Descreve o impacto da concretização de risco sobre os aspectos jurídicos

Outros: Descreve o impacto da concretização de risco sobre qualquer outra variável que não foi levada em consideração anteriormente, mas que seja considerada relevante

Fatores Críticos de Sucesso: Define os Fatores Críticos de Sucesso impactados pelo risco

Objetivos Estratégicos: Define os Objetivos Estratégicos impactados pelo risco

Impacto: Define a Quantificação do Impacto do risco

Probabilidade: Define a Estimativa de Probabilidade do risco

Vulnerabilidade: Define o Índice de Vulnerabilidade

Índice Risco: Define o Índice de Risco que é composto pelo produto do QI x EP

Indicador de Efetividade: Define o Índice de Efetividade (Índice de Risco X Índice de Vulnerabilidade)

Classificação: Classifica o risco com um código de cores de 5 níveis definindo o nível de atenção e controle a ser dispensado pela equipe de gerenciamento de risco

Perdas Diretas: Define as perdas diretas da concretização de determinado risco

Perdas Indiretas: Define as perdas indiretas da concretização de determinado risco

Dano Máximo: Define o Dano Máximo Possível da concretização de determinado risco

Perda Possível: Define a Perda Máxima Provável da concretização de determinado risco

Perda Esperada: Define a Perda Esperada Estimada (Impacto X Probabilidade) da concretização de determinado risco, definidos de forma quantitativa

Coberturas: Define a cobertura de seguro atualmente contratada para determinado risco

Origem: Define a origem (agente causador / fato ignitor) para determinado risco

Fator Risco: Define o Fator de Risco (vulnerabilidades) nos sistemas de proteção para determinado risco

Processo Crítico: Define o Processo Crítico onde ocorre o risco

Ownership: Define o responsável pelo Processo Crítico impactado pelo risco

Nível de maturidade: Defini o nível de maturidade que o processo crítico possui em termos de normas e procedimentos, tais como: fluxogramas, POPs, instruções de trabalho, etc.

Família: Defini a família a qual determinado risco pertence, tais como: operacional, estratégico, financeiro, etc

Sub-Processo: Definem os sub-processos do Processo Crítico onde ocorre o risco

Ownership: Define o responsável pelo sub-Processo Crítico impactado pelo risco

Nível de maturidade: Defini o nível de maturidade que o sub-processo crítico possui em termos de normas e procedimentos, tais como: fluxogramas, POPs, instruções de trabalho, etc.

Processo de GR: Definem os processos de gerenciamento de risco para auxiliar no controle do Processo Crítico onde ocorre o risco

Ownership: Define o responsável pelo Processo de Gestão de Risco desenvolvido para a mitigação de risco em determinado processo ou sub-processo crítico.

Família: Defini o nível de maturidade que o Processo de Gestão de Risco possui em termos de normas e procedimentos, tais como: fluxogramas, POPs, instruções de trabalho, etc.

Ação: Define as ações de mitigação para a redução de determinado risco

Responsible: Define o responsável pela implementação das ações de mitigação para a redução de determinado risco, efetivamente por quem implementa e/ou conduz determinada atividade de mitigação (executor)

Accountable: Define o responsável pela coordenação e/ou supervisão das ações de mitigação para a redução de determinado risco, quem gerencia e responderá caso seu executor não implemente a ação de mitigação

Início: Define a data a ser iniciada determinando projeto ou ação de mitigação. Por vezes, faz-se necessário a definição de datas de check durante o processo de implementação da solução tendo em vista o seu grau de complexidade.

Deadline: Define a data limite para a implantação das ações de mitigação para a redução de determinado risco

Controle Interno: Define o controle interno para auxiliar nas ações de mitigação para a redução de determinado risco

Número de Controle: Define o número do controle interno para auxiliar nas ações de mitigação para a redução de determinado risco

KPI: Define o KPI (indicador) de determinado processo crítico

KRI: Define o KRI (indicador) de risco de determinado processo crítico. É um indicador de tendência que evita proporcionar o alerta oportuno ao gestor antecipando que determinado KPI poderá não ser atingido caso não se defina nenhuma ação corretiva

Ciclo: Define o ciclo de medição dos KPI e KRI (indicador) de risco para determinado processo crítico

Auditoria: Define o tipo e a frequência de auditoria de risco de determinado processo crítico

Status: Define o status da governança de risco, se os KRIs e ciclos de auditoria estão em conformidade