Realizando uma avaliação de risco operacional

Você pode usar o Projetos para organizar de forma fácil e efetiva todas as tarefas envolvidas na realização de uma avaliação de risco operacional e quantificar quanto risco uma organização enfrenta.

Finalmente, os resultados de testes em um projeto podem ser propagados para as pontuações de Risco Inerente e Risco Residual da sua organização, o que fornece uma imagem em tempo real de quanto risco continua antes e depois de os controles serem estabelecidos.

Cenário

Você é líder de Gestão de Riscos e proprietário de um projeto inteiro de Avaliação de Risco Operacional. Sua equipe tem um processo maduro e refinado de avaliação de risco e avalia o risco em várias dimensões (Probabilidade, Impacto, Velocidade e Vulnerabilidade) em uma escala de três pontos (1 - Baixo, 2 - Médio e 3 - Alto).

Anteriormente, você criava um projeto a partir de um modelo de projeto. Agora, você precisa avaliar a pontuação de risco inerente de um dos riscos no objetivo Controles Gerais de Tecnologia da Informação para determinar o risco bruto que a organização enfrenta se não houver controles ou outros fatores de mitigação estabelecidos.

Ao acessar cada risco no projeto, você também quer poder determinar quanto risco continua depois de os controles serem estabelecidos. Essa informação será útil quando for o momento de preparar o relatório final de avaliação de risco.

Antes de começar

Este tutorial orienta você pelas áreas principais do Projetos relacionadas à tarefa de realizar uma avaliação de risco operacional.

Antes de começar o tutorial, você precisa fazer duas coisas:

  1. Verificar se tem as permissões apropriadas para criar um projeto.
  2. Abra o aplicativo Projetos e crie um projeto usando o modelo de projeto Avaliação de Risco Operacional.

Definir sua estrutura de pontuação de risco

Vamos começar configurando seu projeto. A primeira etapa no processo de avaliação de risco é desenvolver um conjunto comum de critérios de avaliação (uma estrutura de pontuação de risco) que possa ser usada entre entidades, departamentos ou unidades operacionais. Líderes de gerenciamento de risco normalmente são responsáveis por configurar a estrutura de pontuação de risco e podem ser responsáveis por avaliar o risco sozinhos ou podem delegar responsabilidades de avaliação para outros membros da equipe.

  1. Na página inicial do Launchpad (www.highbond.com), selecione o aplicativo Projetos para abri-lo.

    Se já tiver entrado na Diligent One, você pode usar o menu de navegação à esquerda para mudar para o aplicativo Projetos.

  2. Na página inicial do Projetos, em Administração do Sistema, clique em Gerenciar tipos de projeto.
  3. Ao lado de Avaliação de Risco Operacional, clique em Editar e na guia Riscos e Controles.

    Há várias opções de configuração nessa página, mas você não precisa se preocupar com isso. Seu foco estará na seção Fator de Pontuação de Risco, que é onde você definirá como o risco será avaliado no projeto.

  4. Role a página para baixo até a seção Fatores de Pontuação de Risco.

    Você observa que os fatores de pontuação de risco para Impacto, Probabilidade e Velocidade já estão configurados. Sua organização também avalia risco sobre Vulnerabilidade usando uma escala de três pontos, então, você precisa configurar mais um fator de pontuação de risco como parte da sua estrutura de pontuação de risco.

  5. Clique em Adicionar Fator de Pontuação de Risco, preencha a seção Fator de Pontuação de Risco 2 e role a página e clique em Salvar:

    Observação

    Clique em + Adicionar três vezes para rotular os pontos em Escolhas.

Resultado Você definiu uma estrutura de pontuação de risco que pode ser usada para avaliar risco em uma escala de três pontos (1 - Baixa, 2 - Média e 3 Alta) usando os seguintes fatores de pontuação de risco: Probabilidade, Impacto, Velocidade e Vulnerabilidade. Agora, você pode começar a avaliar o risco inerente usando sua estrutura de pontuação de risco.

Avaliação de risco inerente

Agora que você sabe como avaliar o risco no projeto, você pode partir para a avaliação do risco. Você precisa avaliar especificamente um risco associado com a administração não estabelecendo um ambiente de controle apropriado para gerenciamento de TI. Em colaboração com outros membros na equipe de gerenciamento de risco, você determinou o impacto do risco como Baixo e a probabilidade do risco como Média. Você também determinou a velocidade como Média e a vulnerabilidade como Alta.

  1. Clique na lista suspensa da instância do Diligent One, clique em Projetos, selecione o projeto Avaliação de risco operacional e clique na guia Execução.
  2. Clique em Ir para ao lado do objetivo Controles Gerais de Tecnologia da Informação e selecione Matriz de Controle de Riscos.
  3. Clique em ITC-R.01: Risco Sem Título, role para a seção Classificação de Risco e avalie o risco desta forma:

Resultado Você avaliou o risco inerente de ITC-R.01: Risco Sem Título. As pontuações de risco inerente e residual são automaticamente atualizadas. No momento, a pontuação de risco residual é a mesma que a pontuação de risco inerente porque os controles associados com o risco não foram testados e não foram confirmados como funcionando efetivamente.

Especificar quais controles devem mitigar o risco

O benefício de usar um modelo de projeto é que ele já vem com uma matriz de controle de riscos predefinida. Então, tudo o que você precisa fazer é confirmar se os controles apropriados foram associados com o risco e se cada controle recebei o peso apropriado.

  1. Role a página para cima e clique na guia Matriz de Controle de Riscos.
  2. Ao lado de ITC-R.01: Risco Sem Título, clique em Associar Controle.

    Você confirma que os controles apropriados (ITC-01, ITC-02 e ITC-03) foram associados ao risco. Cada um dos controles tem um peso específico de 100%, mas você determina se essa informações não for precisa.

  3. Atualize os seguintes pesos de controle e clique em Salvar:
    • ITC-01 25%
    • ITC-02 25%
    • ITC-03 50%

Resultado Você especificou quais controles foram projetados para mitigar o risco e expressou a porcentagem de risco mitigada por cada controle.

Avaliar a efetividade do controle

Excelente, suas associações de risco e controle estão configuradas com precisão. Agora, você precisa testar cada controle para avaliar a efetividade operacional. Se um ou mais dos controles estiver operando efetivamente, a pontuação de risco residual será menor que a pontuação de risco inerente.

  1. Clique na guia Avaliações de Controle.
  2. Ao lado de ITC-01, clique em Exibir / Editar, role a página para baixo, selecione Efetivo no campo Esse controle é efetivo? e clique em Salvar.
  3. Repita as etapas 1 e 2 para ITC-02 e ITC-03, mas marque ITC-02 como Efetivo e ITC-03 como Não Efetivo.

Resultado Você avaliou a efetividade operacional de cada controle. ITC-01 e ITC-02 são definidos como "aprovados" e ITC-03 definido como "reprovado".

Exibir risco residual

Essa última etapa é fácil. Vejamos quanto risco permanece depois que seus controles foram estabelecidos.

  1. Clique na guia Matriz de Controle de Riscos e clique em ITC-R.01: Risco Sem Título.
  2. Role a página para baixo até a seção Classificação e exiba a pontuação de risco residual.

Resultado A pontuação de risco residual é 50% da pontuação de risco residual inerente. Se todos os controles estivessem operando de forma efetiva, a pontuação de risco residual seria 0,0, o que significa que os controles disponíveis reduzem o risco em 100%. No entanto, como só dois desses controles foram aprovados (ITC-01 e ITC-02, em 25%  cada), os controles disponíveis reduzem o risco em 50%.

Discussão

Agora que você realizou uma avaliação de risco operacional, saiba sobre as próximas etapas que pode seguir e as opções para gerar relatórios sobre risco residual e inerente em níveis agregados.

O que fazer em seguida?

Para demonstrar porque você determinou que um controle é efetivo ou não efetivo, você preenche seção Resultados da Avaliação de cada avaliação de controle e adiciona documentação de apoio carregando arquivos ou vinculando evidência do aplicativo Resultados. Nesse cenário, uma das avaliações de controle (ITC-03) falhou, então, você também pode registrar um problema para anotar a exceção.

Automatizando avaliações de risco

Realizar avaliações de risco operacional pode levar tempo e exigir um processo manual. Para aumentar a eficiência, você pode criar drivers de avaliação para automatizar avaliações de risco – o que permite que você reaja mais rapidamente à mudança e entregue informações para a pessoa certa no momento certo.

Para obter mais informações, consulte Automatizando avaliações de risco operacional.

Qual é o panorama mais amplo?

Anteriormente, você exibiu as pontuações de risco inerente e residual para um único risco (IRC-R.01: Risco Sem Título). No entanto, gerar relatório no nível do risco individual é muito granular. Frequentemente você precisa relatar sobre risco inerente e residual em nível agregado. Por exemplo, você pode querer gerar relatório sobre as pontuações de risco inerente e residual agregadas em todos os riscos em um único objetivo ou entre todos os riscos no projeto.

Exibindo pontuações de risco agregado no nível do objetivo

Você pode exibir as pontuações de risco inerente e residual agregadas em todos os riscos em um único objetivo clicando em Progresso no projeto:

Exibindo pontuações de risco agregado no nível do projeto

Você pode exibir as pontuações de risco inerente e residual agregadas em todos os riscos do projeto clicando na guia Resultados: