Publicado em 25 de março de 2019 – 2 min., ler
Um plano de gestão de riscos é um documento escrito que detalha o processo de gestão de riscos da organização. Esse processo começa com a criação de uma equipe de partes interessadas em toda a organização para analisar os riscos potenciais para a organização. Essa equipe de partes interessadas deve incluir a gerência sênior, o responsável pela conformidade e quaisquer gerentes de departamento. Se a organização está desenvolvendo software, então um gerente de projeto de cada equipe de projeto também deve ser incluído para revisar o gerenciamento do projeto e responder aos riscos do projeto.
Após a criação, a equipe pode começar a trabalhar no processo de gerenciamento de riscos.
Estabelecer objetivos
Primeiro, os membros da equipe precisam rever os objetivos do negócio, tais como desenvolvimento de produtos ou parcerias de negócios com terceiros. Ao começar com os objetivos do negócio, o processo de Gerenciamento de Riscos se alinha às metas atuais e também às metas futuras.
Identificação do risco
O segundo passo na criação de um plano de gerenciamento de risco consiste na revisão de ativos digitais como sistemas, redes, software, dispositivos, fornecedores e dados. A catalogação desses ativos permite que os membros da equipe identifiquem os riscos aos ativos. Um risco, ou evento incerto, pode ser uma condição positiva ou negativa que tenha um impacto financeiro, operacional ou de reputação.
Avaliação de risco
Após identificar os riscos, a equipe de gerenciamento de risco precisa avaliar o risco. Riscos positivos, como a entrega antecipada de produtos, também podem levar a riscos negativos, como a incapacidade de um cliente de cumprir um cronograma de pagamento. A organização precisa prever os riscos para encontrar uma forma de analisar seu potencial impacto.
Análise de risco
Para cada risco identificado e avaliado, a equipe deve analisar a probabilidade de que o evento ocorra e, em seguida, estimar os impactos para o negócio caso ele ocorra. A multiplicação da probabilidade pelo impacto estimado pode dar uma visão do efeito de um risco. Um risco com uma probabilidade baixa leva a um impacto financeiro devastador. Entretanto, um risco com uma probabilidade elevada pode não ter impacto. Parte da análise quantitativa ou qualitativa é a criação da matriz de avaliação do risco. Isso permite que a equipe de gestão de risco utilize a análise de risco e atribua classificações tais como alta, média ou baixa.
Tolerância ao risco
Após atribuir classificações de risco, a equipe trabalha para determinar se vai aceitar, transferir, mitigar ou recusar um risco. A equipe pode decidir aceitar um risco baixo, um evento potencial que não é provável que ocorra e teria pouco impacto se isso ocorresse. No entanto, pode também recusar um risco elevado, um evento potencial que é altamente provável que ocorra e que teria um grande impacto.
Mitigação de risco
Para riscos aceitos, a equipe deve criar um conjunto de estratégias de mitigação de risco. Para cada risco que uma organização aceita ou transfere, ela precisa definir respostas para as questões que podem ocorrer. Em segurança da informação, isso significa definir controles para proteger os dados contra cibercriminosos. Assim, as estratégias de mitigação de risco atuam como um plano de contingência caso o evento ocorra para ajudar a limitar o impacto definido.
Plano de gerenciamento de risco
O plano de gerenciamento de risco é um documento que contém todas as considerações de avaliação, análise, tolerância e mitigação de risco.