167.O que deve ser considerado numa análise de riscos
Uma análise de riscos é a verificação dos pontos críticos de um negócio ou projeto que possam vir a apresentar não conformidades durante sua execução. Tema: gestão de negócios.
- Gestão de RiscosAnálise qualitativa e quantitativa · Matriz de riscos · Fatores de risco · Simulação de Monte Carlo · Distribuições de probabilidade
Olá pessoal, bem-vindo, bem-vinda a mais um programa do canal Engutas em Vídeo. Hoje vamos falar sobre educação em gestão. Por definição, uma análise de riscos é a verificação dos pontos críticos de um negócio ou projeto que possam vir a apresentar não conformidades durante sua execução. É o uso sistemático de informações para determinar contato.
de suas consequências. O programa sempre gera uma pergunta, mas antes dela que tal se inscrever em nosso canal? É um canal gratuito e uma vez por semana você será informado sobre um novo programa. É só clicar no botão logo abaixo deste vídeo. Bom, mas vamos à pergunta de hoje. O que deve ser considerado numa análise de riscos?
Vamos descobrir a resposta a ela nos próximos minutos? Um bom programa para todos! Uma análise de riscos pode ser qualitativa quando feita através de constatações de fatos que comprometam o negócio ou projeto no futuro. Mas o melhor é que seja quantitativa, associando valores numéricos aos riscos ou quantificando fatos qualificados.
De acordo com o site da ISO 27000, quando se analisa riscos, deve-se construir uma matriz de riscos levando em conta os seguintes fatores. Primeiro, impacto. É importante avaliar o ambiente em relação aos critérios básicos de segurança da informação. Disponibilidade, integridade e confidencialidade.
Nesta avaliação, é estimado o impacto baseado nestes critérios para cada item do ambiente avaliado. Segundo fator, vulnerabilidade. Ela é uma característica intrínseca de qualquer elemento que tenhamos que avaliar, pois praticamente todos os componentes do ambiente possuem pontos vulneráveis. Terceiro fator, ameaça.
Cada vulnerabilidade pode ser explorada por uma ou mais ameaças e a melhor forma de proteção é conhecer essas ameaças e seu potencial. Quarto fator, probabilidade. Saber a probabilidade de uma ameaça explorar uma vulnerabilidade é fundamental para identificar riscos. As probabilidades indicam o quão perto uma ameaça está de uma vulnerabilidade.
E por fim, o quinto fator, que é o próprio risco. É uma função do impacto versus a probabilidade. Geralmente, criamos uma tabela para relacionar e identificar o risco. Esta tabela segue parâmetros de criticidade específico para cada matriz de risco.
Podemos tratar o risco de quatro formas. Vamos conhecê-las? A primeira forma é mitigá-lo, através da aplicação de controles específicos. A segunda forma é transferí-lo, através de atividades como um seguro. A terceira forma é aceitá-lo, simplesmente tomando conhecimento, mas sem a adoção de medidas de controle.
E a quarta e última forma é evitá-lo, executando outra atividade, ou seja, tomando outro caminho. A Palisade, fabricante de um dos softwares líderes mundiais em análise de riscos, recomenda em seu site que esta análise seja quantitativa, utilizando-se da simulação de Monte Carlo, que é baseada em distribuições de probabilidade.
Esta simulação possui uma forma realista de descrever incertezas através de distribuições probabilísticas tais como Distribuição normal. O usuário simplesmente define a média ou valor esperado e um desvio padrão para descrever a variação ao longo da média. Valores próximos da média têm maior probabilidade de ocorrer.
É simétrica e descreve muitos fenômenos naturais como a altura das pessoas. Exemplos de variáveis descritas por distribuições normais incluem taxas de inflação e preços de energia. Um segundo tipo de distribuição é a log normal. É usada para representar valores que não se tornam negativos, mas possuem potencial positivo e limitado.
Exemplos de variáveis de escrita por distribuições log normais são valores de propriedades imobiliárias, preços de ações e reservas de óleo. Distribuição uniforme. Todos os valores têm a mesma probabilidade de ocorrer e o usuário simplesmente define o mínimo e o máximo.
Exemplos de variáveis que podem ser uniformemente distribuídas são os custos de manufatura ou as receitas de vendas futuras de um novo produto. Distribuição triangular. O usuário define os valores mínimo, mais provável e máximo. Valores ao redor do mais provável têm maior probabilidade de ocorrer.
Variáveis que podem ser descritas por uma distribuição triangular são as séries históricas de vendas passadas por unidades de tempo e níveis de estoque. Distribuição PERTE. O usuário define os valores mínimo, mais provável e máximo, assim como na triangular. Valores ao redor do mais provável têm maior probabilidade de ocorrência.
Contudo, valores entre o mais provável e os extremos têm maior probabilidade de ocorrência do que na triangular, ou seja, os extremos não são tão enfatizados nesse tipo de distribuição. Um exemplo do uso de uma distribuição PERT é a duração de uma tarefa em um modelo de gerenciamento de projetos. E por fim, a distribuição discreta.
valores específicos que podem ocorrer e a probabilidade de ocorrência. Um exemplo pode ser o resultado de um processo jurídico. 20% de probabilidade de veredito favorável, 30% de veredito negativo, 40% de acordo e 10% de anulação do processo.
Toda esta análise visa entender a extensão dos riscos que uma organização está preparada para enfrentar e disposta a aceitar enquanto oferece seus produtos e serviços ao mercado. Com as ferramentas certas se descobrem os riscos que merecem atenção especial e aqueles que a empresa está disposta a correr. Reflitam sobre isso.