Gestão de riscos

Como você avalia os riscos de suas atividades?

Avaliação de riscos é tema crucial para a boa gestão empresarial. A análise de tratamentos de dados pessoais, da mesma forma, para ser bem executada, necessita da avaliação de riscos.

Em geral, a pergunta que fica é como fazer uma avaliação de riscos? O que deve ser considerado nessa atividade?

Existem algumas métricas e #frameworks para conduzir a gestão dos riscos e neste texto será abordada a ISO 31.000.

Inicialmente, destaca-se que a #ISO define “RISCO” como o “efeito da incerteza nos objetivos” e a “GESTÃO DE RISCO” corresponde a “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”.

Para bem entender o nível de #risco de uma operação, deve-se combinar os seus “impactos” ou “consequências” e “probabilidades”.

Isso significa que a análise do grau de severidade de risco considerará o resultado entre a gravidade do impacto para as pessoas atingidas pela atividade e a probabilidade desse impacto ocorrer.

A ISO 31.000 apresenta como considerações para os critérios de risco:
– Natureza e o tipo de incertezas que podem afetar os resultados e objetivos (tangíveis e intangíveis);
– Consequências positivas e negativas e as probabilidades de sua ocorrência;
– Fatores da atividade ao longo do tempo;
– Consistências das medidas utilizadas;
– A forma de determinação do nível do risco;
– Como serão considerados múltiplos riscos;
– A capacidade da organização.

No tocante à análise do risco propriamente dita, os fatores a considerar:
– Probabilidade de eventos e suas consequências;
– Natureza a magnitude das consequências;
– Fatores temporais e volatilidade;
– Eficácia dos controles existentes;
– Complexidade e conectividade;
– Sensibilidade e níveis de confiança.

Ao analisar o risco a organização poderá ter uma ideia sobre os encaminhamentos a direcionar, podendo entender que:
– Nada deve ser feito, assumindo o risco que a atividade proporciona;
– Tratar o risco para diminuir seu grau de severidade;
– Interromper a atividade desenvolvida pela organização.

Para que o risco seja tratado, de maneira direta, a organização deve alterar a posição da “consequência” ou da “probabilidade” do risco e, para tal, medidas devem ser implementadas.

Por fim, e também muito importante, é imperioso que os riscos sejam reavaliados periodicamente e um ciclo de melhoria contínua seja estabelecido.

Após essa leitura, como você passará a abordar o tema riscos em sua organização?

#legal #digital #startups #riscos #risks #tecnologia #technology #inovacao #lgpd #gdpr #anpd #proteçãodedados #dataprotection #privacidade #privacy #dadopessoal #personaldata #cybersegurança #cybersecurity #direito #entretenimento #inpi #marca #propriedadeintelectual #propriedadeindustrial #governanca #compliance #trabalhista #direitodotrabalho #planejamento #compliancetrabalhista #empregador #empregados #advocacia #emprego #empresas