Cybersecurity e Boas Práticas

A Meia Verdade da Mitigação de Riscos

No campo da gestão de riscos, a precisão na terminologia é importante para a implementação eficaz de estratégias de tratamento. Um termo frequentemente mal usado e compreendido é “mitigação de riscos”. Conforme definição, refere-se especificamente a "ação para reduzir as consequências de um evento de risco". Este conceito, embora relevante, representa apenas uma parte do que constitui uma estratégia eficaz de tratamento de riscos. Este artigo explora por que a mitigação de riscos é apenas uma meia verdade e destaca a importância de entender e aplicar o conceito mais amplo de “tratamento de riscos”.


Em termos simples, amitigação de riscosé aredução das consequências, ou do impacto negativo de um risco quando ocorre. Pode incluir medidas como planos de contingência, sistemas de backup ou seguros para cobrir perdas potenciais. A mitigação é, portanto, uma estratégia reativa que visa minimizar os danos após a ocorrência de um evento adverso.


Assim, embora a mitigação de riscos seja uma parte relevante da gestão de riscos, não abrange todas as ações necessárias para lidar com riscos de maneira eficaz. A limitação mais significativa é que, por definição, não aborda a probabilidade de ocorrência do risco. Focar apenas na mitigação pode levar a uma visão restrita, onde as organizações se preparam para as consequências, mas não fazem o suficiente para prevenir que os riscos se materializem.


O Conceito Abrangente de Tratamento de Riscos


Para um termo mais correto e abrangente, a ISO 31000 apresenta o conceito de “tratamento de riscos” como uma abordagem mais completa do processo para modificar o risco. O tratamento de riscos inclui todas as ações destinadas a gerenciar riscos, abrangendo:


  • Ação de evitar o risco: Decidir não se engajar ou descontinuar atividades que podem gerar riscos.
  • Alterar a probabilidade: Implementar ações para alterar a chance de um risco ocorrer.
  • Alterar as consequências: Mitigar (agora sim) o impacto negativo se o risco ocorrer.
  • Compartilhar o risco: Transferir o risco para terceiros, como em contratos de seguro.
  • Reter o risco: Aceitar o risco e preparar-se para lidar com suas consequências.


Outro aspecto negligenciado ao focar apenas na mitigação é a gestão de riscos com consequências positivas, ou oportunidades. Em muitos cenários, a gestão de riscos também envolve identificar e maximizar oportunidades. A mitigação, por definição, não se aplica a oportunidades, pois seu objetivo é reduzir impactos negativos. O tratamento de riscos, no entanto, abrange ações para aumentar o impacto positivo de eventos favoráveis, integrando uma visão mais equilibrada e proativa da gestão de riscos.


A precisão da terminologia ajuda a evitar mal-entendidos entre profissionais e partes interessadas, garantindo que todos compreendam as estratégias e suas finalidades. Usar os termos corretos permite uma comunicação clara e eficaz, é o caso então de usar o conceito de tratamento de riscos, em vez de mitigação de riscos. Reforçando que o tratamento de riscos abrange tanto a probabilidade quanto o impacto dos riscos, garantindo uma cobertura completa e incluindo a gestão de oportunidades, o que contribui para uma visão holística e estratégica da gestão de riscos.


Ao ajustar nossa terminologia e abordagem conforme os padrões da ISO 31000 e 31073, podemos melhorar significativamente a eficácia da nossa comunicação e estratégias de gestão de riscos, garantindo uma preparação e resposta mais completa e integrada às incertezas que enfrentamos.


Abraços, e até a próxima!


Alberto Bastos, @albastos

Gestão de Riscos
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato