Neste guia, serão explicados os passos a seguir para parametrizar uma metodologia de cálculo de Risco Residual através de uma correta implementação da Metodologia de Controlos .
A primeira fase em relação às análises de riscos da empresa consiste em determinar o Risco Inerente referente aos processos, ativos, elementos… em suma, o risco próprio de tudo aquilo que se requer considerar.
A segunda fase consiste em aplicar ou conhecer a implicação que têm os planos de ação ou controlos, com o objetivo de mitigar o risco inerente, obtendo assim o chamado Risco Residual.
Metodologia de Riscos. Risco Inerente.
O Risco Inerente, embora sua metodologia de cálculo dependa particularmente de cada organização, regularmente é resultado da interação entre a “ Probabilidade” e o “ Impacto”.
Na imagem seguinte pode-se observar um exemplo de uma análise de riscos no GlobalSuite®:
Como lembrete, a configuração da Metodologia de Riscos é realizada na seção de Ajustes, concretamente na seção Metodologias > Riscos .
Na imagem à direita pode-se observar a metodologia de riscos por trás da análise de riscos mostrada anteriormente, na qual se pondera um pouco mais o “ Impacto”.
O Risco Inerente pode ser obtido através de uma Fórmula entre Impacto e Probabilidade, como no exemplo anterior:
ou, entre outras opções, é possível seu cálculo através da configuração de um Produto Cartesiano:
Metodologia e Avaliação de Controlos.
Após dispor do Risco Inerente, deve-se considerar os planos de ação ou controlos definidos com o objetivo de mitigar aqueles riscos que superem o NRA ou Apetite de Riscos. Em suma, trata-se de conhecer a eficácia que os controlos aplicados têm sobre o Risco Inerente. Desde Ajustes > Metodologias > Controlos , será configurada a dimensão referente à Eficácia do Controlo. No exemplo, a Maturidade do Controlo é calculada com base em outras dimensões, propriedades e/ou condições próprias do controlo em questão.
Para um diagnóstico mais detalhado da eficácia do controlo, pode-se identificar a natureza do mesmo, ou seja, se é do tipo “Preventivo” ou “Corretivo”.
O objetivo será conhecer se a mitigação afeta a Probabilidade ou o Impacto. Para isso, são geradas as dimensões “ Redução Probabilidade” e “ Redução Impacto”.
A seguir, detalha-se o cálculo das dimensões “Redução Probabilidade” e “Redução Impacto”.
1. Para o cálculo da dimensão “ Redução Probabilidade”, foi utilizada a seguinte fórmula:
Sendo C1 = “Tipo de Controlo” e C7 = “Eficácia do Controlo”.
Com esta formulação, consegue-se armazenar na dimensão “Redução Probabilidade” a eficácia do controlo sempre que este seja de caráter preventivo, por isso na condição da fórmula verifica-se esta característica, C1 = 1.
-
Para o cálculo da dimensão “Redução Impacto”, foi utilizada a seguinte fórmula:
Sendo C1 = “Tipo de Controlo” e C7 = “Eficácia do Controlo”.
Neste caso, na dimensão “Redução Impacto” armazena-se o valor da eficácia do controlo, sempre que este seja de caráter corretivo, C1 = 2.
Com isso, consegue-se dividir em duas dimensões diferentes a eficácia do controlo conforme sua tipologia.
Paralelamente, será registrado um contador, separando os controlos igualmente entre preventivos e corretivos, com o objetivo de armazenar e diferenciar em outras duas dimensões o número de controlos de cada tipo.
Para isso, foram utilizadas as dimensões “ Aplica Probabilidade” para controlos do tipo preventivo ( C1 = 1)
E da mesma forma a dimensão “ Aplica Impacto”, para os controlos do tipo corretivo (C1 = 2):
O próximo passo será avaliar as dimensões que foram configuradas na metodologia de controlos. Para isso, acede-se desde Gestão de Controlos, podendo avaliar as dimensões manuais diretamente na tela e obtendo dessa forma o valor daquelas que são automáticas.
Risco Residual.
A última fase, após configurar e aplicar a Metodologia de Controlos na análise, é configurar a dimensão Risco Residual, considerando o efeito que terá a Eficácia do Controlo sobre o Risco Inerente. Desde Ajustes > Metodologias > Riscos geram-se as dimensões residuais “Probabilidade Residual”, “Impacto Residual” e “Risco Residual” tal como mostrado na imagem seguinte:
As dimensões residuais terão as mesmas características de design que suas homólogas inerentes (qualitativas com os mesmos níveis definidos), com a diferença de que neste caso seu cálculo será automático através de uma formulação que relacione as dimensões inerentes com a eficácia dos controlos.
Na imagem seguinte pode-se observar o efeito dos controlos implantados sobre a probabilidade inerente e impacto inerente dos riscos; e, por conseguinte, sobre o risco inerente:
No exemplo: Prob. Residual = Prob. Inerente – Média de eficácia dos controlos (Probabilidade).
C8 = Redução de Probabilidade (Eficácia dos controlos que mitigam a probabilidade).
C10 = Aplica Probabilidade (Controlos que aplicam à Probabilidade).
Da mesma forma: Impacto Residual = Impacto Inerente – Média de eficácia dos controlos (Impacto).
C9 = Redução de Impacto (Eficácia dos controlos que mitigam o Impacto).
C11 = Aplica Impacto (Controlos que aplicam à Probabilidade).
Finalmente: Risco Residual = Soma ponderada de Probabilidade Residual e Impacto Residual.
Desde a Análise de Riscos , pode-se constatar a incidência que os controlos têm sobre o Risco Inerente.
Após associar um ou vários controlos aos riscos, estes poderão atuar sobre o Risco Inerente, podendo-se observar este efeito no Risco Residual, tal como mostrado na imagem.
Por último, desde Avaliação de Riscos / Ver Mapa de Riscos, além de toda a informação referente às análises, pode-se obter uma comparação visual entre os mapas de calor de Risco Inerente e Risco Residual, que oferece uma visão muito clara da eficácia dos controlos implantados, tal como mostrado na imagem seguinte:
Para obter esta comparação, basta clicar no botão “Selecionar Dimensões” e selecionar as duas dimensões que se deseja comparar, neste caso “Risco Inerente” (Esquerda) e “Risco Residual” (Direita).