Gestão em QSMS-RS e Sustentabilidade

Não confunda gestão de riscos com gerenciamento de riscos de impactos socioambientais, por favor!

Há uma percepção equivocada de que a experiência em gestão de risco equivale a do gerenciamento de riscos dos impactos socioambientais

Riscos de impactos socioambientais é muito amplo, exige muito uma visão ampliada do ativo onde se localiza e dos stakeholders externos etc

O objetivo do gerenciamento de risco de segurança é remover as conjecturas e ajudar a empresa a tomar decisões mais inteligentes.

A gestão de risco é simplesmente um sistema de apoio à decisão.

Infelizmente, a maioria das empresas não acordaram para o fato, apesar dos esforços.

 O perigo está em incorporar maus hábitos que podem aumentar o risco de uma organização, ou simplesmente a falta de cultura em QSMS-RS & Sustentabilidade

Há uma percepção equivocada de que a experiência em outras áreas equivale a do gerenciamento de risco impactos socioambientais

 Na verdade, observamos muitos especialistas de riscos, mas de outras áreas que se dizem especialistas também em gestão de risco de impactos socioambientais.

 Muitas vezes, eles não são.

Essas são duas disciplinas distintas

Aqui estão os erros mais comuns e equívocos feitos na bem-intencionada gestão de riscos:

– Partir do zero

Muitos profissionais de segurança estão tentando reinventar a disciplina de gestão de riscos de segurança.

Felizmente, existem métodos bem estabelecidos na análise de risco de tarefas, como a forma de solicitar um parecer técnico e como representar a incerteza em modelos de risco.

No entanto, a maioria das pessoas desconhece como fazer isso corretamente, e acaba recriando não só os mesmos modelos, mas também as mesmas abordagens básicas deficientes.

O modelo mais acertado é escolher alguns” fatores de risco ” importantes, atribuir alguma pontuação ordinal, e, em seguida, executar a aritmética básica ou colocá-los em uma matriz”, acrescentando que muitos decisores experientes utilizam-se de métodos caseiros, gerando resultados questionáveis.

– Replicar o departamento de auditoria

Uma forma de os programas de gestão de risco fracassarem, é copiar as funções do departamento de auditoria.

Embora haja semelhanças entre os dois, os papéis são muito diferentes.

 A equipe de auditoria deve se preocupar com os erros que podem ocorrer por meio de falhas nos controles de segurança.

 É importante a preocupação com a frequência e o impacto potencial de riscos.

 O papel da auditoria é ajudar a empresa a entender como implementar controles, e o papel de gestão de risco é determinar como obter o máximo de investimentos em controles de segurança e processos relacionados.

– Confundir precisão com acuracidade

Muitos profissionais de segurança não se sentem confortáveis ​​em reduzir os riscos de segurança e vulnerabilidades para números simples.

Você vai ouvir as pessoas dizerem que não há tabelas relevantes, ou que não há dados suficientes para criar eventos relacionados que forneçam um valor.

Eles podem gerar uma estimativa numérica versus uma estimativa capaz de dar uma alta precisão numérica.

– Registrar riscos

Muitas organizações avaliam os riscos que enfrentam, focam demais em listar e classificar todas as coisas que podem dar errado, o famoso “Registro de Riscos”.

O problema com a criação de um registro de riscos é que as pessoas nunca sabem quando parar.

Quantos riscos vou continuar acumulando?

Até mesmo a possibilidade de um avião cair pelo telhado ???, muitos dos riscos inusitados, de probabilidade baixa, podem demandar uma perda do foco

–  Usar conceitos de risco indefinidos

As formas mais comuns de ameaças e vulnerabilidades estão classificadas em uma escala simples: baixa, média ou alta.

Afinal, o que significam cada um desses níveis? São realmente quantitativos?

Quando você pede para defini-los, em relação à probabilidade ou frequência de eventos, ninguém parece ser capaz de concordar com o que os termos realmente significam.

O resultado é que você tem essa ilusão de comunicação.

 Isso é mais perigoso do que tentar adicionar um pouco de precisão a um argumento.

Por exemplo, quando a probabilidade de um evento é baixa, alguns profissionais vão estimar que há uma chance de 10% de isso acontecer, enquanto outros vão pensar que é 33 %.

Você quer usar os números, sempre que possível, para definir as coisas numericamente, com o objetivo de torná-las mais claras.

–  Não ter um programa de Inteligência de Risco

Este é um grande erro!

Se o risco de segurança pode ser dividido em quatro conjuntos de informações [ameaças, controles, ativos e impacto], então qualquer mudança a qualquer uma dessas condições, teria um impacto sobre a postura de risco de uma organização.

 Infelizmente, as normas padrão de gestão de risco atuais demandam pouco tempo para colocar em prática um programa de inteligência de risco ou a importância dessa função.

 Nem explicam o que torna uma fonte válida de inteligência ou como lidar com as mudanças de novas informações e a postura da organização.

A implementação de uma função de inteligência é mais simples do que as empresas possam pensar, só precisam monitorar mudanças que possam afetar o seu risco.

A gestão de risco é difícil, mas fazê-la errado pode ser pior do que não fazer nada.

Você vai tomar decisões ruins e realizar maus cálculos e processos.

 Isso é um passo para uma situação ainda pior!

Estamos juntos!

Leia mais

Faça agora mesmo sua inscrição

Para finalizar, selecione a modalidade da sua inscrição e efetue o pagamento:

Faltam apenas

Dias

Nos vemos lá!