As matrizes de riscos são bastante populares e aplicadas para auxiliar no atendimento a requisitos e diretrizes de Compliance, Auditoria, COSO - Controles Internos, COSO - ERM, Normas ISO 31000, ISO 9001, ISO 14001, ISO 45001, etc. Mas CUIDADO - as matrizes de riscos têm diversas limitações!!
More...
As matrizes de probabilidade / consequência (como também são conhecidas as matrizes de riscos) são utilizadas em inúmeras áreas, para diversos tipos de riscos. Elas são um meio de combinar classificações qualitativas ou semiquantitativas de consequências e probabilidades, a fim de produzir um nível de risco ou classificação de risco.
Elas também são amplamente utilizadas para determinar se um dado risco é, de uma forma geral, aceitável ou não aceitável, de acordo com a sua localização na matriz.
O formato da matriz e as definições a ela aplicadas dependem do contexto em que ela é utilizada. É comumente adotada como uma ferramenta de seleção quando muitos riscos foram identificados, por exemplo, para definir quais riscos necessitam de análise adicional ou mais detalhada, quais riscos necessitam primeiro de tratamento, ou quais riscos necessitam ser referidos a um nível mais alto de gestão. Também pode ser utilizada para selecionar quais riscos não precisam de maior consideração neste momento.
Pontos Fortes e Limitações
De acordo com a norma internacional ISO/IEC 31010, os pontos fortes da matriz de probabilidade / consequência são (somente!) os seguintes:
• relativamente fácil de usar;
• fornece uma rápida classificação dos riscos em diferentes níveis de significância.
Já as suas (várias!) limitações incluem:
• uma matriz deve ser projetada para ser apropriada às circunstâncias de forma que pode ser difícil ter um sistema comum aplicável a uma faixa de circunstâncias pertinentes para uma organização;
• é difícil definir as escalas de forma não ambígua:
• a utilização é muito subjetiva e tende a haver uma variação significativa entre os classificadores;
• os riscos não podem ser agregados (ou seja, não se pode definir que um número específico de baixos riscos ou um baixo risco identificado um número específico de vezes seja equivalente a um risco médio);
• é difícil de combinar ou comparar o nível de risco para diferentes categorias de consequências.
Veja a seguir o que a ISO/IEC 31010 recomenda sobre a matriz de riscos, como construí-la e os cuidados que devem ser tomados ao utilizá-la.
Aplicabilidade das Técnicas de Avaliação de Riscos
Avaliar riscos é um das atividades centrais da Gestão de Riscos. O processo de avaliação de riscos fornece aos tomadores de decisão e às partes responsáveis um entendimento aprimorado dos riscos que podem afetar o alcance dos objetivos, bem como a adequação e eficácia dos controles em uso, possibilitando definir a abordagem mais apropriada a ser utilizada para tratar os riscos.
O processo de avaliação de riscos (risk assessment) é o processo global de identificação de riscos, análise de riscos e avaliação de riscos (risk evaluation). A maneira como esse processo é realizado depende não somente do contexto do processo de gestão de riscos, mas também das ferramentas e técnicas utilizadas para conduzir o risk assessment em si.
Clique na figura para acessar o documento.
Este documento mostra como selecionar e aplicar as ferramentas e técnicas em cada etapa do processo de avaliação de riscos, conforme a norma ISO/IEC 31001:2009, bem como apresenta a visão do QSP para conectá-las aos sistemas de gestão das organizações.
Para conhecer em profundidade como selecionar e aplicar as principais ferramentas e técnicas de avaliação de riscos, de acordo com a norma ISO/IEC 31010, participe do nosso tradicional Curso:
ISO/IEC 31010 - AVALIAÇÃO DE RISCOS - Seleção de Ferramentas e Técnicas de Risk Assessment.