São estabelecidas as configurações para as análises de risco e controle, e a revalidação dos planos baseados no modelo em questão. Para isso, estão disponíveis as seguintes opções:
Incluir avaliação tratada/potencial/meta: Marque esta opção para que, no momento da avaliação do risco, seja possível realizar a avaliação tratada/potencial/meta do risco. Esta avaliação é aquela que leva em consideração apenas os riscos do plano de riscos. O nome da avaliação irá variar de acordo com as parametrizações realizadas na aba Configuração do perfil de visualização padrão.
Incluir avaliação residual/líquida/controlada/atual: Selecione esta opção para que, no momento da avaliação do risco, seja possível realizar a avaliação residual/líquida/controlada/atual do risco. Esta avaliação é aquela que leva em consideração controles e tratamentos do plano de riscos. O nome da avaliação irá variar de acordo com as parametrizações realizadas na aba Configuração do perfil de visualização padrão. Esta opção não será apresentada se o método de avaliação selecionado anteriormente for do tipo "Matriz (autoavaliação)".
Cálculo do risco residual/líquido/controlado/atual: Este campo somente ficará habilitado se a opção Incluir avaliação residual/líquida/controlada/atual foi marcada no tipo que classifica o modelo. Selecione uma das seguintes opções para definir como será calculado o risco residual/líquido/controlado/atual dos planos deste tipo:
▪Manual: Selecione esta opção para que o cálculo do risco residual seja calculado de forma manual, ou seja, durante a avaliação do risco, serão apresentados os campos para o preenchimento da nota da avaliação. ▪% de efetividade do controle: Esta opção somente será apresentada se o tipo de plano estiver configurado com um método de avaliação de risco do tipo Matriz, Quantitativo ou Matriz com quantitativo. Neste tipo de cálculo, o resultado da avaliação do risco residual será obtido através da multiplicação do risco real com o percentual de efetividade dos controles do risco. Quando o risco tem apenas um controle, o percentual de efetividade do controle será o próprio valor da avaliação do controle, porém, quando o risco tem dois ou mais controles, a efetividade será obtida através de um cálculo da interseção dos valores (percentuais) das avaliações dos controles, o qual é dado por: Efetividade do controle = 100 - { [ (100 - controle_01 ) / 100] * [ (100 - controle_02 ) / 100] * ... * [ (100 - controle_N ) / 100] * 100 }. O resultado da avaliação do risco residual, para cada método, é obtido da seguinte forma: oQuantitativo: O resultado da avaliação do risco residual será obtido através da multiplicação do resultado da avaliação do risco real com a efetividade dos controles, a qual é obtida através de um cálculo de percentual que leva em consideração os resultados de todos os controles desse risco. Risco residual = Risco real * (% de efetividade do controle). oMatriz e Matriz com Quantitativo: O resultado da avaliação do risco residual será obtido através da multiplicação do resultado da avaliação do risco real com a efetividade dos controles dos grupos de controles definidos para cada eixo da matriz (controles detectivos e controles preventivos). Sendo assim, é necessário definir quais controles serão utilizados em cada eixo da matriz, selecionando uma das opções: "Controles detectivos minimizam o eixo X e preventivos minimizam o eixo Y" ou "Controles detectivos minimizam o eixo Y e preventivos minimizam o eixo X". Para cada eixo da matriz será feita a multiplicação do resultado da avaliação do risco real com o percentual de efetividade dos controles. Risco residual = [ Risco real * ( % de efetividade do controle ) ] x [ Risco real * ( % de efetividade do controle ) ].
A classificação do risco determina se a efetividade do controle é utilizada para minimizar ou maximizar o valor do risco residual. Por exemplo: Quando o risco está classificado como "Oportunidade", os controles atuam para aumentar a exposição do risco original. Desta maneira, a efetividade aumenta o valor do risco residual, pois deseja-se que o risco se manifeste.
|
▪Subtração da efetividade do controle: Esta opção somente será apresentada se o tipo de plano estiver configurado com um método de avaliação de risco do tipo Matriz, Quantitativo ou Matriz com quantitativo. Neste tipo de cálculo, o resultado da avaliação do risco residual será obtido através da subtração do risco real pela efetividade dos controles do risco. A efetividade dos controles é obtida através da soma aritmética dos valores das avaliações dos controles. O resultado do cálculo para cada método é obtido da seguinte forma: oQuantitativo: O resultado da avaliação do risco residual será obtido através da subtração do resultado da avaliação do risco real pela efetividade dos controles do risco. Risco residual = Risco real - (Efetividade do controle). oMatriz e Matriz com Quantitativo: A efetividade do controle será obtida através da subtração do resultado da avaliação do risco real pela soma dos resultados das avaliações dos grupos de controles definidos para cada eixo da matriz (controles detectivos e controles preventivos). Sendo assim, é necessário definir quais controles serão utilizados em cada eixo da matriz, selecionando uma das opções: "Controles detectivos minimizam o eixo X e preventivos minimizam o eixo Y" ou "Controles detectivos minimizam o eixo Y e preventivos minimizam o eixo X". Para cada eixo da matriz será feita a subtração do resultado da avaliação do risco real pela soma dos resultados das avaliações dos controles. Risco residual = [ Risco real - ( Efetividade do controle ) ] x [ Risco real - (Efetividade do controle ) ]. ▪Personalizar: Esta opção somente será apresentada caso tenha sido configurado alguma fórmula personalizada. Neste tipo de cálculo, o resultado da avaliação será obtido através destas fórmulas personalizadas cadastradas nos Parâmetros gerais. Sendo assim, é necessário definir quais fórmulas serão utilizadas no Eixo X e Eixo Y da matriz.
Configurar responsável para todas as análises de risco do plano: Marque esta opção para definir um mesmo responsável para todas as análises de risco dos planos baseados neste modelo. Serão habilitados os seguintes campos:
▪Responsável: Selecione o usuário responsável pelas análises de risco. Utilize os demais botões ao lado do campo para incluir um novo usuário e defini-lo como responsável, preencher o campo com os dados do usuário conectado e limpá-lo. ▪Equipe responsável: Selecione a equipe responsável pelas análises de risco. Utilize os demais botões ao lado do campo para incluir uma nova equipe e defini-la como responsável e limpar o campo.
Configurar responsável para todas as análises de controle do plano: Marque esta opção para definir um mesmo responsável para todas as análises de controle dos planos baseados neste modelo. Para isso, nos campos que serão habilitados defina o usuário responsável e/ou a equipe responsável pelas análises de controle. A descrição detalhada dos campos foi feita anteriormente.
Utilizar máscara de identificação para análise de risco: Marque esta opção para que os identificadores das análises de risco dos planos baseados no modelo, sejam obtidos por meio de uma máscara de identificação. Para isso, estão disponíveis os seguintes campos:
▪Máscara de identificação: Selecione a máscara de identificação desejada. Note que somente estarão disponíveis para seleção, máscaras de identificação cujo objeto é "Análise de risco". ▪Permitir alterar o identificador: Marque esta opção para permitir que no momento da criação de uma análise de risco, o identificador gerado possa ser editado manualmente. Caso esta opção não for marcada, o identificador gerado não poderá ser editado.
Utilizar máscara de identificação para análise de controle: Marque esta opção para que os identificadores das análises de risco dos planos baseados no modelo, sejam obtidos por meio de uma máscara de identificação. Para isso, nos campos que serão habilitados, selecione a máscara de identificação desejada e defina se será permitido ou não alterar o identificador. Note que somente estarão disponíveis para seleção, máscaras de identificação cujo objeto é "Análise de controle". A descrição detalhada dos campos foi feita anteriormente.
Roteiro de aprovação da avaliação de análise: Esta opção somente será apresentada se no tipo que classifica o modelo, não estiver marcada a opção "Permitir avaliar risco e controle somente na etapa de elaboração" ou se o método de avaliação associado ao tipo não for "Matriz (Autoavaliação)". Marque esta opção para que as análises de risco e controle dos planos baseados no modelo passem por aprovação. Para isso, no campo Roteiro responsável, selecione o roteiro responsável desejado. Utilize os demais botões ao lado do campo para incluir um novo roteiro responsável, editar os dados do roteiro selecionado e limpar o campo.
Revalidação: Este campo somente estará disponível se no tipo que classifica o modelo foi configurado para que o prazo de validade dos planos baseados no modelo, seja gerenciado. Estão disponíveis as seguintes opções:
▪Validade: Este campo será preenchido pelo sistema com o tempo padrão definido na configuração da validade associada ao tipo de plano. Se na configuração da validade for definido que o tempo padrão será Fixo, este campo não poderá ser editado. Se for definido que será Variável e o campo tempo padrão não tiver sido preenchido, informe a quantidade de tempo em dias, meses ou anos ou a data até a qual o plano será considerado como válido. Caso o campo já tenha sido preenchido, é possível editar o valor contido nele. ▪Revalidação: Este campo é preenchido pelo sistema após o plano passar por uma revalidação. Acione o botão para visualizar os dados da revalidação apresentada. ▪Data da validade: Este campo é preenchido pelo sistema após o plano ser homologado, ou após ele passar por revalidação, com a data até a qual ele é válido, ou seja, nesta data será gerada a tarefa Plano com validade vencida para que a revisão/revalidação do plano seja realizada novamente.
|