Avaliações de risco. Você está considerando a probabilidade de perda de tempo?

Quarta, 26 Fevereiro 2020 17:05 Administrador
Print

Será que você deve considerar a probabilidade ao conduzir uma avaliação de risco como parte do processo de continuidade dos negócios. Você precisa saber quão provável é que uma ameaça se torne uma realidade? ou o conhecimento do impacto da ameaça é suficiente?

A GCN sempre teve um relacionamento levemente desconfortável com o gerenciamento de riscos.  Hoje em dia, a avaliação de risco está amadurecendo e parece estar em toda parte.  Você precisa de uma avaliação de risco para subir uma escada e para administrar uma grande organização multinacional. 

Durante o fórum do BCI em fevereiro, Tony Thornton em sua palestra sobre avaliação de risco, disse não haver sentido em avaliar a probabilidade quando você está fazendo uma avaliação de risco para a continuidade dos negócios.  Ele disse que ter uma escala de 3x3 ou mesmo 5x5 não faz sentido.  O ponto a ser considerado é que se há uma possibilidade de que algo pode acontecer, isso seria o suficiente, não importando o nível de probabilidade.  Segundo ele o foco deve ficar no impacto: alto, médio ou baixo. 

Concordo que olhar para a probabilidade na continuidade dos negócios é difícil já que é difícil de calcular, sem observar uma enorme quantidade de dados e fazer um cálculo atuarial.  Mesmo se você puder fazer esse tipo de cálculo, isso avaliaria a chance de um edifício queimar por causa de um incêndio, em vez de seu prédio em particular.  Seu prédio pode ser de última geração, novo e com muitos recursos para evitar incêndios, ou pode ser velho e frágil, com um alto risco de um incêndio acontecer.  A probabilidade de que esses dois prédios sejam incendiados é significativamente diferente, se nenhum deles tiver tido um incêndio até o momento. 

Então, devemos dizer se existe a possibilidade de um incidente ocorrer e considerar as medidas de tratamento do risco, e não gastar mais tempo avaliando a probabilidade de isso acontecer.
Acredito que é necessário saber se o incidente pode acontecer, mas é só isso que precisamos saber?  Outras vezes acho que precisaremos utilizar uma matriz 3x3 e algumas escalas de probabilidade diferentes. 
Uma coisa que ainda é necessário considerar é a questão da regulamentação.  Se você está trabalhando em uma indústria altamente regulada, talvez você precise utilizar uma matriz 3x3 mais convencional, pois um auditor pode comentar sobre ter apenas uma escala de probabilidade.  Você não encontrará muitas matrizes 3x1 em manuais de gerenciamento de risco.  Mas se você tem mais liberdade para decidir sobre sua própria maneira de fazer a gestão de riscos, mantenha as coisas simples e considere a probabilidade de que o incidente possa acontecer. 

Se você está indo para uma matriz 3x3 eu consideraria algo como isto:
•  Baixo - existe a possibilidade de isso acontecer.
•  Médio - é provável que aconteça.
•  Alta - é muito provável que aconteça. 

Em termos de impacto, gosto de usar a seguinte escala.  É um pouco diferente da norma, mas acho que nos permite focar nos principais ativos ou atividades da organização:
• Baixo - pequeno impacto na atividade ou no ativo.
• Médio - interromperá a atividade ou o ativo a longo prazo, mas não no curto prazo.
• Alto - interrompe imediatamente a atividade ou o ativo e eles não serão retomados até serem restaurados. 

Com essas duas escalas, você obterá alguma granularidade em seus riscos e, em seguida, poderá começar a observar as áreas onde probabilidade e impacto são altos.
Suponho que, no final, meu conselho é para você não seguir a multidão e fazer uma avaliação de risco sem sentido.  Pense no que você quer e escolha uma metodologia que lhe ofereça algo útil, para que você possa ir em frente e escolher uma solução apropriada para combater o risco. 

Tradução livre do artigo de Charlie Maclean-Bristol, FEPS, FBCI, diretor de treinamento da PlanB Consulting .
Fonte: www.continuitycentral.com