Identificação e avaliação de eventos de riscos
Identificação do risco – A identificação de riscos é o processo de busca, reconhecimento e descrição dos riscos, tendo por base o contexto estabelecido e apoiando-se na comunicação e consulta com as partes interessadas internas e externas (ABNT, 2009). O objetivo é produzir uma lista abrangente de riscos, incluindo fontes e eventos de risco que possam ter algum impacto na consecução dos objetivos identificados na etapa de estabelecimento do contexto. Em muitos casos, a identificação de riscos em múltiplos níveis é útil e eficiente. Em etapa inicial ou preliminar, pode-se adotar uma abordagem de identificação de riscos top-down, que vai do geral para o específico.
Primeiro, identificam-se riscos em um nível geral ou superior como ponto de partida para se estabelecer prioridades para, em segundo momento, identificarem-se e analisarem-se riscos em nível específico e/ou mais detalhado. Pode-se, por exemplo, primeiramente identificar riscos aos objetivos estratégicos e, posteriormente, riscos que afetam processos prioritários.
A identificação de riscos pode basear-se em dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, assim como em necessidades das partes interessa das. Convém que pessoas com conhecimento adequado sejam envolvidas na identificação de riscos e que a organização utilize ferramentas e técnicas de identificação de riscos que sejam adequadas aos seus objetivos, às suas capacidades e aos riscos enfrentados (ABNT, 2009). Envolver a equipe também ajuda a criar a responsabilidade em relação ao processo de gestão de riscos e o comprometimento em relação ao tratamento dos riscos.
A documentação dessa etapa geralmente inclui:
(a) o escopo do processo, projeto ou atividade coberto pela identificação;
(b) os participantes do processo de identificação dos riscos;
(c) a abordagem ou o método utilizado para identificação dos riscos e as fontes de informação consultadas; e
(d) descrição de cada risco, pelo menos com a fonte de risco, as causas, o evento e as consequências. (TCU, 2018).
Avaliação de riscos – A finalidade da avaliação de riscos é auxiliar na tomada de decisões, com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. Envolve comparar o nível de risco com os critérios de risco estabelecidos quando o contexto foi considerado, para determinar se o risco e/ou sua magnitude é aceitável ou tolerável ou se algum tratamento é exigido (ABNT, 2009). Nessa etapa, portanto, se faz uso da compreensão e do nível do risco obtidos na etapa de análise de riscos para tomar decisões acerca dos riscos analisados, em especial:
(a) se um determinado risco precisa de tratamento e a prioridade para isso;
(b) se uma determinada atividade deve ser realizada ou descontinuada; e
(c) se controles internos devem ser implementados ou, se já existirem, se devem ser modificados, mantidos ou eliminados.
Uma boa prática para apoiar o processo de avaliação de riscos é estabelecer critérios para priorização e tratamento associados aos níveis de risco (nível recomendado de atenção, tempo de resposta requerido, quem deve ser comunicado etc.) (TCU, 2018).
Resposta ao risco –
