PROCESSO DE AVALIAÇÃO DE RISCOS (5.

4)

IDENTIFICAÇÃO DE RISCOS ( 5.4.2) - RISK IDENTIFICATION

ANÁLISE DE RISCOS (5.4.3) - RISK ANALYSIS

AVALIAÇÃO DE RISCOS ( 5.4.4) - RISK EVALUATION

TRATAMENTO DE RISCOS ( 5.5) - RISK TREATMENT

 MATRIZ DE CRITÉR

Consequências

Nível Descrição Exemplos detalhados

Sem ferimentos -- perdas financeiras inferiores a R$ 1.000,00 --

1 Insignificante não provoca impacto ambiental

Tratamentos de primeiros socorros, que pode ser contido

imediatamente no local do acontecimento, -- perdas financeiras
entre R$ 1.001,00 e R$ 10.000,00 -- impacto ambiental baixo e
reversível ao meio ambiente, apenas dentro da propriedade da
2 Menor empresa, não percebido pela sociedade

Tratamento médico requerido, que pode ser contido

imediatamente no local do acontecimento, mas com assistência
externa -- perdas financeiras entre R$ 10.001,00 e R$ 100.000,00
-- impacto ambiental severo, às vezes irreversível, percebido pela
3 Moderado sociedade local

Lesões extensas, perda de capacidade de produção, os danos

saem do espaço restrito a empresa atingindo o ambiente externo
-- elavadas perdas financeiras superiores a R$ 100.001,00 --
impactos ambientais severos e irreversíveis ao meio ambiente
4 Maior percebido pela sociedade internacional

Probabilidade
Nível Descrição Exemplos detalhados
A Quase certo Espera-se que aconteça em muitas vezes
B Provável Provavelmente acontecerá em muitas vezes
C Possível Pode ocorrer a qualquer momento
D Improvável Dificilmente acontecerá
MATRIZ DE CRITÉRIO DE RISCOS

Consequências

Insignificante Menor Moderado

Probabilidade 1 2 3

A ( Quase certo) H H E

B ( Provável) M H H

C (Possível) L M H

D ( Improvável) L L M

E risco extremo - ação devem ser implementadas imediatamente

H risco elevado - é necessária atenção pela gerência sênior
M risco moderado - responsabilidade pela gestão do risco deve ser especifica
L risco baixo - gerenciamento por procedimentos de rotina
 Maior

as imediatamente
ência sênior
o do risco deve ser especificada
os de rotina
Análise de Riscos - Risk Assessment
( os exemplos preenchidos servem apenas como sugestão para o desenvolvimento do raciocício)
Identificação dos Riscos (5.4.2)

Perfil do Risco Descrição do evento Descrição detalhada Risco/Oportunidade Proprietário do Risco

A interrupção do fornecimento de
Risco Operacional Queda de Luz energia elétrica poderá deixar o serviço Consequência negativa Diretoria administrativa
de atendimento ao cliente inoperante.

A interrupção do serviço de internet

Queda no Serviço de poderá deixar o serviço de atendimento
Risco Operacional Consequência negativa Diretoria Técnica
Internet ao cliente inoperante e deixar a empresa
incapaz de atualizar seus sistemas.
 A interrupção do serviço de hosting
poderá deixar o serviço de atendimento
ao cliente inoperante, retirar os portais
Risco Operacional Queda no serviço de hosting Consequência negativa Diretoria Técnica
de conteúdo do ar, impedir transações
comerciais, causa um prejuízo a imagem
e ao caixa da empresa.

Pessoas mal intencionadas poderão

utilizar mecanismos maliciosos para
Risco Operacional Hacking Consequência negativa Diretoria Técnica
danificar conteúdos online da empresa,
ou danificarem os sistemas internos.

Empresários mal intencionados poderão

copiar os produtos de nossa empresa,
Risco Operacional Pirataria de serviços online Consequência negativa Diretoria Técnica
reduzindo nossa rentabilidade por
produto desenvolvido
 Análise dos Riscos (5.4.3)
Objetivo que está sendo
Causas Probabilidade Consequência Legislação aplicável
impactado

1 - Problemas no fornecimento de serviços

Tempo de resposta de
pela distribuidora. 2 - Não pagamento de
C - Possível 1 - Insignificante atendimento ao usuário Não
contas. 3 - Manutenção inadequada da
inferior a 24 horas.
infraestrutura.

1 - Problemas no fornecimento de serviços

Tempo de resposta de
pelo provedor do serviço de internet. 2 - Não
C - Possível 1 - Insignificante atendimento ao usuário Não
pagamento de contas. 3 - Manutenção
inferior a 24 horas.
inadequada da infraestrutura.
 1 - Tempo de resposta de
atendimento ao usuário
1 - Problemas no fornecimento de serviços inferior a 24 horas. 2 - Meta
pelo provedor do serviço de internet. 2 - Não C - Possível 2 - Menor de venda de serviços Não
pagamento de contas. mensal. 3 - Meta de
operabilidade do sistema de
99,5% do tempo.

1 - Tempo de resposta de
atendimento ao usuário
Difícil saber o que poderia ocasionar tais
inferior a 24 horas. 2 - Meta
atitudes prejudiciais. Mas as consequências
B - Provável 3 - Moderado de venda de serviços Não
podem ser graves e prejudicar a imagem e o
mensal. 3 - Meta de
resultado financeiro.
operabilidade do sistema de
99,5% do tempo.

LEI Nº 9.610, DE 19 DE
2 - Meta de venda de
Má-fé de outros empresários. B - Provável 3 - Moderado FEVEREIRO DE 1998. Lei
serviços mensal.
de Direitos Autorais
 Avaliação dos Riscos (5.4.4) Tratamento dos Riscos (5.5) Monitoramento e Análise Crítica (5.6)
Classificação do Risco Medidas Adicionais Investimento em Indicadores de Registro de
Controles Atuais
(gradação do risco) (controles adicionais) Prevenção $$ desempenho Sinistros

Pagamento de contas de luz

L - Risco Baixo NA 0
em dia.

Pagamento das contas de

L - Risco Baixo NA 0
provedores de internet em dia.
Realização de Backup de
conteúdos estratégicos.
Manter o procedimento de
Lançamento em débito M - Risco Moderado 0
backup
automático das cobranças
relacionadas a Hosting.

PTR 001 - Adoção de práticas

Firewall e antivirus H - Risco Elevado R$ 2.000,00 anual
de segurança da informação.

PTR 002 - Adoção de

Nenhum H - Risco Elevado procedimento de R$ 45,00 mensal
rastreamento virtual
e Análise Crítica (5.6)
Revisão pela
gerência
 PLANO DE TRATAMENTO DE RISCOS
Código - PTR (Processo de tratamento do Risco)
Nome

Elaborado por:
Data da Elaboração:

Risco Associado

Motivação

Responsável pela Execução

Ações a serem executadas

Recursos requeridos
Medidas de desempenho

Custo da Medida

Cronograma de execução

* você pode também utilizar uma abordagem 5W2H para um plano global e desdobrar os planos processos
 PLANO DE TRATAMENTO DE RISCOS
xxxx
xxxx

5W2H para um plano global e desdobrar os planos processos

 SUGESTÕES PARA O DESENVOLVIMENTO DE UMA ANÁLISE DE RISCOS - ISO 31000

1 Estruture uma equipe multidisciplinar - diferentes especialidades/ áreas técnicas enriquecerá as idéias, garantindo um nível de qualidade e quantidade de idéias o mais real
possível.
Faça um brainstorming estruturado (se for à partir da análise do contexto e partes interessadas, considerar ambiente interno e externo - atenção ao que diz as normas
2 certificadoras) sempre por tipos de riscos que deverã desdobrar para os processos e setores. (exmeplos: riscos de Saúde e Segurança Ocupacional, Riscos ao Meio
ambiente, riscos financeiros etc). Se possível divida-os entre diferentes especialistas.
3 Para cada risco identifique as informações referentes a eles, como as suas fontes, áreas de impacto, eventos, suas causas e conseqüências.

Não deixe de identificar quais objetivos estão sendo afetados pelo risco em questão. Um deles pode ser: “Garantir a saúde e segurança de seus colaboradores (termos " 0"
4 acidentes fatais ou graves mensalmente)”. Uma mina de carvão em operação tem várias possibilidades de eventos que podem, se consumados, comprometer o
atendimento a esse objetivo.

5 Considere os eventos registrados que já aconteceram em sua organização. Utilize o histórico das não conformidades (NC´s - SGQ) como fonte de informação relevante.

6 Existem bases de dados de riscos na internet com exemplo preenchidos para que você possa usar na sua empresa. A Risk Spotlight por exemplo disponibiliza uma vasta
base de dados com exemplos de riscos. http://www.riskspotlight.com/

7 Identifique todas as fontes, mesmo que as fontes dos riscos não estejam sob o controle da organização.

8 Levante uma ampla gama de conseqüências, mesmo que a fonte ou a causa do risco não esteja evidente. E se fôssemos processados em mais de 1 milhão? E se
fôssemos multados e perdêssemos nosso contrato, como poderíamos manter a empresa operando?

9 Se um risco pode ter diferentes cenários de conseqüências, considere-os no seu levantamento.

Exemplo:

10 Identifique os responsáveis pelos riscos, geralmente serão eles mesmos os responsáveis pelos planos de tratamento.
Alguns riscos podem ter uma única causa, por exemplo, risco de obsolescência de nossa consultoria de PBQP-h, seria a emissão de uma nova norma revisada a qual
ainda não temos conhecimento com emissão aguardada para os próximos meses.
11
Às vezes as causas de um problema podem ter várias sub-causas, e nesses casos é fundamental que a equipe que identifica o risco realize um estudo de causas mais
aprofundado. O diagrama de causa efeito é uma ferramenta apropriada conforme visto no exemplo acima.
12 Utilize a norma ISO 31000 e as ferramentas de risk assessment da IEC 31010 para melhorar seus conhecimentos.