Como todos sabemos, a proactividade de uma organização depende de uma boa gestão de riscos e de oportunidades.
Riscos, é um nome de um conjunto de incertezas, que podem manifestar-se devido a uma determinada ocorrência que pode ocorrer no futuro (previsível ou não) e que vai gerar impactos.
Estes riscos são utilizados na gestão de organizações ou projectos em todas as áreas que impliquem decisões antecipadas. E como tal, foram desenvolvidas “frameworks” especificas para este tratamento. Começou pela NIST, depois evoluiu para a ISO 31000 e por fim, surgiu o M_o_R que absorveu as anteriores, (https://www.axelos.com/best-practice-solutions/mor)
Nessa gestão existem especialismos tais como: financeiro, saúde, segurança de informação, ecologia e natureza, etc.
Sendo a forma de gestão proactiva, o mesmo (risco) é utilizado nas avaliações por outros “frameworks” tais como as ISO 27000, ISO 22301 (no BIA) e regulamentos como o RGPD. (https://defenselifecycle.com/gestao-riscos/)
Essas avaliações, sendo utilizadas sistematicamente, podem, quando mal conduzidas ou interpretadas levar a erros, pois como todos sabemos, os resultados que qualquer analise para serem comparados ou avaliados de forma universal devem ter as mesmas métricas.
Classificação de Riscos
A avaliação do risco pode ser numérica (1-3, 1-5, %, etc.) ou qualitativa.
A avaliação qualitativa é subjectiva. Advém de experiência própria ou por um colégio de pessoas; a grande incerteza da mesma é que “a verdade de um não é garantidamente a verdade de outro”.
A avaliação numérica tem um problema similar… salvo… se for utilizado um repositório bem definido e reconhecido. Felizmente existem vários. Resolvendo de modo definitivo a universalidade da sua avaliação.
Incerteza dos Riscos
A utilização frequente do risco com avaliação subjetivas como por exemplo auditorias, põe em causa as conclusões do mesmo e, portanto, levam a avaliações erradas.
Têm a grande vantagem de ser rápido a avaliar, e sendo a sua avaliação interna, e de seguir a cultura da organização.
Porém, e com frequência, acontece, infelizmente, ouvir-se dizer: “a avaliação muda consoante os intervenientes e a empresa que efectua a auditoria”; é uma verdade inquestionável e lamentável. Pois, a avaliação independente nunca deve ser subjectiva. A avaliação de risco de uma organização em Portugal deve ter os mesmos critérios que outra em qualquer outro ponto do Universo.
Finalmente….
Para evitar situações de ambiguidade, basta pedir que no relatório seja indicado os critérios utilizados e também as fontes.
Esse pequeno pedido de referências das normas utilizadas e suas métricas, elimina qualquer subjetividade e incerteza de critérios.