Em diversas ocasiões nos deparamos com o cliente tendo dúvidas sobre os termos “risco inerente” e “risco residual” e respectiva relação entre eles.
Ao realizar uma avaliação de risco, o primeiro passo é identificar o risco inerente e, em seguida, considerar os controles eficazes e eficientes para chegar ao risco residual.
As definições que usamos, são:
- Risco inerente representa a quantidade de risco que existe com os controles existentes no momento da identificação dos riscos.
- Risco residual é a quantidade de risco que permanece ou que aparece após a inclusão dos controles adicionais e/ou ajustes dos controles existentes.
Parece simples, mas esses dois termos tendem a confundir quando colocados em prática.
Para melhorar a descrição dos riscos inerentes, sugerimos incluir de forma explicita quais controles estão sendo considerados e/ou deixados de fora, nesse caso, por que motivo. Dessa forma, o entendimento relacionado ao risco inerente será mais amplo.
O estado de risco verdadeiramente inerente (teórico), pressupõe que não sejam realizadas verificações de antecedentes, entrevistas com funcionários e que não haja portas fechadas ou restrições de acesso, em outras palavras, sem nenhum controle. Isso pode levar a quase qualquer cenário de risco sendo avaliado como inerentemente alto. Portando, recomendamos analisar o risco considerando sempre os controles existentes.
Usando o software t-Risk - apoiado na norma ISO 31000 - iremos descrever os controles existentes no momento da contextualização, podendo ser complementado na etapa de identificação dos riscos. Se na etapa de avaliação dos riscos existirem alguns que ainda necessitem de tratamento por estarem acima do apetite ao risco da organização, novos controles poderão ser incluídos, controles existentes poderão ser complementados e, eventualmente, alguns outros controles podem ser suprimidos ou diminuídos.