Documento Controlado
Elaborado por: Rodrigo Andrioli
Aprovado por: Reginaldo Lima
Versão 01 Data: 03/11/2022
1 – Mapeamento de Risco
Para efeito do mapeamento de risco será usada à metodologia da análise do modo de falha em processos. Dessa forma, devem ser usadas as definições e orientações deste Manual para aplicação do mapeamento de risco.
2 – Definições
Mapeamento – técnica empregada para reconhecer, entender e clarificar qualquer aspecto relacionado ao processo da organização;
Risco – possibilidade de um evento inesperado ou não planejado ocorrer. Riscos não são definidos apenas por aspectos negativos que podem ocorrer, mas também aspectos positivos não planejados;
Gestão de Riscos – ações relativas a liderança dos processos para mapear, gerir, tomar ações corretivas, registrar e tomar ações ante a ocorrência de todos os aspectos relacionados com eventos não planejados nos processos.
3 – Aplicação
As determinações deste Manual se aplicam aos processos considerados como processos principais e processos de apoio. Dessa forma, todos os processos devem apresentar o seu próprio mapeamento de risco. Já o mapeamento de risco do negócio deve levar em consideração os mapeamentos realizados para os processos e os pontos considerados pela Alta Direção como impactantes para a estratégia do negócio.
4 – Mapa de Risco de Processo
Para registrar o mapeamento de risco por processo será utilizado o Sistema BitQualy em Abordagem de Riscos, onde deve estar identificada a área ou processo relativo ao mapeamento e o responsável pelo mapeamento.
No corpo da planilha deve estar identificada a categoria do risco e o tipo de falha que pode ocorrer, bem como a avaliação do tipo de falha, que deve ser analisada quanto ao seu potencial de Ocorrência, índice de Severidade e possibilidade de Detecção.
Após realizada a análise de cada modo de falha, os valores devem ser multiplicados de modo a compor o indicador do NPR ou Número de Prioridade de Risco. Serão tomados os 10 pontos com NPR mais alto para tomada de ações de mitigação. As ações para mitigação devem ser registradas no Sistema BitQualy em Planos de Ação.
Os critérios para avaliação de Ocorrência, Severidade e Detecção estão determinados no item 4 deste Manual e devem ser utilizados para o cálculo do NPR.
5 – Avaliação de Ocorrência
Quando avaliamos um risco estamos avaliação a possibilidade de um evento não planejado ocorrer. Portanto, na análise de Ocorrência avaliamos a possibilidade de determinado evento ocorrer conforme os critérios abaixo:
|
Pontuação
|
Descrição
|
|
10
|
Altíssima possibilidade de ocorrer ou já ocorreu em outras oportunidades, atividade nova sem histórico de ocorrência. |
|
9
|
Alta possibilidade de ocorrer, 90% de chance de ocorrência. |
|
8
|
Alta possibilidade de ocorrer, 80% de chance de ocorrência. |
|
7
|
Alta possibilidade de ocorrer, 70% de chance de ocorrência. |
|
6
|
Possibilidade de ocorrência moderada, 60% de chance de ocorrer. |
|
5
|
Possibilidade de ocorrência moderada, 50% de chance de ocorrer. |
|
4
|
Possibilidade de ocorrência de moderada para baixa, 40% de chance de ocorrer. |
|
3
|
Possibilidade de ocorrência baixa, até 30% de chance de ocorrer. |
|
2
|
Possibilidade de ocorrência muito baixa, até 20% de chance de ocorrer. |
|
1
|
Possibilidade de ocorrência baixíssima, pouco provável que ocorra. |
6 – Avaliação de Severidade
A Severidade está ligada a criticidade de um determinado evento ocorrer. Dessa forma, avaliamos que, quanto maior a criticidade de uma ocorrência, maior é o seu peso na avaliação. A Avaliação da Severidade deve ocorrer conforme tabela abaixo:
|
Pontuação
|
Descrição
|
|
10
|
A falha potencial afeta a operação segura do processo, afeta a segurança das pessoas envolvidas no processo e envolve não atendimento à lei, sem nenhum aviso prévio. |
|
9
|
A falha potencial afeta a operação segura do processo, afeta a segurança das pessoas envolvidas no processo e envolve não atendimento à lei, mas há indícios de aviso prévio sobre essa ocorrência. |
|
8
|
Perda da função primária do processo, se a falha ocorrer o processo é paralisado e o cliente é afetado. |
|
7
|
Degradação da função primária do processo, o processo ainda pode operar, mas com muita dificuldade, o cliente pode ser afetado em caso de ocorrência mas não há certeza. |
|
6
|
Perda de algumas funções do processo, o processo vai ocorrer com certa dificuldade, mas os procedimentos não poderão ser seguidos, podem ser gerados alguns problemas com o cliente. |
|
5
|
Perda de algum desempenho no processo, o processo vai ocorrer normalmente, mas pode não atingir o resultado esperado, o cliente não será impactado diretamente, mas ocorrerá problemas consideráveis com os processos subsequentes. |
|
4
|
Falha potencial que não afeta o funcionamento do processo, não afeta o cliente, mas poderá ser percebida pela maioria dos clientes. |
|
3
|
Falha potencial que não afeta o funcionamento do processo, não afeta o cliente, mas poderá ser percebida por alguns clientes. |
|
2
|
Falha potencial que não afeta o funcionamento do processo, não afeta o cliente, mas poderá ser percebida por poucos clientes. |
|
1
|
Falha potencial que não afeta o funcionamento do processo, não afeta o cliente e não é percebida pelo cliente. |
7 – Avaliação de Detecção
A Detecção está relacionada com a possibilidade de se antecipar a uma possível ocorrência, com a possibilidade de detectar que uma falha vai ocorrer antes da ocorrência propriamente dita. A Avaliação de Detecção é realizada conforme a tabela abaixo:
|
Pontuação
|
Descrição
|
|
10
|
Impossível detectar antes que a falha ocorra: não há controle de processo para esse modo de falha. |
|
9
|
Detecção muito remota: falha não é facilmente detectável, somente em auditorias aleatórias ou em controle de processo. |
|
8
|
Detecção remota: é detectada somente após a ocorrência da falha de processo. |
|
7
|
Detecção muito baixa: detecção somente possível durante a execução do processo. |
|
6
|
Detecção baixa: detecção possível durante a execução do processo ou no início do processo. |
|
5
|
Detecção moderada: detecção possível durante o início da execução dos processos ou na origem da falha. |
|
4
|
Detecção de moderada para alta: detecção possível no ato da realização do processo que impede a sua sequência, para o processo para correção da falha. |
|
3
|
Detecção alta: utilização de travas de sistema, controles automáticos e processos que impedem a sequência do erro. |
|
2
|
Detecção muito alta: utilização de dispositivos a prova de erro, que detectam a falha e impedem a sua ocorrência. |
|
1
|
Detecção certa: utilização de processos que impedem que a falha aconteça no processo. |
8 – Informação documentada
|
Identificação
|
Armazenamento
|
Proteção
|
Recuperação
|
Retenção
|
Disposição
|
| MGR-Manual de Gerenciamento de Risco |
Eletrônico |
Banco de Dados |
Data ou Processo |
3 Anos |
Delete |
9 – Controle de Alterações
O controle de alterações é realizado através do Sistema BitQualy.