Gerenciamento de riscos - Risk management

Exemplo de avaliação de risco: um modelo da NASA mostrando áreas de alto risco de impacto para a Estação Espacial Internacional

A gestão de risco é a identificação, avaliação e priorização de riscos (definidos na ISO 31000 como o efeito da incerteza sobre os objetivos ) seguida pela aplicação coordenada e econômica de recursos para minimizar, monitorar e controlar a probabilidade ou impacto de eventos infelizes ou para maximizar a realização de oportunidades.

Os riscos podem vir de várias fontes, incluindo incerteza nos mercados internacionais , ameaças de falhas do projeto (em qualquer fase do projeto, desenvolvimento, produção ou sustentação dos ciclos de vida), responsabilidades legais, risco de crédito, acidentes, causas naturais e desastres , ataque deliberado de um adversário, ou eventos de causa raiz incerta ou imprevisível . Existem dois tipos de eventos, ou seja, eventos negativos podem ser classificados como riscos, enquanto eventos positivos são classificados como oportunidades. Os padrões de gerenciamento de risco foram desenvolvidos por várias instituições, incluindo o Project Management Institute , o Instituto Nacional de Padrões e Tecnologia , sociedades atuariais e padrões ISO. Métodos, definições e objetivos variam amplamente, dependendo se o método de gerenciamento de risco está no contexto de gerenciamento de projetos, segurança, engenharia , processos industriais , carteiras financeiras, avaliações atuariais ou saúde e segurança públicas.

Estratégias para gerenciar ameaças (incertezas com consequências negativas) normalmente incluem evitar a ameaça, reduzir o efeito negativo ou a probabilidade da ameaça, transferir toda ou parte da ameaça para outra parte e até mesmo reter algumas ou todas as consequências potenciais ou reais de uma ameaça particular. O oposto dessas estratégias pode ser usado para responder a oportunidades (estados futuros incertos com benefícios).

Certos padrões de gestão de risco têm sido criticados por não apresentarem melhorias mensuráveis ​​no risco, enquanto a confiança nas estimativas e decisões parece aumentar.

Introdução

Um vocabulário amplamente usado para gerenciamento de risco é definido pelo ISO Guia 73: 2009 , "Gerenciamento de risco. Vocabulário."

No gerenciamento de risco ideal, um processo de priorização é seguido, onde os riscos com maior perda (ou impacto) e maior probabilidade de ocorrência são tratados primeiro. Os riscos com menor probabilidade de ocorrência e menor perda são tratados em ordem decrescente. Na prática, o processo de avaliação do risco geral pode ser difícil, e balancear os recursos usados ​​para mitigar riscos com alta probabilidade de ocorrência, mas menor perda, versus um risco com alta perda, mas menor probabilidade de ocorrência, pode muitas vezes ser maltratado.

O gerenciamento de riscos intangíveis identifica um novo tipo de risco que tem 100% de probabilidade de ocorrer, mas é ignorado pela organização devido à falta de capacidade de identificação. Por exemplo, quando um conhecimento deficiente é aplicado a uma situação, um risco de conhecimento se materializa. O risco de relacionamento aparece quando ocorre uma colaboração ineficaz. O risco de engajamento no processo pode ser um problema quando procedimentos operacionais ineficazes são aplicados. Esses riscos reduzem diretamente a produtividade dos trabalhadores do conhecimento, diminuem a relação custo-benefício, a lucratividade, o serviço, a qualidade, a reputação, o valor da marca e a qualidade dos ganhos. A gestão de riscos intangíveis permite que a gestão de riscos crie valor imediato a partir da identificação e redução dos riscos que reduzem a produtividade.

O custo de oportunidade representa um desafio único para os gerentes de risco. Pode ser difícil determinar quando colocar recursos no gerenciamento de riscos e quando usar esses recursos em outro lugar. Novamente, o gerenciamento de risco ideal minimiza os gastos (ou mão de obra ou outros recursos) e também minimiza os efeitos negativos dos riscos.

Risco é definido como a possibilidade de ocorrer um evento que afete adversamente o alcance de um objetivo. A incerteza, portanto, é um aspecto fundamental do risco. Sistemas como o Comitê de Organizações Patrocinadoras da Gestão de Risco Corporativo da Comissão Treadway (COSO ERM) podem auxiliar os gerentes na mitigação dos fatores de risco. Cada empresa pode ter diferentes componentes de controle interno, o que leva a resultados diferentes. Por exemplo, a estrutura para componentes de ERM inclui Ambiente Interno, Definição de Objetivo, Identificação de Evento, Avaliação de Risco, Resposta a Risco, Atividades de Controle, Informação e Comunicação e Monitoramento.

Método

Na maior parte, esses métodos consistem nos seguintes elementos, executados, mais ou menos, na seguinte ordem.

  1. Identifique as ameaças
  2. Avalie a vulnerabilidade de ativos críticos a ameaças específicas
  3. Determine o risco (ou seja, a probabilidade esperada e as consequências de tipos específicos de ataques a ativos específicos)
  4. Identifique maneiras de reduzir esses riscos
  5. Priorizar medidas de redução de risco

Princípios

A Organização Internacional de Padronização (ISO) identifica os seguintes princípios de gestão de risco:

A gestão de risco deve:

  • Crie valor - os recursos gastos para mitigar o risco devem ser menores do que a consequência da inação
  • Seja parte integrante dos processos organizacionais
  • Faça parte do processo de tomada de decisão
  • Aborde explicitamente a incerteza e as suposições
  • Seja um processo sistemático e estruturado
  • Baseie-se nas melhores informações disponíveis
  • Seja adaptável
  • Leve os fatores humanos em consideração
  • Seja transparente e inclusivo
  • Seja dinâmico, iterativo e responsivo às mudanças
  • Ser capaz de melhoria e aprimoramento contínuos
  • Ser continuamente ou periodicamente reavaliado

Risco moderado versus selvagem

Benoit Mandelbrot distinguiu entre risco "leve" e "selvagem" e argumentou que a avaliação e o gerenciamento de risco devem ser fundamentalmente diferentes para os dois tipos de risco. O risco leve segue distribuições de probabilidade normais ou quase normais , está sujeito à regressão à média e à lei dos grandes números e, portanto, é relativamente previsível. O risco selvagem segue distribuições de cauda gorda , por exemplo, distribuições de Pareto ou lei de potência , está sujeito à regressão à cauda (média ou variância infinita, tornando a lei dos grandes números inválida ou ineficaz) e, portanto, é difícil ou impossível de prever. Um erro comum na avaliação e gerenciamento de risco é subestimar a natureza do risco, assumindo que o risco é leve quando na verdade é selvagem, o que deve ser evitado para que a avaliação e o gerenciamento de risco sejam válidos e confiáveis, de acordo com Mandelbrot.

Processo

De acordo com a norma ISO 31000 “Gestão de riscos - Princípios e diretrizes de implementação”, o processo de gestão de riscos consiste em várias etapas conforme segue:

Estabelecendo o contexto

Isso involve:

  1. observando o contexto
    • o escopo social da gestão de risco
    • a identidade e os objetivos das partes interessadas
    • a base sobre a qual os riscos serão avaliados, as restrições.
  2. definir uma estrutura para a atividade e uma agenda para identificação
  3. desenvolver uma análise dos riscos envolvidos no processo
  4. mitigação ou solução de riscos utilizando os recursos tecnológicos, humanos e organizacionais disponíveis

Identificação

Depois de estabelecer o contexto, a próxima etapa no processo de gerenciamento de riscos é identificar os riscos potenciais. Riscos são eventos que, quando acionados, causam problemas ou benefícios. Assim, a identificação de riscos pode começar com a origem dos problemas e dos concorrentes (benefício) ou com as consequências do problema.

  • Análise da fonte - as fontes de risco podem ser internas ou externas ao sistema que é o alvo do gerenciamento de risco (use mitigação em vez de gerenciamento, uma vez que, por sua própria definição, o risco lida com fatores de tomada de decisão que não podem ser gerenciados).

Alguns exemplos de fontes de risco são: stakeholders de um projeto, funcionários de uma empresa ou o clima em um aeroporto.

  • Análise de problemas - os riscos estão relacionados às ameaças identificadas. Por exemplo: a ameaça de perder dinheiro, a ameaça de abuso de informações confidenciais ou a ameaça de erros humanos, acidentes e baixas. As ameaças podem existir com várias entidades, principalmente com acionistas, clientes e órgãos legislativos como o governo.

Quando a origem ou o problema é conhecido, os eventos que uma origem pode disparar ou os eventos que podem levar a um problema podem ser investigados. Por exemplo: a retirada das partes interessadas durante um projeto pode colocar em risco o financiamento do projeto; informações confidenciais podem ser roubadas por funcionários, mesmo dentro de uma rede fechada; relâmpagos atingindo uma aeronave durante a decolagem podem fazer todas as pessoas a bordo vítimas imediatas.

O método escolhido de identificação de riscos pode depender da cultura, prática da indústria e conformidade. Os métodos de identificação são formados por templates ou desenvolvimento de templates para identificação de fonte, problema ou evento. Os métodos de identificação de risco comuns são:

  • Identificação de riscos baseada em objetivos - Organizações e equipes de projeto têm objetivos. Qualquer evento que possa impedir um objetivo de ser alcançado é identificado como risco.
  • Identificação de risco baseada em cenário - Na análise de cenário, diferentes cenários são criados. Os cenários podem ser as formas alternativas de atingir um objetivo ou uma análise da interação de forças em, por exemplo, um mercado ou batalha. Qualquer evento que desencadeia uma alternativa de cenário indesejado é identificado como risco - veja Estudos de Futuros para metodologia usada por Futuristas .
  • Identificação de risco com base em taxonomia - A taxonomia na identificação de risco com base em taxonomia é uma divisão das possíveis fontes de risco. Com base na taxonomia e no conhecimento das melhores práticas, é elaborado um questionário. As respostas às perguntas revelam riscos.
  • Verificação de risco comum - em vários setores, listas com riscos conhecidos estão disponíveis. Cada risco na lista pode ser verificado para aplicação a uma situação particular.
  • Mapeamento de risco - Este método combina as abordagens acima listando recursos em risco, ameaças a esses recursos, fatores de modificação que podem aumentar ou diminuir o risco e as consequências que se deseja evitar. A criação de uma matriz sob esses títulos permite uma variedade de abordagens. Pode-se começar com os recursos e considerar as ameaças a que estão expostos e as consequências de cada uma. Alternativamente, pode-se começar com as ameaças e examinar quais recursos elas afetariam, ou pode-se começar com as consequências e determinar qual combinação de ameaças e recursos estaria envolvida para gerá-las.

Avaliação

Uma vez identificados os riscos, eles devem ser avaliados quanto à gravidade potencial do impacto (geralmente um impacto negativo, como dano ou perda) e quanto à probabilidade de ocorrência. Estas quantidades podem ser simples de medir, no caso do valor de um edifício perdido, ou impossíveis de saber ao certo no caso de um evento improvável, cuja probabilidade de ocorrência é desconhecida. Portanto, no processo de avaliação é fundamental tomar as decisões mais bem fundamentadas para priorizar adequadamente a implementação do plano de gerenciamento de riscos .

Mesmo uma melhoria positiva de curto prazo pode ter impactos negativos de longo prazo. Veja o exemplo do "pedágio". Uma rodovia é alargada para permitir mais tráfego. Mais capacidade de tráfego leva a um maior desenvolvimento nas áreas ao redor da capacidade de tráfego melhorada. Com o tempo, o tráfego aumenta para preencher a capacidade disponível. Assim, as autoestradas precisam ser expandidas em ciclos aparentemente intermináveis. Existem muitos outros exemplos de engenharia em que a capacidade expandida (para fazer qualquer função) é logo preenchida pelo aumento da demanda. Como a expansão tem um custo, o crescimento resultante pode se tornar insustentável sem previsão e gerenciamento.

A dificuldade fundamental na avaliação de risco é determinar a taxa de ocorrência, uma vez que as informações estatísticas não estão disponíveis sobre todos os tipos de incidentes anteriores e são particularmente escassas no caso de eventos catastróficos, simplesmente por causa de sua infrequência. Além disso, avaliar a gravidade das consequências (impacto) costuma ser muito difícil para ativos intangíveis. A avaliação de ativos é outra questão que precisa ser tratada. Assim, as opiniões mais bem fundamentadas e as estatísticas disponíveis são as principais fontes de informação. No entanto, a avaliação de riscos deve produzir informações para os executivos seniores da organização de que os riscos primários são fáceis de entender e que as decisões de gerenciamento de riscos podem ser priorizadas dentro dos objetivos gerais da empresa. Assim, tem havido várias teorias e tentativas de quantificar os riscos. Existem inúmeras fórmulas de risco diferentes, mas talvez a fórmula mais amplamente aceita para quantificação de risco seja: "A taxa (ou probabilidade) de ocorrência multiplicada pelo impacto do evento é igual à magnitude do risco."

Opções de risco

As medidas de mitigação de risco são geralmente formuladas de acordo com uma ou mais das seguintes opções de risco principais, que são:

  1. Projete um novo processo de negócios com controle de risco integrado adequado e medidas de contenção desde o início.
  2. Reavalie periodicamente os riscos que são aceitos em processos em andamento como uma característica normal das operações de negócios e modifique as medidas de mitigação.
  3. Transfira os riscos para uma agência externa (por exemplo, uma seguradora)
  4. Evite todos os riscos (por exemplo, fechando uma área de negócios de alto risco particular)

Pesquisas posteriores mostraram que os benefícios financeiros do gerenciamento de risco são menos dependentes da fórmula usada, mas são mais dependentes da frequência e de como a avaliação de risco é realizada.

Nos negócios, é imperativo ser capaz de apresentar as conclusões das avaliações de risco em termos financeiros, de mercado ou de cronograma. Robert Courtney Jr. (IBM, 1970) propôs uma fórmula para apresentar riscos em termos financeiros. A fórmula de Courtney foi aceita como o método oficial de análise de risco para as agências governamentais dos Estados Unidos. A fórmula propõe o cálculo da ALE (expectativa de perda anualizada) e compara o valor da perda esperada com os custos de implementação do controle de segurança ( análise de custo-benefício ).

Tratamentos de risco potencial

Uma vez que os riscos foram identificados e avaliados, todas as técnicas para gerenciar o risco se enquadram em uma ou mais destas quatro categorias principais:

  • Evitar (eliminar, retirar-se ou não se envolver)
  • Redução (otimizar - mitigar)
  • Compartilhamento (transferência - terceirizar ou segurar)
  • Retenção (aceitar e orçamento)

O uso ideal dessas estratégias de controle de risco pode não ser possível. Alguns deles podem envolver trade-offs que não são aceitáveis ​​para a organização ou pessoa que toma as decisões de gerenciamento de risco. Outra fonte, do Departamento de Defesa dos EUA (consulte o link), Defense Acquisition University , chama essas categorias de ACAT, para evitar, controlar, aceitar ou transferir. Este uso do acrônimo ACAT é uma reminiscência de outro ACAT (para categoria de aquisição) usado nas aquisições da indústria de defesa dos Estados Unidos, em que o gerenciamento de riscos tem uma presença proeminente na tomada de decisões e no planejamento.

Prevenção de riscos

Isso inclui não realizar uma atividade que possa apresentar risco. Recusar-se a comprar uma propriedade ou negócio para evitar responsabilidade legal é um exemplo. Evitar voos de avião por medo de sequestro . Evitar pode parecer a resposta para todos os riscos, mas evitar riscos também significa perder o ganho potencial que aceitar (reter) o risco pode ter permitido. Não entrar em um negócio para evitar o risco de perdas também evita a possibilidade de obter lucros. O aumento da regulamentação de risco em hospitais tem evitado o tratamento de doenças de alto risco, em favor de pacientes que apresentam menor risco.

Redução de risco

A redução ou "otimização" do risco envolve a redução da gravidade da perda ou da probabilidade de ocorrência da perda. Por exemplo, sprinklers são projetados para apagar um incêndio para reduzir o risco de perda por incêndio. Este método pode causar uma perda maior por danos causados ​​pela água e, portanto, pode não ser adequado. Os sistemas de supressão de incêndio de halon podem mitigar esse risco, mas o custo pode ser proibitivo como estratégia .

Reconhecendo que os riscos podem ser positivos ou negativos, otimizar riscos significa encontrar um equilíbrio entre o risco negativo e o benefício da operação ou atividade; e entre redução de risco e esforço aplicado. Ao aplicar com eficácia os padrões de gestão de Saúde, Segurança e Meio Ambiente (SMS), as organizações podem atingir níveis toleráveis ​​de risco residual .

As metodologias modernas de desenvolvimento de software reduzem o risco, desenvolvendo e entregando software de forma incremental. As primeiras metodologias sofriam com o fato de que só entregavam software na fase final de desenvolvimento; quaisquer problemas encontrados nas fases anteriores significavam retrabalho caro e muitas vezes colocavam todo o projeto em risco. Ao desenvolver em iterações, os projetos de software podem limitar o esforço desperdiçado a uma única iteração.

A terceirização pode ser um exemplo de estratégia de compartilhamento de risco se o terceirizador puder demonstrar maior capacidade de gerenciamento ou redução de riscos. Por exemplo, uma empresa pode terceirizar apenas o desenvolvimento de software, a fabricação de bens de consumo ou as necessidades de suporte ao cliente para outra empresa, enquanto trata da própria gestão do negócio. Dessa forma, a empresa pode se concentrar mais no desenvolvimento do negócio sem ter que se preocupar tanto com o processo de fabricação, gerenciando a equipe de desenvolvimento ou encontrando um local físico para um centro.

Compartilhamento de risco

Definido resumidamente como "compartilhar com outra parte o ônus da perda ou o benefício do ganho de um risco e as medidas para reduzir um risco."

O termo 'transferência de risco' é freqüentemente usado no lugar de compartilhamento de risco na crença errônea de que você pode transferir um risco a terceiros por meio de seguro ou terceirização. Na prática, se a seguradora ou o contratante falir ou for levado a tribunal, é provável que o risco original ainda seja revertido para a primeira parte. Como tal, na terminologia de profissionais e acadêmicos, a compra de um contrato de seguro é frequentemente descrita como uma "transferência de risco". No entanto, tecnicamente falando, o comprador do contrato geralmente mantém a responsabilidade legal pelas perdas "transferidas", o que significa que o seguro pode ser descrito com mais precisão como um mecanismo de compensação pós-evento. Por exemplo, uma apólice de seguro de acidentes pessoais não transfere o risco de um acidente de carro para a seguradora. O risco continua a ser do tomador do seguro, nomeadamente a pessoa que sofreu o sinistro. A apólice de seguro simplesmente estipula que se ocorrer um acidente (o evento) envolvendo o tomador do seguro, então alguma compensação pode ser paga ao tomador da apólice proporcional ao sofrimento / dano.

Os métodos de gerenciamento de risco se enquadram em várias categorias. Os pools de retenção de risco estão tecnicamente retendo o risco para o grupo, mas espalhá-lo por todo o grupo envolve a transferência entre os membros individuais do grupo. Isso é diferente do seguro tradicional, pois nenhum prêmio é trocado entre os membros do grupo antecipadamente, mas, em vez disso, as perdas são avaliadas para todos os membros do grupo.

Retenção de risco

A retenção de risco envolve aceitar a perda ou benefício de ganho de um risco quando o incidente ocorre. O verdadeiro autosseguro se enquadra nesta categoria. A retenção de risco é uma estratégia viável para pequenos riscos, em que o custo do seguro contra o risco seria maior ao longo do tempo do que o total de perdas sofridas. Todos os riscos que não são evitados ou transferidos são retidos por padrão. Isso inclui riscos tão grandes ou catastróficos que não podem ser segurados ou os prêmios seriam inviáveis. A guerra é um exemplo, uma vez que a maioria das propriedades e riscos não são segurados contra a guerra, portanto, a perda atribuída à guerra é retida pelo segurado. Além disso, qualquer valor de perda potencial (risco) sobre o valor segurado é considerado risco. Isso também pode ser aceitável se a chance de uma perda muito grande for pequena ou se o custo para segurar valores maiores de cobertura for tão grande que atrapalhe demais os objetivos da organização.

Plano de gerenciamento de riscos

Selecione os controles ou contramedidas apropriados para mitigar cada risco. A mitigação de riscos precisa ser aprovada pelo nível apropriado de gerenciamento. Por exemplo, um risco relacionado à imagem da organização deve ter uma decisão da alta administração por trás dele, ao passo que a administração de TI teria autoridade para decidir sobre os riscos de vírus de computador.

O plano de gerenciamento de riscos deve propor controles de segurança aplicáveis ​​e eficazes para gerenciar os riscos. Por exemplo, um alto risco observado de vírus de computador pode ser mitigado com a aquisição e implementação de software antivírus. Um bom plano de gerenciamento de riscos deve conter um cronograma para a implementação do controle e pessoas responsáveis ​​por essas ações.

De acordo com a ISO / IEC 27001 , a etapa imediatamente após a conclusão da fase de avaliação de risco consiste na preparação de um Plano de Tratamento de Risco, que deve documentar as decisões sobre como cada um dos riscos identificados deve ser tratado. A mitigação de riscos freqüentemente significa a seleção de controles de segurança , que devem ser documentados em uma Declaração de Aplicabilidade, que identifica quais objetivos de controle e controles específicos do padrão foram selecionados e por quê.

Implementação

A implementação segue todos os métodos planejados para mitigar o efeito dos riscos. Adquira apólices de seguro para os riscos que foi decidido transferir para uma seguradora, evite todos os riscos que podem ser evitados sem sacrificar os objetivos da entidade, reduza outros e retenha o restante.

Revisão e avaliação do plano

Os planos iniciais de gerenciamento de risco nunca serão perfeitos. A prática, a experiência e os resultados reais das perdas exigirão mudanças no plano e contribuirão com informações para permitir que possíveis decisões diferentes sejam tomadas ao lidar com os riscos enfrentados.

Os resultados da análise de risco e os planos de gerenciamento devem ser atualizados periodicamente. Existem duas razões principais para isso:

  1. para avaliar se os controles de segurança previamente selecionados ainda são aplicáveis ​​e eficazes
  2. para avaliar as possíveis mudanças no nível de risco no ambiente de negócios. Por exemplo, os riscos de informação são um bom exemplo de ambiente de negócios em rápida mudança.

Limitações

Priorizar muito os processos de gerenciamento de riscos pode impedir uma organização de concluir um projeto ou mesmo de começar. Isso é especialmente verdadeiro se outro trabalho for suspenso até que o processo de gerenciamento de risco seja considerado concluído.

Também é importante ter em mente a distinção entre risco e incerteza . O risco pode ser medido por impactos × probabilidade.

Se os riscos forem avaliados e priorizados de maneira inadequada, pode-se perder tempo lidando com o risco de perdas que provavelmente não ocorrerão. Deve-se evitar gastar muito tempo avaliando e gerenciando riscos improváveis. Eventos improváveis ​​ocorrem, mas se o risco for improvável o suficiente para ocorrer, pode ser melhor simplesmente reter o risco e lidar com o resultado se a perda de fato ocorrer. A avaliação qualitativa do risco é subjetiva e carece de consistência. A principal justificativa para um processo formal de avaliação de risco é legal e burocrática.

Áreas

Conforme aplicado à contabilidade financeira , o gerenciamento de risco é a técnica para medir, monitorar e controlar o risco financeiro ou operacional no balanço de uma empresa , uma medida tradicional é o valor em risco (VaR), mas também existem outras medidas como lucro em risco ( PaR) ou margem em risco . A estrutura de Basileia II divide os riscos em risco de mercado ( risco de preço), risco de crédito e risco operacional e também especifica métodos para calcular os requisitos de capital para cada um desses componentes.

Em Tecnologia da Informação, o gerenciamento de risco inclui "Tratamento de Incidentes", um plano de ação para lidar com intrusões, roubo cibernético, negação de serviço, incêndio, inundações e outros eventos relacionados à segurança. De acordo com o SANS Institute , é um processo de seis etapas: Preparação, Identificação, Contenção, Erradicação, Recuperação e Lições Aprendidas.

Gestão de risco contratual

O conceito de "gerenciamento de risco contratual" enfatiza o uso de técnicas de gerenciamento de risco na implantação do contrato, ou seja, o gerenciamento dos riscos que são aceitos por meio da assinatura de um contrato. O acadêmico norueguês Petri Keskitalo define "gestão de risco contratual" como "um método de contratação prático, proativo e sistemático que usa planejamento e governança de contrato para gerenciar riscos ligados às atividades de negócios". Em artigo de Samuel Greengard publicado em 2010, são mencionados dois processos judiciais nos Estados Unidos que enfatizam a importância de se ter uma estratégia para lidar com o risco:

  • UDC v. CH2M Hill , que lida com o risco para um consultor profissional que assina uma cláusula de indenização, incluindo a aceitação do dever de defesa , que pode assim arcar com os custos legais de defender um cliente sujeito a uma reclamação de terceiros,
  • Witt v. La Gorce Country Club, que trata da eficácia de uma cláusula de limitação de responsabilidade , que pode, em certas jurisdições, ser considerada ineficaz.

Greengard recomenda usar a linguagem do contrato padrão da indústria tanto quanto possível para reduzir o risco tanto quanto possível e confiar em cláusulas que têm estado em uso e estão sujeitas a interpretação judicial estabelecida ao longo de vários anos.

Instituições de memória (museus, bibliotecas e arquivos)

Empreendimento

Na gestão de riscos corporativos, um risco é definido como um evento ou circunstância possível que pode ter influências negativas sobre a empresa em questão. Seu impacto pode ser na própria existência, nos recursos (humanos e capital), nos produtos e serviços, ou nos clientes da empresa, bem como impactos externos na sociedade, nos mercados ou no meio ambiente. Em uma instituição financeira, o gerenciamento de risco corporativo é normalmente considerado como uma combinação de risco de crédito, risco de taxa de juros ou gerenciamento de ativos passivos , risco de liquidez, risco de mercado e risco operacional.

No caso mais geral, todo risco provável pode ter um plano pré-formulado para lidar com suas possíveis consequências (para garantir a contingência se o risco se tornar um passivo ).

A partir das informações acima e do custo médio por funcionário ao longo do tempo, ou índice de acúmulo de custos , um gerente de projeto pode estimar:

  • o custo associado ao risco se ele surgir, estimado multiplicando-se os custos do funcionário por unidade de tempo pelo tempo perdido estimado ( impacto do custo , C onde C = índice de acréscimo de custo * S ).
  • o provável aumento no tempo associado a um risco ( variação de cronograma devido ao risco , Rs onde Rs = P * S):
    • Classificar com base neste valor coloca os riscos mais altos para o cronograma primeiro. Isso tem como objetivo fazer com que os maiores riscos para o projeto sejam tentados primeiro, de modo que o risco seja minimizado o mais rápido possível.
    • Isso é um pouco enganador, pois as variações de cronograma com um P grande e um S pequeno e vice-versa não são equivalentes. (O risco do RMS Titanic afundar vs. as refeições dos passageiros serem servidas na hora ligeiramente errada).
  • o provável aumento no custo associado a um risco ( variação de custo devido ao risco , Rc onde Rc = P * C = P * CAR * S = P * S * CAR)
    • classificar esse valor coloca os maiores riscos para o orçamento em primeiro lugar.
    • veja as preocupações sobre a variação do cronograma, pois isso é uma função dela, conforme ilustrado na equação acima.

O risco em um projeto ou processo pode ser devido à variação de causa especial ou variação de causa comum e requer tratamento apropriado. Isso é para reiterar a preocupação sobre os casos extremos não serem equivalentes na lista imediatamente acima.

Segurança Empresarial

ESRM é uma abordagem de gerenciamento de programa de segurança que vincula as atividades de segurança à missão e aos objetivos de negócios de uma empresa por meio de métodos de gerenciamento de risco. A função do líder de segurança no ESRM é gerenciar os riscos de danos aos ativos da empresa em parceria com os líderes de negócios cujos ativos estão expostos a esses riscos. ESRM envolve educar os líderes de negócios sobre os impactos realistas dos riscos identificados, apresentando estratégias potenciais para mitigar esses impactos e, em seguida, decretar a opção escolhida pela empresa de acordo com os níveis aceitos de tolerância ao risco do negócio

Aparelho médico

Para dispositivos médicos , o gerenciamento de risco é um processo de identificação, avaliação e mitigação de riscos associados a danos a pessoas e danos a propriedades ou ao meio ambiente. O gerenciamento de riscos é parte integrante do projeto e desenvolvimento de dispositivos médicos, dos processos de produção e da avaliação da experiência de campo, e é aplicável a todos os tipos de dispositivos médicos. A evidência de sua aplicação é exigida pela maioria dos órgãos reguladores, como o FDA dos EUA . O gerenciamento de riscos para dispositivos médicos é descrito pela Organização Internacional de Padronização (ISO) na ISO 14971: 2019 , Dispositivos Médicos - A aplicação de gerenciamento de riscos para dispositivos médicos, um padrão de segurança de produtos. O padrão fornece uma estrutura de processo e requisitos associados para responsabilidades de gerenciamento, análise e avaliação de risco, controles de risco e gerenciamento de risco de ciclo de vida. A orientação sobre a aplicação da norma está disponível via ISO / TR 24971: 2020.

A versão europeia do padrão de gerenciamento de risco foi atualizada em 2009 e novamente em 2012 para se referir à revisão da Diretiva de Dispositivos Médicos (MDD) e da Diretiva de Dispositivos Médicos Implantáveis ​​Ativos (AIMDD) em 2007, bem como a Diretiva de Dispositivos Médicos In Vitro (IVDD ) Os requisitos da EN 14971: 2012 são quase idênticos aos da ISO 14971: 2007. As diferenças incluem três Anexos Z "(informativos)" que se referem ao novo MDD, AIMDD e IVDD. Esses anexos indicam desvios de conteúdo que incluem o requisito de que os riscos sejam reduzidos tanto quanto possível , e o requisito de que os riscos sejam mitigados pelo projeto e não pela rotulagem no dispositivo médico (ou seja, a rotulagem não pode mais ser usada para mitigar o risco).

As técnicas típicas de análise e avaliação de risco adotadas pela indústria de dispositivos médicos incluem análise de risco , análise de árvore de falha (FTA), modo de falha e análise de efeitos (FMEA), estudo de operabilidade e perigo ( HAZOP ) e análise de rastreabilidade de risco para garantir que os controles de risco sejam implementados e eficaz (ou seja, rastrear riscos identificados para requisitos de produto, especificações de projeto, resultados de verificação e validação, etc.). A análise FTA requer software de diagramação. A análise FMEA pode ser feita usando um programa de planilha . Existem também soluções integradas de gerenciamento de risco de dispositivos médicos.

Por meio de um esboço de orientação , o FDA introduziu outro método denominado "Caso de Garantia de Segurança" para análise de garantia de segurança de dispositivos médicos. O caso de garantia de segurança é um argumento estruturado de raciocínio sobre sistemas apropriados para cientistas e engenheiros, apoiado por um corpo de evidências, que fornece um caso convincente, compreensível e válido de que um sistema é seguro para uma determinada aplicação em um determinado ambiente. Com a orientação, um caso de garantia de segurança é esperado para dispositivos críticos de segurança (por exemplo, dispositivos de infusão) como parte da submissão de liberação pré-comercialização, por exemplo, 510 (k). Em 2013, o FDA apresentou outro projeto de orientação, esperando que os fabricantes de dispositivos médicos enviem informações de análise de risco de segurança cibernética.

Gerenciamento de Projetos

A gestão de riscos do projeto deve ser considerada nas diferentes fases de aquisição. No início de um projeto, o avanço dos desenvolvimentos técnicos, ou ameaças apresentadas pelos projetos de um concorrente, podem causar uma avaliação de risco ou ameaça e posterior avaliação de alternativas (ver Análise de Alternativas ). Uma vez que uma decisão é tomada e o projeto iniciado, aplicativos de gerenciamento de projetos mais familiares podem ser usados:

  • Planejar como o risco será gerenciado em um projeto específico. Os planos devem incluir tarefas de gerenciamento de risco, responsabilidades, atividades e orçamento.
  • Designando um diretor de risco - um membro da equipe que não seja um gerente de projeto, que é responsável por prever problemas potenciais do projeto. A característica típica do oficial de risco é um ceticismo saudável.
  • Manter banco de dados de risco de projeto ativo. Cada risco deve ter os seguintes atributos: data de abertura, título, breve descrição, probabilidade e importância. Opcionalmente, um risco pode ter uma pessoa designada responsável por sua resolução e uma data em que o risco deve ser resolvido.
  • Criação de canal de relatório de risco anônimo. Cada membro da equipe deve ter a possibilidade de relatar os riscos que prevê no projeto.
  • Preparar planos de mitigação para os riscos que são escolhidos para serem mitigados. O objetivo do plano de mitigação é descrever como esse risco específico será tratado - o quê, quando, por quem e como isso será feito para evitá-lo ou minimizar as consequências caso se torne um passivo.
  • Resumindo os riscos planejados e enfrentados, a eficácia das atividades de mitigação e o esforço despendido para a gestão de riscos.

Megaprojetos (infraestrutura)

Megaprojetos (às vezes também chamados de "programas principais") são projetos de investimento em grande escala, normalmente custando mais de US $ 1 bilhão por projeto. Megaprojetos incluem grandes pontes, túneis, rodovias, ferrovias, aeroportos, portos, usinas de energia, barragens, projetos de águas residuais, esquemas de proteção contra inundações costeiras, projetos de extração de petróleo e gás natural, edifícios públicos, sistemas de tecnologia da informação, projetos aeroespaciais e sistemas de defesa. Demonstrou-se que os megaprojetos são particularmente arriscados em termos de finanças, segurança e impactos sociais e ambientais. A gestão de risco é, portanto, particularmente pertinente para megaprojetos e métodos especiais e educação especial foram desenvolvidos para essa gestão de risco.

Desastres naturais

É importante avaliar o risco em relação a desastres naturais como inundações , terremotos e assim por diante. Os resultados da avaliação de risco de desastres naturais são valiosos quando se considera os custos futuros de reparo, perdas por interrupção de negócios e outros tempos de inatividade, efeitos no meio ambiente, custos de seguro e os custos propostos para reduzir o risco. A Estrutura de Sendai para Redução do Risco de Desastres é um acordo internacional de 2015 que estabeleceu metas e objetivos para a redução do risco de desastres em resposta a desastres naturais. Existem conferências internacionais regulares de desastres e riscos em Davos para tratar da gestão integral dos riscos.

Várias ferramentas podem ser usadas para avaliar o risco e a gestão de risco de desastres naturais e outros eventos climáticos, incluindo modelagem geoespacial, um componente-chave da ciência da mudança do solo . Essa modelagem requer uma compreensão da distribuição geográfica das pessoas, bem como a capacidade de calcular a probabilidade de ocorrência de um desastre natural.

Região selvagem

A gestão de riscos para pessoas e propriedades em áreas selvagens e naturais remotas desenvolveu-se com o aumento da participação em recreação ao ar livre e diminuição da tolerância social para perdas. As organizações que oferecem experiências comerciais em áreas selvagens agora podem se alinhar aos padrões consensuais nacionais e internacionais para treinamento e equipamentos, como ANSI / NASBLA 101-2017 (passeios de barco), UIAA 152 (ferramentas de escalada no gelo) e Norma Europeia 13089: 2015 + A1: 2015 (montanhismo equipamento). A Association for Experiential Education oferece acreditação para programas de aventura na selva. A Wilderness Risk Management Conference fornece acesso às melhores práticas, e organizações especializadas fornecem consultoria e treinamento em gerenciamento de risco em áreas silvestres.

Em seu livro, Outdoor Leadership and Education , alpinista, educador de atividades ao ar livre e autor Ari Schneider , observa que recreação ao ar livre é inerentemente arriscada e não há maneira de eliminar completamente o risco. No entanto, ele explica como isso pode ser bom para programas de educação ao ar livre. De acordo com Schneider, a aventura ideal é alcançada quando o risco real é gerenciado e o risco percebido é mantido, a fim de manter baixo o perigo real e alto o senso de aventura.

O texto Outdoor Safety - Risk Management for Outdoor Leaders, publicado pelo New Zealand Mountain Safety Council, fornece uma visão da gestão de risco em áreas selvagens da perspectiva da Nova Zelândia, reconhecendo o valor da legislação nacional de segurança ao ar livre e dedicando atenção considerável às funções de julgamento e processos de tomada de decisão no gerenciamento de risco em áreas silvestres.

Um modelo popular para avaliação de risco é o modelo de avaliação de risco e gerenciamento de segurança (RASM) desenvolvido por Rick Curtis, autor do The Backpacker's Field Manual. A fórmula do modelo RASM é: Risco = Probabilidade de acidente × Gravidade das consequências. O modelo RASM pesa o risco negativo - o potencial de perda, contra o risco positivo - o potencial de crescimento.

Tecnologia da Informação

O risco de TI é um risco relacionado à tecnologia da informação. Este é um termo relativamente novo devido a uma consciência crescente de que a segurança da informação é simplesmente uma faceta de uma infinidade de riscos que são relevantes para a TI e os processos do mundo real que ela suporta. "A cibersegurança está intimamente ligada ao avanço da tecnologia. Ela demora apenas o suficiente para que incentivos como os mercados negros evoluam e novos exploits sejam descobertos. Não há fim à vista para o avanço da tecnologia, então podemos esperar o mesmo da segurança cibernética . "

ISACA de Risco de TI quadro laços riscos de TI para gerenciamento de risco corporativo .

A Análise de Risco do Dever de Cuidado (DoCRA) avalia os riscos e suas salvaguardas e considera os interesses de todas as partes potencialmente afetadas por esses riscos.

Petróleo e gás natural

Para a indústria offshore de petróleo e gás, a gestão do risco operacional é regulamentada pelo regime de casos de segurança em muitos países. As ferramentas e técnicas de identificação de perigos e avaliação de risco são descritas na norma internacional ISO 17776: 2000, e organizações como a IADC ( Associação Internacional de Empreiteiros de Perfuração ) publicam diretrizes para o desenvolvimento de Caso de Saúde, Segurança e Meio Ambiente (HSE) que são baseadas no Padrão ISO. Além disso, representações diagramáticas de eventos perigosos são freqüentemente esperadas por reguladores governamentais como parte do gerenciamento de risco em submissões de casos de segurança; eles são conhecidos como diagramas de gravata borboleta (consulte Teoria de rede na avaliação de risco ). A técnica também é usada por organizações e reguladores nas áreas de mineração, aviação, saúde, defesa, indústria e finanças.

Setor Farmacêutico

Os princípios e ferramentas para a gestão de risco de qualidade estão cada vez mais sendo aplicados a diferentes aspectos dos sistemas de qualidade farmacêutica. Esses aspectos incluem os processos de desenvolvimento, fabricação, distribuição, inspeção e submissão / revisão ao longo do ciclo de vida de substâncias medicamentosas, medicamentos, produtos biológicos e biotecnológicos (incluindo o uso de matérias-primas, solventes, excipientes, materiais de embalagem e rotulagem em medicamentos, produtos biológicos e biotecnológicos). A gestão de riscos também se aplica à avaliação da contaminação microbiológica em relação a produtos farmacêuticos e ambientes de fabricação de salas limpas.

Comunicação de risco

A comunicação de risco é um campo acadêmico interdisciplinar complexo relacionado aos valores centrais dos públicos-alvo. Os problemas para comunicadores de risco envolvem como alcançar o público-alvo, como tornar o risco compreensível e relacionável a outros riscos, como respeitar adequadamente os valores do público relacionados ao risco, como prever a resposta do público à comunicação, etc. Um objetivo principal da comunicação de risco é melhorar a tomada de decisão coletiva e individual. A comunicação de risco está, de certa forma, relacionada à comunicação de crise , mas há distinções claras. A comunicação de risco lida com os possíveis riscos e visa aumentar a conscientização sobre esses riscos para encorajar ou persuadir mudanças no comportamento para aliviar ameaças a longo prazo. Por outro lado, a comunicação de crise visa aumentar a conscientização sobre um tipo específico de ameaça, a magnitude, os resultados e os comportamentos específicos a serem adotados para reduzir a ameaça. Alguns especialistas concordam que o risco não está apenas enraizado no processo de comunicação, mas também não pode ser dissociado do uso da linguagem. Embora cada cultura desenvolva seus próprios medos e riscos, essas interpretações se aplicam apenas à cultura anfitriã.

A comunicação de risco e envolvimento da comunidade (RCCE) é um método que se baseia fortemente em voluntários, pessoal da linha de frente e pessoas sem treinamento prévio nesta área.

Veja também

Referências

links externos