Estimar Nível de Risco

Com a avaliação de probabilidade, os riscos poderão diferir em nível de urgência, variando sua complexidade, importância e o tempo de antecedência com que precisam ser tratados e também ao tempo necessário para respostas. Riscos com a mesma probabilidade e impacto

podem ter níveis de urgência de tratamento diferentes. A atividade de estimativa dos riscos visa obter um nível que considere conjuntamente os impactos e as probabilidades, chegando à um nível de gravidade dos riscos [34].

Esse nível de relacionamento entre probabilidade e impacto a literatura chama de apetite do risco, que é a quantidade de risco que a organização está preparada para aceitar, tolerar ou estar exposta. O apetite ao risco é fundamental para o gerenciamento eficaz dos riscos, podendo variar de acordo com os objetivos da organização sendo útil para estabelecer objetivos claros ao se gerenciar os riscos [16].

Um risco pode ser considerado aceitável no nível estratégico, mas inaceitável entre os membros da equipe de contratação de TI, por isso nesta etapa é necessário considerar a participação dos gestores estratégicos da organização, como de TI e autoridade ad- ministrativa competente, definindo o nível de exposição que é considerado aceitável em termos de impacto tolerável e a frequência tolerável deste impacto. Podemos definir o nível de riscos que a organização está disposta a tolerar para um determinado projeto de contratação de TI, utilizando o conceito de tolerância a riscos, que se excedido, deverá ser reportado e uma ação específica deve ser tomada. Para esta atividade, a equipe de contratação conduzirá as tarefas de definição e avaliação da estimativa de riscos [34].

Definir Estimativa de Riscos

As classificações dos riscos são designadas com base na avaliação da sua probabilidade e impacto. A avaliação da importância de cada risco e a prioridade é conduzida usando uma matriz de probabilidade e impacto de referência, de acordo com a definida na Figura 5.18, baseada no Orange Book do governo britânico, que verifica o nível de priorização dos riscos para uma posterior análise das respostas [67].

Cada risco identificado será analisado de acordo com sua probabilidade de ocorrência e seu impacto nos objetivos da contratação de TI da FUNASA, sendo posicionado no quadrante respectivo da matriz, com as combinações de probabilidade e impacto em uma classificação de alto risco, risco moderado e baixo risco. A respectiva matriz em verde, amarelo e vermelho, indica as condições dos riscos pelas diferentes cores, demonstrando seu grau de tolerância e o tratamento que deve ser observado [34].

Na Figura 5.18, os riscos situados nas áreas (1) verde, (2) amarela ou (3) vermelha da matriz, representam a definição da faixa de valores dos níveis de riscos. A faixa de valores é definida pela seguinte estrutura [67]:

(1) Alto risco: risco intolerável, ameaça de grande preocupação, ações imediatas devem

ser tomadas e os resultados precisam ser monitorados frequentemente;

(2) Risco moderado: situação de atenção, risco pode ser tratado em médio prazo e

monitorado frequentemente;

(3) Baixo risco: risco tolerável, não necessita de ação imediata, porém o risco deve ser

monitorado.

A área demarcada pela linha de cor azul representa o nível de tolerância aos riscos, exi- gindo que sejam reportados e que autorizações e ações específicas devam ser demandadas. O nível de tolerância a riscos, expresso pela linha de tolerância, indica que a organiza- ção aceitará ou responderá por essas ameaças com tratamento específico não podendo ser aceitos sem que sejam autorizados por nível de autoridade superior. Após o término desta tarefa, o quadro dos riscos deve conter as devidas estimativas informadas, de acordo com o template da Figura 5.19:

Figura 5.19: Template para definição da estimativa dos riscos. (Fonte: Elaboração própria).

Para cada risco identificado, no artefato deverá apresentar a descrição do risco, as ame- aças relacionadas, nível do impacto, probabilidade de ocorrência e nível do risco (relação de probabilidade e impacto de acordo com a matriz apresentada acima).

Avaliar Estimativa de Riscos

Após a análise da estimativa dos riscos, o gestor de TI verifica as informações das esti- mativas de riscos no quadro de riscos gerados na tarefa anterior e, caso esteja de acordo, deve aprová-los, caso o risco necessite de aprovação por autoridade superior competente, deve ser enviado para a avaliação e posterior aprovação. Caso estejam de acordo, o gestor de TI e a autoridade competente devem registrar a aprovação e encerram-se dessa forma, as atividades do processo de análise e avaliação dos riscos. Caso contrário, o gestor deve notificar a equipe de contratação de TI, para a necessidade de reexecutar uma ou mais das tarefas anteriores e informar o prazo para conclusão das tarefas, bem como as orientações para aprimoramento das informações [36].

Neste ponto da metodologia de gestão de riscos das contratações de TI da FUNASA, já será possível uma visão mais clara de quais ameaças existem para o projeto de contratação de TI do órgão e o quanto este projeto estará ou não protegido por meio de controles. Nesta tarefa ainda é possível a classificação de riscos, com a criação de uma lista ordenada dos riscos e seu nível de urgência avaliado. Isso permite distinguir os riscos mais relevantes do projeto como um todo, além de ser uma base para as decisões sobre quais riscos devem ser tratados prioritariamente [65].

Os resultados da etapa de análise e avaliação de riscos devem ser registrados de ma- neira que todas as etapas do processo sejam documentadas e complemente as informações inseridas como resultado da etapa anterior de identificação dos riscos. As informações dessa etapa devem conter elementos como: probabilidade do evento de risco e descrição da probabilidade; impacto do evento de risco e descrição do impacto; nível de risco (com- binação probabilidade e impacto); matriz de probabilidade e impacto; data da análise; e nível de urgência dos riscos.