GESTÃO DE RISCOS

 

De acordo com o Manual de Gestão de Riscos do TJPR (em trâmite no SEI!TJPR 0021241-22.2021.8.16.6000, elaborado pelo Núcleo de Governança, Riscos e Compliance), a Gestão de Riscos não é somente uma estratégica para a instituição, mas um alinhamento às diretrizes estabelecidas nos atos normativos do CNJ, e de forma primordial, ao Órgão Especial deste Tribunal, consoante à Resolução TJPR-OE n.º 272 em 14/09/2020, que dispõe sobre a Política de Gestão de Riscos do Poder Judiciário do Estado do Paraná.

Inicialmente é importante considerar que um RISCO é um evento ou condição incerta e futura que, se ocorrer, terá uma influência Positiva ou Negativa na realização das ações previstas no PDTIC e, por conseguinte, no alcance das metas estipuladas. Outra definição, segundo a ABNT NBR ISO/IEC 38.500:2009, é a combinação da probabilidade de um evento e suas consequências.

Os Riscos Positivos são chamados de OPORTUNIDADES.

Os Riscos Negativos são chamados de AMEAÇAS.

Um risco pode ter uma ou várias causas e pode ter impacto em uma ou mais ações.

 

Conceitos relacionados à Gestão de Riscos:

► Apetite a Risco: nível de risco que a instituição está disposta a aceitar para atingir os objetivos identificados no contexto analisado;

► Atividade: agrupamento de tarefas (rotinas) complementares, caracterizada pelo consumo de recursos e orientada para um objetivo definido;

► Causa de Risco: razão que pode promover a ocorrência do risco;

► Controle: ações estabelecidas por meio de políticas e procedimentos que ajudem a garantir o cumprimento das diretrizes determinadas pela administração para dar resposta adequada ao risco;

► Evento: incidente ou ocorrência originada a partir de fontes internas ou externas que afetem a implementação da estratégia ou a realização dos objetivos;

► Fonte de Risco: elemento que, individualmente ou combinado, tem potencial para dar origem a um risco específico, podendo ou não estar sob controle;

► Gerenciamento de Risco: adoção de um conjunto de técnicas e metodologias que ajudem a identificar, analisar e gerir os riscos de maneira efetiva;

► Gestão de Riscos: processo contínuo aplicado a toda a instituição que consiste no desenvolvimento de um conjunto de ações destinadas a identificar, analisar, avaliar, tratar e monitorar eventos em potencial, contribuindo para a sua redução ou neutralização;

► Gestor de Risco: pessoa ou estrutura organizacional responsável por processo de trabalho, atividade, tarefa ou projeto institucional;

► Gestor do Processo de Trabalho: pessoa responsável pelo processo, por sua operação, gerenciamento, desempenho e melhoria contínua, interagindo com todas as áreas da instituição que dele participam;

► Impacto: efeito resultante da ocorrência do evento;

► Incerteza: é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade de ocorrência no atingimento de objetivos e/ou resultados;

► Macroprocesso: consiste em um agrupamento lógico de processos de trabalho, cujos produtos (entregas) guardam afinidade de matéria, clientes ou de produção;

► Matriz de Riscos: representação formal na qual são registrados os riscos identificados, considerando as probabilidades e os impactos, de forma a permitir a definição das ações necessárias ao seu gerenciamento;

► Nível de Risco: representação numérica da magnitude do risco, que é expressa pelo produto das variáveis "impacto" e "probabilidade";

► Objeto de Gestão de Riscos: qualquer processo de trabalho, atividade, projeto, iniciativa ou recurso, de plano institucional ou de suporte, para a realização dos objetivos e metas da instituição;

► Objetivos: finalidade para qual o negócio, processo ou projeto foi criado, sendo uma declaração do que se pretende alcançar;

► Pessoa-chave: indivíduo que está de alguma forma envolvido com as atividades e com os resultados do processo, podendo afetar positivamente ou negativamente o resultado de uma atividade ou projeto;

► Plano de Contingência: documento que apresenta detalhadamente os procedimentos e recursos a serem utilizados em caso de ocorrência de eventos que possam afetar a segurança de pessoas, do patrimônio ou de sistemas de informação bem como outros que possam interromper a continuidade da prestação de serviços jurisdicionais;

► Plano de Tratamento de Riscos-Chave: documento que apresenta o processo de seleção e implementação das medidas necessárias para modificar um risco-chave, especificando os controles a serem implantados ou aprimorados, prazos e recursos necessários;

► Probabilidade: possibilidade de ocorrência do evento;

► Processo de Trabalho: conjunto de atividades relacionadas e sequenciais que recebe entradas, agrega valor e produz saídas;

► Proprietário do Risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;

► Resposta a risco: qualquer ação adotada para lidar com risco, podendo consistir em:

a. aceitar o risco por uma escolha consciente;

b. transferir ou compartilhar o risco a outra parte;

c. evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; ou

d. mitigar/reduzir o nível de risco, diminuindo sua probabilidade de ocorrência ou minimizando seus impactos e suas consequências.

► Risco: evento capaz de afetar positiva ou negativamente os objetivos e as metas do Poder Judiciário do Estado do Paraná;

► Risco-Chave: risco com elevado impacto nos objetivos da instituição;

► Risco Inerente: é aquele ao qual a instituição está exposta, considerando os controles existentes, mas quando não são estabelecidos nem adotados tratamentos para alterar a probabilidade ou o impacto dos eventos;

► Risco Residual: risco remanescente após estabelecimento e adoção de tratamento;

► Tarefa: meio pelo qual se materializa cada atividade, subdividida em passos ou operações, indispensável à obtenção de produto ou prestação de serviço;

► Tolerância a Risco: grau de quantidade e nível de risco a que o DTIC ou Tribunal está disposto a se expor dentro de padrões considerados institucionalmente razoáveis;

► Vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado.

Dentro do contexto de conceitos relacionados à Gestão de Riscos é importante ressaltar a diferenteça entre Riscos e Problemas:

  • Riscos podem vir a acontecer no futuro, já que ainda não ocorreram, eles podem se transformar em um problema, caso ocorram;
  • Já os Problemas ocorrem no presente, requerem uma solução imediata.

 

Categorias

Com vistas a facilitar o gerenciamento, os riscos foram identificados e agrupados em categorias. Seguem algumas sugestões de categorias:

  • Estratégicos

    Estão associados à tomada de decisão que pode afetar negativamente o alcance dos objetivos da organização.

  • Ope​racionais

    Riscos que afetam o desempenho e a qualidade das atividades operacionais de TI. Os riscos devem ser mitigados, transferidos, eliminados ou explorados, pois não poderão ser aceitos.

  • De Reputação ou Imagem

    Riscos que podem afetar a imagem do DTIC ou da organização. Os riscos devem ser mitigados, transferidos, eliminados ou explorados, pois não poderão ser aceitos.

  • Financeiros

    Podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.

  • De Conformidade

    Estão associados ao não cumprimento de princípios constitucionais, legislações específicas ou regulamentações externas aplicáveis ao negócio, bem como de normas e procedimentos internos. 

  • De Tecnologia

    Riscos relacionados a problemas técnicos em hardware, software ou outra solução de informática (apontamento genérico).

  • De Infraestrutura de TI

    Riscos relacionados a problemas técnicos em hardware, software, ou demais equipamentos de TI (exige conhecimento técnico para definir esta categoria).

  • De Software

    Riscos relacionados a problemas técnicos em um software específico (exige conhecimento técnico para definir esta categoria).

  • De Escopo

    Riscos relacionados ao assunto escopo de um projeto, exemplo: indefinições, alterações constantes, sem validação.

  • Relacionados ao Cliente / Usuário

    Riscos relacionados a clientes ou usuários de algum projeto, por exemplo: indefinição, representante ausente, sem comprometimento.

 

Gerenciamento de RISCOS

Os RISCOS são GERENCIÁVEIS, isto é, podem ser previamente identificados, analisados, monitorados e controlados. Eles também podem ser mitigados (ter reduzida a sua chance de acontecer) e evitados. E para minimizar o impacto de suas consequências, podem ser planejadas respostas à sua ocorrência. Além disso, as consequências do risco podem ser transferidas para outrem.

Pelo exposto, gerenciar riscos envolve maximizar a probabilidade de ocorrência dos eventos positivos e minimizar a probabilidade de ocorrência dos eventos negativos (ameaças). Também envolve planejar respostas para minimizar o impacto da ocorrência dos riscos negativos.

De uma maneira simplificada, o GERENCIAMENTO DE RISCOS é um processo sistemático de Estabelecimento do contexto, Identificação dos riscos, Análise dos riscos, Avaliação dos riscos, Tratamento dos Riscos - Planejamento de Respostas (ação), Comunicação e  Monitoramento para reduzir o risco a um nível aceitável. Segue o detalhamento dos processos:

 

A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo conduzido em uma organização pelo Conselho de Administração (CA), diretoria e demais colaboradores, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. 

Alguns frameworks que estudam RISCOS em TI:  PMBOK, COBIT e  ISO/IEC 27005:2011- Gestão de riscos de segurança da informação.

 

 

Etapas

O processo de Gestão de Riscos tem as seguintes principais etapas:

 

 

  1. Estabelecimento do Contexto

    Consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos está inserido e em identificar parâmetros e critérios a serem considerados no processo de gerenciamento de riscos.

     

  2. Identificação de Riscos

    Este processo consiste em levantar os prováveis riscos que podem afetar o negócio, a execução de projetos de TIC, e documentar suas características.

     

  3. Análise (Qualitativa e Quantitativa) de Riscos

    análise qualitativa de riscos é o processo de avaliar a probabilidade de ocorrência e o impacto causado pelos riscos identificados. A análise qualitativa baseia-se no julgamento, na intuição e na experiência em estimar probabilidades de ocorrência de potenciais riscos e medir a intensidade de perdas e ganhos potenciais.

    análise quantitativa, quando tangível, utiliza intervalos numéricos para expressar a medida de avaliação. Exemplo, valores de perda da receita, o custo da reparação de um sistema, ou o nível de esforço necessário para corrigir problemas causados por um ataque.

    Nesta fase, todos os eventos de riscos identificados devem ser analisados, levando-se em conta a probabilidade e o impacto de sua ocorrência, considerando a existência de controles e a sua eficácia, conforme os passos a seguir:

    a. analisar o impacto do evento de risco, levando em consideração a capacidade de comprometimento do objetivo;

    b. analisar a probabilidade de ocorrência do evento de risco;

    c. determinar o nível do risco de acordo com a matriz probabilidade x impacto.

    Tratando-se da Gestão de Riscos, a probabilidade e o impacto são variáveis independentes. Geralmente, usa-se uma escala entre três a cinco pontos para parametrizar as estimativas dos eventos (ameaças ou oportunidades).

    Aconselha-se a utilização de uma escala não linear, a fim de dar maior peso a eventos com alta probabilidade, em detrimento de eventos com baixa probabilidade. Nesse sentido, a Escada de Probabilidade de riscos ficou assim definida:

     

    Escala de PROBABILIDADE de riscos
    Risco Muito Baixa Baixa Média Alta Muito Alta
    Peso 1 2 3 4 5

    TABELA 1: Sugestão de escala de Probabilidade de ocorrência de determinado evento / risco (estimativa).

     

    A concretização de um determinado evento produz impacto que no âmbito do gerenciamento de riscos no DTIC foram classificados qualitativamente em cinco (05) níveis, conforme demonstra a Escada de Impacto negativo do risco:

    Escala de IMPACTO negativo do risco
    Sobre o objetivo do projeto Muito baixa (1) Insignificante Baixa (2) Pequeno Média (3) Moderado Alta (4) Significativo Muito Alta (5) Catastrófico
    Sobre os custos Aumento de até 5% Aumento de 5,01% até 10% Aumento de 10,01% até 15% Aumento de 15,01% até 20% Aumento acima de 20,01%
    Sobre o cronograma Atraso de até 5% Atraso de 5,01% até 10% Atraso de 10,01% até 20% Atraso de 20,01% até 30% Atraso acima de 30,01%
    Sobre o escopo Redução imperceptível Partes pouco importantes afetadas Sistemas críticos afetados Produto final não serve para o cliente Produto final não serve para o cliente
    Sobre a qualidade Degradação imperceptível Degradação de itens não prioritários Degradação de qualidade significativa Produto final sem uso Produto final sem uso

    TABELA 2: Sugestão de níveis de IMPACTO de determinado evento / risco.

  4. Avaliação de Riscos

               A avaliação é realizada com base nos seguintes itens:

    Considerando os níveis de Probabilidade e de Impacto expostos das duas tabelas acima, em seguida utiliza-se a Fórmula de cálculo do Nível do Risco ou da Criticidade do Risco. Para isso, deve-se multiplicaros valores atribuídos para a PROBABILIDADE pelo valor do IMPACTO, ou seja:

    Criticidade do Risco = Probabilidade X Impacto

    PROBABILIDADE NÍVEL DO RISCO ou CRITICIDADE (ameaças)
    Muito Alta ( 5 ) 5 10 15 20 25
    Alta ( 4 ) 4 8 12 16 20
    Média ( 3 ) 3 6 9 12 15
    Baixa ( 2 ) 2 4 6 8 10
    Muito Baixa ( 1 ) 1 2 3 4 5
    IMPACTO => Muito baixo ( 1 ) Baixo ( 2 ) Médio ( 3 ) Alto ( 4 ) Muito alto ( 5 )

    TABELA 3: Matriz do Nível do Risco ou Criticidade, com o produto da Probabilidade pelo Impacto

    Legenda adotada: Extremo, Alto, Médio e Baixo, respectivamente com as cores Vermelho, Laranja, Amarelo e Verde.

    Interessante destacar que esses parâmetros são produto de convenção, ou seja, trata-se de proposição para o DTIC do TJPR. Segundo  estudos acerca do tema de Gerenciamento de Riscos, neste aspecto não há certo e errado. A cada organização, cabe a convenção de parâmetros que se adequem às suas necessidades.

               Na sequência, para cada risco identificado é adotada uma estratégia de tratamento e resposta a ele.

    • Probabilidade de ocorrência do evento (estimativa);
    • Gravidade do impacto ou efeitos ou consequências do impacto (também estimada);
    • Nível do risco ou Criticidade, é a magnitude do risco que é expressa pelo produto das variáveis probabilidade X impacto).

     

  5. Planejamento de Respostas aos Riscos

    No planejamento de respostas aos riscos, são definidas estratégias de respostas aos riscos, ou seja execução de um plano ou conjunto de medidas adequadas de redução do risco, com base no processo de avaliação:

    De acordo com a criticidade é sugerido escolher uma estratégia de ação:

    Criticidade Baixo Médio Alto Extremo
    1 a 2 3 a 10 12 a 16 20 a 25
    Resposta ao Risco Aceitar Passivamente Aceitar Ativamente Mitigar / Reduzir Prevenir/Evitar ou Transferir/Compartilhar

    TABELA 4: Estratégia de Ação sugerida para a resposta aos Riscos

     

    Nível da Probabilidade Nível do Impacto Criticidade do Risco Sugestão de Resposta ao Risco
    Muito Alta (5) Catastrófico (5) Extremo (25) Prevenir / Evitar ou Transferir / Compartilhar
    Muito Alta (5) Significativo (4) Extremo (20) Prevenir / Evitar ou Transferir / Compartilhar
    Muito Alta (5) Moderado (3) Alto (15) Mitigar / Reduzir
    Muito Alta (5) Pequeno (2) Médio (10) Aceitar Ativamente
    Muito Alta (5) Insignificante(1) Médio (5) Aceitar Ativamente
    Alta (4) Catastrófico (5) Extremo (20) Prevenir/Evitar ou Transferir/Compartilhar
    Alta (4) Significativo (4) Alto (16) Mitigar / Reduzir
    Alta (4) Moderado (3) Alto (12) Mitigar / Reduzir
    Alta (4) Pequeno (2) Médio (8) Aceitar Ativamente
    Alta (4) Insignificante (1) Médio (4) Aceitar Passivamente
    Média (3) Catastrófico (5) Alto (15) Mitigar / Reduzir
    Média (3) Significativo (4) Alto (12) Mitigar / Reduzir
    Média (3) Moderado (3) Médio (9) Aceitar Ativamente
    Média (3) Pequeno (2) Médio (6) Aceitar Ativamente
    Média (3) Insignificante (1) Médio (3) Aceitar Ativamente
    Baixa (2) Catastrófico (5) Médio (10) Aceitar Ativamente
    Baixa (2) Significativo (4) Médio (8) Aceitar Ativamente
    Baixa (2) Moderado (3) Médio (6) Aceitar Ativamente
    Baixa (2) Pequeno (2) Médio (4) Aceitar Ativamente
    Baixa (2) Insignificante (1) Baixo (2) Aceitar Passivamente
    Muito baixa (1) Catastrófico (5) Médio (5) Aceitar Ativamente
    Muito baixa (1) Significativo (4) Médio (4) Aceitar Ativamente
    Muito baixa (1) Moderado (3) Médio (3) Aceitar Ativamente
    Muito baixa (1) Pequeno(2) Baixo (2) Aceitar Passivamente
    Muito baixa (1) Insignificante (1) Baixo (1) Aceitar Passivamente

    TABELA 5: Matriz completa de Criticidade com sugestão de Resposta aos Riscos

               Na sequência são detalhados os diferentes tipos de respostas que podem ser dadas, de acordo com os níveis de criticidade em que cada risco pode ser classificado:

     

    • Prevenir / Evitar: quando o risco é elevado em termos de impacto e probabilidade, simplesmente não pode ser aceito. Deve-se planejar uma forma de eliminá-lo completamente; mudar o plano do projeto, não iniciar ou descontinuar a atividade que dá origem ao risco. Exemplo: adotar uma abordagem tradicional em vez de uma inovadora; excluir do escopo a área sujeita a risco. Nesse caso, o plano do projeto será necessariamente alterado. Se não for possível alterar o plano do projeto, a opção será a transferência do risco.
    • Transferir / Compartilhar: se o risco é inaceitável, porém não há como alterar o planejamento do projeto, procura-se transferir o impacto negativo e a responsabilidade da resposta terceirizando as etapas do trabalho afetadas pelo risco. Indicado repassar as consequências do risco bem como a responsabilidade de resposta para quem está mais bem-preparado para enfrentá-lo. Exemplo: contratos com fornecedor contendo cláusulas específicas para tratamento dos riscos.
    • Mitigar (suavizar) / Reduzir: desenvolver ações visando minimizar a probabilidade da ocorrência ou de seu impacto, com o objetivo de deixar o risco dentro do limite aceitável. Exemplo: projetar uma redundância; qualificação de recursos humanos.
    • Aceitar: indicada nas situações em que a criticidade do risco é Média , Pequena ou Insignificante; ou na ocorrência de riscos externos em que não seja possível implementar uma ação específica. Dentro desse tipo de resposta à riscos, existe a seguinte derivação:
      • Aceitar passivamente o risco: simplesmente não fazer nada e torcer para que o risco não venha a acontecer; ou prever que o risco exigirá resposta, mas não será preciso reservar recursos adicionais
      • Aceitar ativamente o risco: desenvolver planos alternativos (Contingência) caso venha a ocorrer. Neste caso será necessário alocação de valores monetários.

       

  6. Comunicação

    A comunicação do risco preconiza o compartilhamento contínuo das informações referentes aos riscos entre as partes interessadas durante todo o processo de gestão de risco.

     

  7. Monitoramento e Controle de Riscos

    Após tomadas as devidas ações referentes aos riscos prioritários, é necessário assegurar sua permanência, evolução se possível, no tempo. Algumas das técnicas úteis nessa fase são:

    • Sistemas de relatórios internos e externos (disclosure);
    • Auditorias internas;
    • Estabelecimento de técnicas de medição (ex. V@R, simulações de Monte Carlo etc.);
    • Balanced Scorecard adaptado.

Atualizado em 24/06/2021