Avalia\u00e7\u00e3o de risco qualitativa<\/h3>\n
Na avalia\u00e7\u00e3o de risco<\/a> qualitativa, o foco \u00e9 na percep\u00e7\u00e3o das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputa\u00e7\u00e3o, etc.). Esta percep\u00e7\u00e3o \u00e9 representada em escalas como “baixa – m\u00e9dia – alta” ou “1 – 2 – 3”, que s\u00e3o usadas para definir o valor final do risco.<\/p>\n Uma vez que ela tem pouca depend\u00eancia matem\u00e1tica (o risco pode ser definido atrav\u00e9s de uma simples soma, multiplica\u00e7\u00e3o, ou outra forma de combina\u00e7\u00e3o n\u00e3o-matem\u00e1tica de valores de probabilidade e impacto), avalia\u00e7\u00e3o de risco qualitativa \u00e9 f\u00e1cil e r\u00e1pida de se fazer, permitindo que uma organiza\u00e7\u00e3o tire vantagem da experi\u00eancia e do conhecimento do usu\u00e1rio do processo \/ ativo que est\u00e1 sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avalia\u00e7\u00e3o de risco qualitativa:<\/p>\n Um problema com a avalia\u00e7\u00e3o qualitativa \u00e9 que ela \u00e9 altamente tendenciosa, tanto em termos de probabilidade quanto de defini\u00e7\u00e3o de impacto, por aqueles que a realizam.<\/p>\n Por exemplo, para pessoas de RH, os impactos de RH ser\u00e3o mais relevantes que os impactos na qualidade, e vice-versa. Em rela\u00e7\u00e3o ao vi\u00e9s em probabilidade, a falta de compreens\u00e3o dos tempos de outros processos pode levar algu\u00e9m a pensar que erros e falhas ocorrem mais frequentemente em seu pr\u00f3prio processo do que nos outros, e isso pode n\u00e3o ser verdade.<\/p>\n Esta situa\u00e7\u00e3o com tend\u00eancia geralmente faz com que a avalia\u00e7\u00e3o qualitativa seja \u00fatil apenas no contexto local onde \u00e9 realizada, porque as pessoas fora do contexto, provavelmente, ter\u00e3o diverg\u00eancias sobre defini\u00e7\u00e3o de valor de impacto e probabilidade.<\/p>\n Por outro lado, a avalia\u00e7\u00e3o quantitativa do risco concentra-se em dados factuais e mensur\u00e1veis, e bases altamente matem\u00e1ticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monet\u00e1rios, o que torna seus resultados \u00fateis fora do contexto da avalia\u00e7\u00e3o (perda de dinheiro \u00e9 compreens\u00edvel para qualquer unidade de neg\u00f3cio). Para chegar a um resultado monet\u00e1rio, avalia\u00e7\u00e3o quantitativa dos riscos muitas vezes faz uso destes conceitos:<\/p>\n SLE (Single Loss Expectancy \u2013 Expectativa de uma \u00fanica perda):<\/strong> dinheiro que se espera perder caso um incidente ocorra uma vez.<\/p>\n ARO (Annual Rate of Occurrence \u2013 Taxa anual de ocorr\u00eancia):<\/strong> quantas vezes dentro de um per\u00edodo de um ano se espera que o incidente ocorra.<\/p>\n ALE (Annual Loss Expectancy \u2013 Expectativa de perda anual):<\/strong> dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avalia\u00e7\u00e3o de risco quantitativa, este \u00e9 o valor do risco.<\/p>\n Ao se basear em dados factuais e mensur\u00e1veis, a avalia\u00e7\u00e3o quantitativa dos riscos tem como principais benef\u00edcios a apresenta\u00e7\u00e3o de resultados muito precisos sobre o valor do risco, e o investimento m\u00e1ximo que faria o tratamento de risco<\/a> valer a pena, de forma que ele seja lucrativo para a organiza\u00e7\u00e3o. Abaixo est\u00e1 um exemplo de como os valores de risco s\u00e3o calculados atrav\u00e9s da avalia\u00e7\u00e3o quantitativa de risco:<\/p>\n Valor da base de dados: USD 2,5 milh\u00f5es (SLE)<\/p>\n Estat\u00edsticas do fabricante informam que uma falha catastr\u00f3fica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1\/10 = 0.1)<\/p>\n ALE = 2,5 * 0,1 = USD 250K<\/p>\n Isto \u00e9, neste caso a organiza\u00e7\u00e3o tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: c\u00f3pias de seguran\u00e7a, gest\u00e3o corre\u00e7\u00f5es, etc.) que custe menos do que este valor seria lucrativo.<\/p>\n O problema com a avalia\u00e7\u00e3o quantitativa \u00e9 que na maior parte dos casos, n\u00e3o existem dados suficientes para serem analisados, ou o n\u00famero de vari\u00e1veis envolvidas \u00e9 demasiado elevada, tornando a an\u00e1lise impratic\u00e1vel.<\/p>\n![\"-\"](\"\/wp-content\/uploads\/\/sites\/5\/2017\/03\/Qualitative_risk_assessments_PT.png\")
<\/p>\nAvalia\u00e7\u00e3o de risco quantitativa<\/h2>\n
Combinando abordagens<\/h2>\n